Politique de confidentialite

Derniere mise a jour : 9 juillet 2026

En resume : Anawiri traite des donnees de sante (categorie particuliere, Article 9 RGPD) uniquement avec votre consentement explicite. Certaines fonctionnalites d'intelligence artificielle (analyse de vos photos de bilans sanguins, journal alimentaire assiste, generation d'images) transmettent des donnees a des prestataires situes hors de l'Union europeenne (Etats-Unis). Nous ne vendons jamais vos donnees. Vous pouvez supprimer votre compte et l'ensemble de vos donnees a tout moment.

1. Responsable du traitement

Le responsable du traitement de vos donnees personnelles est :

2. Donnees que nous collectons

Nous appliquons le principe de minimisation : nous ne collectons que les donnees necessaires au fonctionnement du service.

2.1 Donnees de compte et de profil

2.2 Donnees de sante (categorie particuliere - Article 9 RGPD)

Les donnees suivantes beneficient d'une protection renforcee et ne sont traitees qu'avec votre consentement explicite :

Important — transparence : contrairement a d'anciennes versions de ce document, ces donnees de sante ne restent pas exclusivement sur votre appareil. Elles peuvent etre synchronisees avec nos serveurs (Supabase, UE) pour vous fournir le service, et certaines fonctions d'IA transmettent des donnees a des prestataires hors UE (voir sections 5 et 6). Vous gardez le controle : consentement requis, retrait et suppression possibles a tout moment.

2.3 Donnees techniques

2.4 Donnees que nous ne collectons pas

3. Bases legales du traitement

4. Finalites du traitement

5. Destinataires et sous-traitants

Nous ne vendons jamais vos donnees et ne les partageons pas a des fins publicitaires. Les prestataires (sous-traitants au sens de l'Art. 28 RGPD) suivants peuvent traiter certaines donnees pour notre compte :

PrestataireFinaliteDonnees concerneesLocalisationGaranties
Supabase Hebergement de la base de donnees PostgreSQL, authentification, stockage Donnees de compte, profil, journal, et donnees de sante synchronisees Union europeenne — region eu-north-1 (Stockholm, Suede) Traitement dans l'UE ; DPA — ref. <REF_DPA_SUPABASE>
OpenAI OCR des photos de bilans sanguins ; assistance IA au journal alimentaire ; generation de listes Image du bilan sanguin (donnee de sante), texte du journal alimentaire Etats-Unis (hors UE) Clauses contractuelles types (CCT) / DPA — ref. <REF_DPA_OPENAI>. Voir section 6.
Google (Gemini / Generative AI) Generation d'images de recettes Invites textuelles (noms de recettes, ingredients) — pas de donnee de sante identifiante Etats-Unis (hors UE) Clauses contractuelles types (CCT) / DPA — ref. <REF_DPA_GOOGLE>. Voir section 6.
Anthropic (Claude) Generation du bilan hebdomadaire narratif personnalise Donnees de sante et d'hygiene de vie agregees (scores, sommeil moyen, pas, unites d'alcool, cigarettes, progression nutritionnelle) — pas de nom ni d'email Etats-Unis (hors UE) Clauses contractuelles types (CCT) / DPA — ref. <REF_DPA_ANTHROPIC>. Voir section 6.
Open Food Facts Identification des produits alimentaires scannes (nom, marque, composition nutritionnelle) Code-barres du produit scanne, ou termes de recherche saisis pour trouver un produit — aucune donnee de compte France / Union europeenne (association loi 1901) Base de donnees collaborative en acces libre ; pas de DPA formel (donnee non identifiante transmise)
Open Beauty Facts Identification des produits cosmetiques scannes (nom, marque, liste d'ingredients) Code-barres du produit scanne, ou termes de recherche saisis pour trouver un produit — aucune donnee de compte France / Union europeenne (association loi 1901) Base de donnees collaborative en acces libre ; pas de DPA formel (donnee non identifiante transmise)
UPCItemDB Identification du produit en dernier recours, lorsque Open Food Facts / Open Beauty Facts ne renvoient aucun resultat Code-barres du produit uniquement — aucune donnee de compte Etats-Unis (hors UE) Donnee non identifiante uniquement. Voir section 6.
RevenueCat Gestion des abonnements in-app Identifiant utilisateur (anonymise), statut d'abonnement Etats-Unis CCT / DPA — ref. <REF_DPA_REVENUECAT>
Apple / Google (stores) Paiement in-app, distribution Donnees d'achat (gerees par la plateforme) Etats-Unis Accords de transfert propres aux plateformes

Architecture technique : les appels vers OpenAI et Google sont relayes par une fonction serveur securisee (edge function Supabase, UE) ; aucune cle d'API tierce n'est stockee dans l'application. Cela ne change pas le fait que le contenu transmis (image de bilan, texte) est in fine traite aux Etats-Unis par le prestataire concerne.

6. Transferts de donnees hors Union europeenne (Art. 44 a 49 RGPD)

Certaines fonctionnalites impliquent un transfert de donnees vers les Etats-Unis :

Ces transferts sont encadres par des clauses contractuelles types (CCT) approuvees par la Commission europeenne et/ou par votre consentement. Vous pouvez obtenir une copie des garanties en ecrivant a <EMAIL_CONTACT>.

Fonctions optionnelles : l'analyse par IA (OCR de bilans, assistance journal, images) est facultative. Si vous ne souhaitez pas de transfert hors UE, vous pouvez saisir vos donnees manuellement et ne pas activer ces fonctions.

7. Duree de conservation

8. Vos droits (RGPD)

Conformement aux articles 15 a 22 du RGPD, vous disposez des droits suivants :

Pour exercer vos droits : <EMAIL_CONTACT>. Delai de reponse : 1 mois maximum.

Vous pouvez egalement introduire une reclamation aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes) : https://www.cnil.fr/fr/plaintes — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

9. Securite (Art. 32 RGPD)

10. Mineurs

Anawiri est destine aux personnes de 15 ans et plus (seuil de consentement numerique fixe par la loi francaise, art. 45 de la loi Informatique et Libertes). Nous ne collectons pas sciemment de donnees concernant des mineurs de moins de 16 ans. Si vous pensez qu'un tel mineur nous a communique des donnees, contactez-nous a <EMAIL_CONTACT>.

11. Cookies et traceurs

L'application mobile n'utilise pas de cookies publicitaires ni de traceurs tiers. Seuls des jetons techniques strictement necessaires (session d'authentification, preferences locales) sont utilises.

12. Modifications

Toute modification substantielle de cette politique sera notifiee dans l'application. L'utilisation continue apres notification vaut prise de connaissance ; les traitements soumis a consentement necessiteront un nouveau recueil de consentement le cas echeant.

13. Contact

Pour toute question relative a vos donnees personnelles :

<EMAIL_CONTACT>