Politique de Confidentialité

FitMesh Sync ("nous", "notre", "l'application") respecte votre vie privée et s'engage à protéger vos données personnelles. Cette Politique de confidentialité explique comment nous collectons, utilisons et protégeons les informations de santé lorsque vous utilisez notre application mobile FitMesh Sync (com.fitmeshsync.app sur Google Play).

Base légale du traitement: art. 6(1)(b) du RGPD (exécution du service demandé par l'utilisateur) et art. 9(2)(a) du RGPD (consentement explicite au traitement de données relatives à la santé, accordé via les autorisations Health Connect/Samsung Health dans l'application).

FitMesh Sync lit les données de santé suivantes depuis votre appareil Android via des services autorisés (Health Connect, Samsung Health Data SDK):

• •Activité physique: pas, distance parcourue, calories brûlées (actives et totales), étages montés
• •Fréquence cardiaque: moyenne, plage min/max, fréquence cardiaque au repos, HRV
• •Sommeil: durée totale, phases (profond, REM, léger, éveillé), heures de début et de fin
• •Composition corporelle: poids, taille, IMC (si renseignés par l'utilisateur)
• •Autres paramètres: saturation en oxygène (SpO₂), VO₂ max, température cutanée, dénivelé
• •Séances d'entraînement: type d'activité, durée, distance, calories
• •Compte: adresse e-mail (pour l'authentification via Supabase Auth) et identifiant de l'appareil

Les données collectées sont utilisées exclusivement pour:

• •Synchronisation: recevoir et stocker vos métriques de santé sur notre backend cloud
• •Visualisation: afficher les données sur le tableau de bord de l'application
• •Support: diagnostiquer les problèmes techniques lorsque vous nous les signalez par e-mail
• •Notifications: envoyer des rappels configurables (par exemple, rappels de synchronisation) via Firebase Cloud Messaging

Nous ne vendons, ne partageons ni n'utilisons vos données à des fins publicitaires ou marketing. Aucun profilage automatisé produisant des effets juridiques sur l'utilisateur n'est effectué.

Les données synchronisées sont envoyées au backend FitMesh Sync hébergé sur:

• •Vercel Inc.: hébergement de l'API serverless de fitmesh.fit (région préférée: Europe fra1; certaines fonctions edge s'exécutent dans la région la plus proche de l'utilisateur)
• •Supabase Inc.: base de données PostgreSQL gérée + authentification + stockage (projet en région UE, eu-central-1 Francfort)

Les données restent sur votre appareil Android dans un cache local jusqu'au moment de la synchronisation. Après confirmation de réception, le cache local est vidé.

La base de données principale (Supabase Postgres) est hébergée dans l'Union européenne (Francfort, Allemagne). Toutefois, certains services auxiliaires impliquent un transfert vers des pays tiers, notamment les États-Unis:

• •Vercel (États-Unis): edge runtime et journalisation des requêtes. Transfert encadré par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (Décision 2021/914) et par l'Avenant sur le traitement des données signé avec Vercel
• •Resend (États-Unis): envoi d'e-mails transactionnels (confirmation d'inscription bêta, communications de support). Transfert encadré par CCT + DPA
• •Firebase Cloud Messaging (Google LLC, États-Unis): transport des notifications push. Google adhère aux CCT et au Cadre de protection des données UE-États-Unis
• •Google Sign-In (Google LLC, États-Unis): authentification optionnelle via compte Google. Transfert encadré par CCT + DPF

Avant de transférer des données vers les États-Unis, nous avons réalisé une Évaluation d'Impact du Transfert: les données transférées sont limitées et n'incluent pas d'identifiants biométriques bruts; les CCT comprennent des clauses de suspension en cas de demandes d'autorités gouvernementales; les fournisseurs retenus adhèrent au Cadre de protection des données UE-États-Unis lorsqu'il est disponible.

