1. Identité du responsable de traitement
Le responsable du traitement de vos données personnelles est :
- Société : Equily, société par actions simplifiée (SAS)
- SIREN : 100 564 202 (RCS Paris)
- Capital social : 20 000 €
- Adresse : 20 rue Delambre, 75014 Paris, France
- E-mail : contact@equily.co
2. Champ d'application et principes directeurs
La présente politique (la « Politique ») s'applique à l'ensemble des traitements de données à caractère personnel réalisés par Equily dans le cadre de l'exploitation de sa plateforme (site web et application mobile) dédiée au suivi d'habitudes et au bien-être (la « Plateforme »).
Equily se conforme strictement au Règlement (UE) 2016/679 (le « RGPD ») et à la Loi n° 78-17 du 6 janvier 1978 modifiée. Nos principes directeurs sont :
- Minimisation : nous ne collectons que les données strictement nécessaires à chaque finalité.
- Transparence : vous êtes informé de chaque traitement au moment où il est initié.
- Consentement contextuel : votre consentement est recueilli au moment précis où vous ajoutez une habitude nécessitant des données spécifiques — et non de manière globale à l'inscription.
- Contrôle utilisateur : vous pouvez modifier, retirer vos consentements ou supprimer votre compte à tout moment, directement depuis l'application.
3. Données collectées, finalités et bases légales
Nous ne collectons que les données strictement nécessaires à chaque finalité. Le tableau ci-dessous récapitule l'ensemble des traitements mis en œuvre par Equily.
| Finalité | Données traitées | Base légale (art. 6 RGPD) |
|---|---|---|
| Inscription à la liste d'attente et envoi de communications relatives au lancement | Adresse e-mail | Consentement (art. 6.1.a) |
| Newsletter — informations, mises à jour et actualités Equily | Adresse e-mail, prénom (optionnel), langue de préférence |
Consentement (art. 6.1.a) Révocable à tout moment via le lien de désinscription dans chaque e-mail ou depuis votre profil dans l'application |
| Création et gestion du compte utilisateur Mode anonyme disponible via pseudo généré aléatoirement |
Identifiant unique (UUID), adresse e-mail (optionnelle en mode anonyme), date de naissance, genre, objectif principal déclaré | Exécution du contrat (art. 6.1.b) |
| Vérification de la majorité (accès réservé aux 18 ans et plus) | Date de naissance (calcul d'âge uniquement — donnée déjà collectée dans le cadre du compte) | Exécution du contrat (art. 6.1.b) |
| Personnalisation de l'interface (fuseau horaire, langue, format d'heure, pays) | Fuseau horaire, langue d'affichage, format d'heure (12h/24h), pays de résidence | Exécution du contrat (art. 6.1.b) |
| Suivi d'habitudes et collecte de données contextuelles (nombre de pas, alimentation, peau, allergies, blessures) | Données quantitatives et qualitatives spécifiques à l'habitude activée — dont des données de santé (voir article 4) |
Consentement explicite (art. 9.2.a) Recueilli habitude par habitude |
| Suivi de la progression (complétions, streaks) | Historique des validations quotidiennes, données d'activité | Exécution du contrat (art. 6.1.b) |
| Personnalisation et recommandations adaptées au profil (objectifs, priorités, historique) | Objectif principal, priorités de bien-être déclarées (sommeil, exercice, nutrition, etc.), historique de complétion, données de santé dans la limite du consentement | Consentement explicite (art. 9.2.a) + Intérêt légitime (art. 6.1.f) |
| Gestion des abonnements premium | Identifiant de transaction App Store / Google Play (Equily n'accède pas aux données bancaires) | Exécution du contrat (art. 6.1.b) |
| Stabilité et débogage de l'application (Firebase Crashlytics) | Rapports de plantage anonymisés : type d'appareil, version OS, version de l'application, stack traces, identifiant d'installation Crashlytics (réinitialisable) | Intérêt légitime (art. 6.1.f) Aucune donnée personnelle de santé ou de compte n'est transmise à Crashlytics |
| Analytics comportementaux internes — mesure de l'engagement, cohortes de rétention, analyse des parcours d'usage | UUID pseudonymisé, événements comportementaux horodatés (type d'action dans l'app : ajout d'habitude, complétion, suppression, fréquence d'usage), cohorte d'inscription. Le contenu spécifique des habitudes n'est pas collecté. |
Intérêt légitime (art. 6.1.f) Système interne Equily — aucune transmission à des tiers. Droit d'opposition disponible depuis les paramètres de l'application. |
| Support technique et amélioration de l'application | Messages de support, métriques d'utilisation anonymisées, modèle et version OS de l'appareil | Intérêt légitime (art. 6.1.f) |
4. Données de santé et profilage
4.1 Données relevant de l'article 9 RGPD
Certaines données que vous pouvez choisir de communiquer à Equily constituent des données relatives à la santé au sens de l'article 9 du RGPD. Il s'agit notamment de :
- informations sur des blessures ou douleurs physiques ;
- données alimentaires et régimes spécifiques ;
- allergies alimentaires ou cutanées ;
- type de peau et informations dermatologiques ;
- données d'activité physique importées depuis Apple Health ou Google Fit (avec votre autorisation explicite via les permissions de votre système d'exploitation).
