POLITIQUE DE CONFIDENTIALITÉ

Dernière mise à jour : 05/10/2025

Article 1 – Objet et champ d’application

La présente Politique de Confidentialité (ci-après la « Politique ») définit les modalités selon lesquelles Science Me Apps (ci-après « l’Éditeur »), en sa qualité de responsable du traitement, collecte, traite, conserve, protège et, le cas échéant, communique les données à caractère personnel des utilisateurs (ci-après l’« Utilisateur ») de l’application mobile Science My Weight (ci-après l’« Application »).

La Politique est établie en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), la loi n°78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »), la directive ePrivacy telle que transposée en droit français, les lignes directrices de la CNIL, ainsi que les réglementations internationales pertinentes, notamment le Children’s Online Privacy Protection Act (COPPA, États-Unis) et le California Privacy Rights Act (CPRA, Californie), et les principes de l’OCDE relatifs à la vie privée.

Article 2 – Identité et coordonnées du responsable du traitement

Science Me Apps, éditeur de l’Application Science My Weight.
Adresse de correspondance : Ollioules, Provence-Alpes-Côte d'Azur, France. Pour toute demande officielle émanant d’une autorité compétente, l’adresse postale complète pourra être communiquée sur réquisition.
Adresse de contact : support@sciencemeapps.fr

Article 3 – Données traitées

Conformément au principe de minimisation (article 5 RGPD), seules les données strictement nécessaires aux finalités décrites à l’Article 4 sont traitées.

3.1 Données fournies par l’Utilisateur

• Profil local (stockage local uniquement, sans transmission à l’Éditeur) : pseudo, âge, taille, sexe, poids initial.
• Contact support : si l’Utilisateur adresse un message au support à l’adresse support@sciencemeapps.fr, l’adresse d’expédition de l’Utilisateur peut être collectée exclusivement aux fins de traitement de la demande d’assistance.

3.2 Données collectées automatiquement par l’Application

• Identifiant publicitaire (Advertising ID), informations techniques de l’appareil (modèle, version du système), langue et fuseau horaire, adresse IP sous forme anonymisée.

3.3 Données relatives à la santé (traitement local)

L’Application permet à l’Utilisateur de saisir et de consulter des informations relatives à son état physique et à son hygiène de vie, susceptibles de constituer des données de santé au sens de l’article 9 du RGPD : poids, calories ingérées, calories dépensées, indicateurs de progression, et, pour les utilisatrices qui le souhaitent, suivi des périodes de règles.

• Ces données sont traitées et stockées exclusivement en local sur l’appareil de l’Utilisateur.
• Ces données ne sont jamais transmises à l’Éditeur ni à des tiers par l’Application, sauf synchronisation volontaire décrite à l’Article 3.4.

3.4 Synchronisation optionnelle (Google Drive)

Sur instruction expresse de l’Utilisateur, les données locales visées au 3.3 peuvent être synchronisées au sein de son espace personnel via un service de stockage tiers (ex. Google Drive). Cette synchronisation génère des archives contenant des fichiers tableurs, stockées dans l’espace dédié de l’Utilisateur.

• L’Éditeur n’a aucun accès aux contenus synchronisés ; la maîtrise de ces archives relève exclusivement de l’Utilisateur et du fournisseur de stockage.
• La suppression des archives est maîtrisée par l’Utilisateur depuis l’Application et/ou son compte tiers, comme détaillé à l’Article 8.

3.5 Services connectés optionnels (objets/montres)

L’Utilisateur peut, s’il le décide, connecter son compte auprès de fournisseurs tiers d’objets connectés afin de récupérer uniquement des données de dépenses journalières (par exemple, calories dépensées). L’authentification est réalisée via un mécanisme sécurisé d’autorisation (type OAuth) sur le site du fournisseur tiers. Le fournisseur sollicite lui-même le consentement de l’Utilisateur avant l’établissement du lien.