• •Métriques de santé: conservées tant que le compte utilisateur est actif. La suppression du compte est exécutée automatiquement dans les 24 heures suivant la demande (processus planifié actif), supprimant définitivement les données de santé associées
• •Journaux applicatifs et de synchronisation: conservés 90 jours à des fins de diagnostic, puis supprimés automatiquement
• •E-mails de contact (confidentialité/support): conservés 24 mois pour assurer la continuité du support, puis supprimés
• •Sauvegardes de la base de données: rotation sur 7 jours via la récupération point-in-time de Supabase
• •Données d'inscription bêta: conservées jusqu'au lancement public, puis anonymisées ou supprimées

FitMesh Sync requiert les autorisations suivantes:

• •Health Connect: pour lire les données de santé depuis le système d'exploitation Android
• •Samsung Health (optionnel): si vous possédez une Galaxy Watch, pour des données supplémentaires non exposées par Health Connect
• •Accès à Internet: pour synchroniser les données avec le backend FitMesh Sync
• •Synchronisation en arrière-plan: pour envoyer des données périodiquement même lorsque l'application est fermée
• •Notifications: pour recevoir des rappels de synchronisation et des avis système
• •Exemption d'optimisation de la batterie: pour garantir une synchronisation régulière (requis sous Android 14+)

Toutes les autorisations sont demandées explicitement et vous pouvez les révoquer à tout moment depuis les paramètres de l'appareil ou de l'application.

• •Transport: toutes les données transitent via HTTPS/TLS 1.2+ vers fitmesh.fit
• •Persistance locale: le cache local est vidé après livraison confirmée par le serveur
• •Jetons d'authentification: JWT Supabase stockés dans l'Android Keystore (flutter_secure_storage)
• •Sécurité au niveau des lignes (RLS): chaque utilisateur ne peut lire et écrire que ses propres enregistrements (politiques RLS de Supabase sur toutes les tables exposées)
• •Aucun traceur tiers dans l'application: aucun SDK d'analyse, de publicité ou de profilage n'est intégré dans l'application

Conformément au RGPD, vous disposez du droit de:

• •Accès: demander une copie de vos données stockées dans nos systèmes
• •Rectification: corriger des données inexactes ou incomplètes
• •Effacement: demander la suppression complète de votre compte et des données associées. La demande est exécutée automatiquement dans les 24 heures
• •Limitation: demander la limitation du traitement dans des cas spécifiques
• •Portabilité: exporter toutes vos données vous-même, au format JSON structuré, depuis la page d'export disponible dans l'espace utilisateur (/app/export)
• •Opposition: vous opposer au traitement pour des raisons légitimes
• •Retrait du consentement: désactiver les autorisations d'accès aux données de santé à tout moment (le retrait ne remet pas en cause la licéité du traitement effectué avant celui-ci)

Vous pouvez exercer vous-même les droits à la portabilité (export des données) et à l'effacement directement depuis l'espace utilisateur. Pour les autres droits, ou si vous le préférez, écrivez-nous à privacy@fitmesh.fit. Nous répondons dans un délai de 30 jours conformément à l'art. 12 du RGPD.

FitMesh Sync fait appel aux sous-traitants suivants:

• •Health Connect (Google LLC): source de données de santé Android, lues localement, non communiquées par nous à Google
• •Samsung Health Data SDK (Samsung Electronics): source de données Galaxy Watch, lues localement
• •Supabase Inc.: PostgreSQL géré + Auth (Francfort, DE), DPA signé
• •Vercel Inc.: hébergement API serverless (États-Unis, edge global), DPA signé + CCT
• •Resend, Inc.: envoi d'e-mails transactionnels (États-Unis), DPA + CCT
• •Google LLC (Firebase Cloud Messaging): transport des notifications push (États-Unis), DPA + CCT + DPF
• •Google LLC (Google Sign-In, optionnel): authentification OAuth (États-Unis), DPA + CCT + DPF
• •Google LLC (Google Play Billing): gestion des achats intégrés, soumis aux Conditions d'utilisation de Google Play
• •Google Analytics 4 (site web uniquement, opt-in): analyse anonyme activée uniquement après consentement explicite via la bannière de cookies

Plus de détails sur les cookies du site web dans notre Politique de cookies.

Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre. Pour les modifications importantes, nous vous en informerons par e-mail ou via un avis dans l'application avant la prochaine synchronisation. La date de dernière mise à jour est indiquée en haut de cette page.

FitMesh Sync n'est pas destiné aux utilisateurs de moins de 16 ans (seuil prévu à l'art. 8 du RGPD pour le consentement numérique en Italie). Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans sans le consentement du titulaire de l'autorité parentale.

Si vous estimez que le traitement de vos données enfreint le RGPD, vous pouvez introduire une réclamation auprès de l'autorité nationale de protection des données compétente. Pour les résidents en Italie, il s'agit du Garante per la Protezione dei Dati Personali: garanteprivacy.it. Si vous résidez dans un autre État membre de l'UE, vous pouvez vous adresser à votre autorité nationale compétente.