Conformément à l'article 35 du RGPD, Equily a réalisé une Analyse d'Impact relative à la Protection des Données (AIPD) préalablement au traitement de ces données sensibles, compte tenu des risques potentiels pour vos droits et libertés.
4.2 Profilage et décisions automatisées
Equily met en œuvre un traitement de profilage au sens de l'article 4(4) du RGPD afin de vous proposer des recommandations d'habitudes et d'exercices personnalisées. Ce profilage s'appuie sur :
- votre profil déclaré : objectif principal (ex. : vieillir en bonne santé), priorités de bien-être (sommeil, exercice, nutrition, etc.), date de naissance, genre ;
- votre historique d'activité : complétions d'habitudes, streaks, progression ;
- vos données de santé déclarées, dans les limites de votre consentement.
Ce profilage est réalisé uniquement pour améliorer votre expérience et ne produit aucune décision automatisée produisant des effets juridiques ou vous affectant de manière significative au sens de l'article 22 du RGPD. Les recommandations sont générées par un moteur mixte algorithmique et éditorial.
Vous avez le droit de vous opposer à ce profilage à tout moment en désactivant les habitudes concernées depuis votre espace personnel ou en nous contactant à contact@equily.co.
5. Sécurité des données personnelles
Equily met en œuvre des mesures de sécurité techniques et organisationnelles adaptées à la sensibilité des données traitées, conformément à l'article 32 du RGPD.
5.1 Chiffrement des données de santé — double couche
(1) Chiffrement CMEK via Google Cloud KMS HSM — Firestore est chiffré à l'aide d'une clé gérée via un module de sécurité matériel (HSM) Google Cloud KMS, configuré et contrôlé par Equily. La clé réside sur une puce matérielle sécurisée et ne peut pas être exportée ou extraite en dehors du module HSM, y compris par Google. Seules les opérations de chiffrement/déchiffrement autorisées par la politique d'accès définie par Equily sont permises.
(2) Chiffrement additionnel par utilisateur — chaque compte dispose d'une clé de chiffrement individuelle. Vos données de santé sont chiffrées avec votre clé propre avant stockage dans Firestore, garantissant qu'aucun autre compte ne peut accéder à vos données.
5.2 Autres mesures de sécurité
5.3 Sauvegardes
Firebase maintient des sauvegardes automatiques de la base de données à des fins de continuité de service. En cas de suppression de votre compte ou de retrait de votre consentement, vos données sont supprimées de la base de données active immédiatement. Elles peuvent subsister dans les sauvegardes techniques pour une durée limitée (généralement inférieure à 30 jours), avant d'être purgées automatiquement. Ces sauvegardes ne sont accessibles qu'en cas d'incident technique grave et ne sont pas utilisées à des fins de traitement.