• Seules les données de dépenses journalières sont importées ; aucune donnée d’identité (nom, email) n’est conservée par l’Application.
• Le jeton d’accès (token) personnel est généré par le fournisseur tiers, chiffré par le serveur de l’Éditeur, puis stocké sous forme chiffrée auprès d’un prestataire de base de données.
• Le jeton est géré (renouvellement) et révoqué intégralement lorsque l’Utilisateur se déconnecte du service tiers.

Article 4 – Finalités

• Fourniture des fonctionnalités de l’Application (suivi local, affichage, calculs) ;
• Connexion facultative à des services tiers (objets/montres) pour récupérer les dépenses journalières ;
• Synchronisation optionnelle des données locales vers l’espace de stockage personnel de l’Utilisateur ;
• Affichage de publicités au sein de l’Application ;
• Sécurité, maintien en conditions opérationnelles, journalisation technique non sensible côté serveur (logs dépourvus de données sensibles) ;
• Respect d’obligations légales et réglementaires.

Article 5 – Bases juridiques

• Consentement de l’Utilisateur : connexion à des services tiers, synchronisation de données vers un stockage tiers, personnalisation publicitaire via la plateforme de gestion du consentement (UMP) ;
• Intérêt légitime de l’Éditeur : sécurité, journalisation technique non sensible, affichage de publicités non personnalisées en cas de refus.

Mineurs : l’Application n’est pas destinée aux utilisateurs de moins de 16 ans dans l’Union européenne (article 8 RGPD) et de moins de 13 ans aux États-Unis (COPPA). Toute utilisation par un mineur requiert l’autorisation parentale vérifiable.

Article 6 – Destinataires, sous-traitants et transferts

Les données peuvent être traitées par des prestataires techniques tiers agissant en qualité de sous-traitants au sens de l’article 28 du RGPD, strictement pour le compte et selon les instructions de l’Éditeur :

• Prestataire d’hébergement sécurisé (déploiement du serveur intermédiaire de l’Éditeur) : héberge le code serveur développé par l’Éditeur. Les journaux accessibles via l’interface d’hébergement sont configurés pour n’inclure aucune donnée sensible et peuvent être exportés par l’Éditeur. Les communications serveur ↔ base sont protégées par SSL/TLS. Le domaine serveur est accessible en HTTPS.
• Prestataire de base de données : héberge une base relationnelle contenant exclusivement des jetons d’accès chiffrés, stockés dans des tables dédiées par service tiers. Aucun log applicatif n’affiche de données personnelles. Aucun contenu de santé n’y est stocké.
• Prestataires de services connectés (optionnels) : fournissent, sur autorisation explicite de l’Utilisateur, les données de dépenses journalières via leurs API. L’authentification est opérée par ces prestataires, qui recueillent directement le consentement de l’Utilisateur. Les éventuelles données d’identité échangées au cours du processus d’autorisation ne sont pas collectées par l’Application.
• Prestataire de diffusion publicitaire : affiche des publicités dans l’Application. La personnalisation est subordonnée au consentement explicite via la plateforme UMP.
• Prestataire de gestion du consentement (UMP) : collecte et gère les consentements publicitaires conformément au RGPD et à la directive ePrivacy ; les consentements sont stockés et une copie locale peut être conservée par le fournisseur.

Lorsque l’hébergement des sous-traitants implique des localisations hors de l’Union européenne (par exemple, aux États-Unis), les transferts sont encadrés par des Clauses Contractuelles Types approuvées par la Commission européenne et par des mesures complémentaires (chiffrement des jetons en amont, HTTPS/SSL, principe de minimisation).

Données de santé : les données locales de santé/intimité (poids, calories, cycles) restent cantonnées au terminal ou, en cas de synchronisation, dans l’espace personnel de l’Utilisateur auprès du fournisseur de stockage. Elles ne sont jamais accessibles à l’Éditeur ni stockées par ses sous-traitants.

Article 7 – Traceurs, publicités et consentement (UMP)

L’Application recourt à une plateforme de gestion du consentement (User Messaging Platform, « UMP ») afin de recueillir et d’actualiser les choix de l’Utilisateur relatifs à la publicité.

• Un écran de consentement est présenté avant toute diffusion publicitaire ;
• L’Utilisateur peut retirer ou modifier ses choix à tout moment depuis les paramètres accessibles dans l’Application ;
• En cas de refus, seules des publicités non personnalisées sont affichées ;
• L’Application n’utilise pas Firebase à des fins publicitaires ; aucun autre traceur publicitaire tiers n’est employé.

Article 8 – Durées de conservation et suppression

• Données locales (profil, données de santé) : conservées tant que l’Application est installée ; effacées automatiquement lors de la désinstallation.
• Synchronisation : l’Utilisateur peut supprimer, depuis l’Application, les archives de son espace tiers (par ex. Google Drive). La suppression est définitive et irréversible.
• Jetons d’accès : stockés chiffrés chez le prestataire de base de données ; supprimés ou rendus inutilisables lors de la déconnexion ; révoqués intégralement au niveau du service tiers.
• Journaux techniques serveur : paramétrés pour exclure toute donnée sensible ; conservations limitées au strict nécessaire à la sécurité et à la maintenance.
• Publicité : durées selon la politique du fournisseur publicitaire ; la personnalisation cesse en cas de retrait du consentement (UMP).

Article 9 – Droits des personnes

Conformément aux articles 15 à 22 du RGPD, l’Utilisateur dispose des droits d’accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité, ainsi que du droit de retirer son consentement à tout moment. L’Éditeur peut solliciter des informations complémentaires strictement nécessaires pour vérifier l’identité du demandeur (par exemple, pseudo ou référence interne de support).

Les demandes sont à adresser à : support@sciencemeapps.fr. L’Éditeur y répond dans un délai maximal d’un mois, prorogeable dans les cas prévus par le RGPD.

En cas de difficulté, l’Utilisateur peut saisir la CNIL (www.cnil.fr) ou l’autorité de contrôle compétente de son pays de résidence.

Article 10 – Sécurité

• Chiffrement des communications (HTTPS/SSL) entre l’Application, le serveur intermédiaire et la base de données ;
• Chiffrement des jetons d’accès avant stockage chez le prestataire de base de données ;
• Configuration des journaux techniques pour exclure toute donnée sensible ;
• Contrôles d’accès et principe du moindre privilège côté serveur.

En cas de violation de données personnelles, l’Éditeur notifiera la CNIL et, le cas échéant, les personnes concernées dans les conditions et délais des articles 33 et 34 du RGPD.

Article 11 – Mineurs

L’Application n’est pas destinée aux personnes de moins de 16 ans dans l’Union européenne ni de moins de 13 ans aux États-Unis. Toute utilisation par un mineur suppose l’autorisation parentale vérifiable.

Article 12 – Hébergement et distribution

L’Application est distribuée via les boutiques officielles et s’appuie sur des prestataires d’infrastructure et de base de données sécurisés. Le nom de domaine du serveur applicatif est diffusé en HTTPS.

Article 13 – Modifications de la Politique

L’Éditeur peut modifier la présente Politique à tout moment. Toute modification substantielle fera l’objet d’une notification au sein de l’Application et, lorsque cela est possible, par courrier électronique si l’Utilisateur a communiqué une adresse dans le cadre d’un contact support.

Article 14 – Contact

Pour toute question relative à la protection des données ou pour exercer vos droits, contactez : support@sciencemeapps.fr ou par courrier à l’adresse de correspondance : Ollioules, Provence-Alpes-Côte d'Azur, France. Pour toute demande officielle émanant d’une autorité compétente, l’adresse postale complète pourra être communiquée sur réquisition.