6. Transferts internationaux de données
Vos données sont prioritairement hébergées au sein de l'Union Européenne. Le tableau ci-dessous liste l'ensemble des sous-traitants techniques d'Equily :
| Sous-traitant | Rôle | Établissement | Stockage | Garantie (art. 46 RGPD) |
|---|---|---|---|---|
| OVH SAS | Hébergement du site web (landing page / front-end) | France — UE | France — UE | Aucun transfert hors UE — DPA OVH |
| Google LLC Firebase, Cloud KMS, Crashlytics |
Hébergement applicatif, authentification, base de données, gestion des clés HSM (CMEK), rapports de plantage (Crashlytics — sans Analytics) | États-Unis | UE — europe-west | CCT Commission Européenne + DPA Google Firebase. Les clés CMEK résident dans un HSM configuré par Equily — la clé ne peut pas être exportée hors du module. DPA → |
| Brevo SAS ex-Sendinblue |
Routage e-mail, gestion de la newsletter et des listes de contacts | France — UE | UE | Société française, données hébergées en UE — aucun transfert hors UE. DPA Brevo → |
7. Durées de conservation
Vos données ne sont conservées que le temps strictement nécessaire aux finalités pour lesquelles elles ont été collectées :
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte (UUID, e-mail, date de naissance, genre, objectif, priorités) | Pendant la durée d'activité du compte. En cas d'inactivité de 3 ans ou sur demande de suppression : effacement ou anonymisation totale dans la base de données active. |
| Préférences d'interface (langue, fuseau horaire, format d'heure, pays) | Pendant la durée d'activité du compte. Supprimées avec le compte. |
| Données de santé et d'habitudes | Supprimées immédiatement de la base de données active en cas de retrait du consentement spécifique à l'habitude concernée, ou lors de la suppression du compte. Voir article 5.3 concernant les sauvegardes techniques. |
| Newsletter et liste d'attente | 3 ans à compter de la collecte ou du dernier engagement, sauf désinscription anticipée. La désinscription entraîne la suppression de l'adresse e-mail dans un délai maximum de 30 jours. |
| Données analytics comportementaux | 24 mois glissants à compter de chaque événement collecté, puis suppression automatique. Les données agrégées anonymisées issues de ces analyses peuvent être conservées indéfiniment. |
| Rapports Crashlytics | 90 jours (durée de conservation par défaut de Firebase Crashlytics). |
| Données de support et logs techniques | 13 mois maximum. |
| Sauvegardes techniques Firebase | 30 jours maximum — non utilisées à des fins de traitement (voir article 5.3). |
| Données anonymisées à des fins statistiques | Conservation indéfinie (non soumises au RGPD, identification directe impossible). |
8. Destinataires des données
Vos données personnelles ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Elles peuvent uniquement être partagées avec :
- Equily SAS (responsable de traitement), pour les opérations décrites dans la présente Politique, incluant le système d'analytics comportementaux interne opérant sur données pseudonymisées (UUID encrypté).
- Google LLC (Firebase, Cloud KMS HSM, Crashlytics), sous-traitant technique lié par un DPA conforme au RGPD. Les données de santé sont protégées par chiffrement CMEK HSM et chiffrement per-user.
- OVH SAS, sous-traitant pour l'hébergement du site web, sans accès aux données applicatives.
- Brevo SAS, sous-traitant pour l'envoi des e-mails newsletter, recevant uniquement les adresses e-mail des abonnés consentants.
- Apple Inc. / Google LLC, pour la gestion technique des abonnements via leurs stores (identifiants de transaction uniquement — Equily n'accède à aucune donnée de paiement).
- Les autorités compétentes, le cas échéant, sur obligation légale.
9. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles. La plupart sont directement accessibles depuis les paramètres de l'application.
Pour exercer un droit que vous ne pouvez pas effectuer directement depuis l'application, contactez-nous à contact@equily.co. Nous nous engageons à répondre dans un délai d'un mois (art. 12 RGPD), prorogeable de deux mois en cas de complexité.
10. Absence de cookies de suivi
Notre application mobile et notre site web n'utilisent aucun cookie de suivi, de profilage publicitaire ou d'analyse comportementale. Aucun identifiant publicitaire (IDFA, GAID) n'est collecté. Firebase Crashlytics est utilisé sans Google Analytics.
Des données techniques minimales strictement nécessaires au fonctionnement de l'application (jetons d'authentification Firebase stockés via Flutter Secure Storage, préférences de session) peuvent être conservées localement sur votre appareil. Ces données ne sont pas transmises à des tiers à des fins de suivi.
11. Mineurs
La Plateforme Equily est réservée aux personnes âgées de 18 ans et plus. La date de naissance collectée lors de l'inscription est utilisée pour vérifier cette condition préalable d'accès. Elle n'est pas utilisée à d'autres fins sans votre consentement explicite.
Nous ne collectons pas sciemment de données personnelles concernant des personnes de moins de 18 ans. Si vous avez connaissance qu'un mineur a créé un compte sur notre Plateforme, nous vous invitons à nous le signaler à contact@equily.co afin que nous procédions à la suppression immédiate des données concernées.
12. Modifications de la Politique et contact
La présente Politique a été publiée pour la première fois en février 2026. Elle a été mise à jour en mai 2026 pour intégrer : la newsletter via Brevo, les données de profil utilisateur (date de naissance, genre, objectif, priorités, préférences d'interface), la gestion des abonnements premium, Firebase Crashlytics, l'architecture de double chiffrement des données de santé (CMEK HSM + chiffrement per-user), et la mention des sauvegardes techniques.
Pour toute question relative à cette Politique :
- E-mail : contact@equily.co
- Courrier : Equily SAS — 20 rue Delambre, 75014 Paris, France