Politique de Confidentialité
Protection de vos données personnelles — conformément au Règlement Général sur la Protection des Données (RGPD, UE 2016/679).
1. Responsable du traitement
Dénomination : ZEPRAUG & CO
Forme juridique : SASU au capital de 1 000 €, RCS Paris 103 751 970
Siège social : 173 rue de Courcelles, 75017 Paris, France
Représentant légal : Louis Langevin (Président)
Pour toute demande relative à vos données personnelles, contactez : contact@zepraug.com
2. Données collectées
Données d'identité et de compte :
Nom complet, adresse email, mot de passe (chiffré). Ces données sont soit fournies directement à l'inscription, soit reçues de Sign in with Apple ou de Google Sign-In. Dans le cas de Google Sign-In, les seules données reçues de Google sont : adresse email vérifiée, nom complet et identifiant unique Google (sub). Aucune photo de profil, date de naissance, numéro de téléphone ou liste de contacts n'est consulté. Voir la section 4 quat pour la divulgation complète de Google Sign-In.
Données de profil fitness :
Objectif sportif, niveau de pratique, contraintes de pratique (disponibilité, matériel, préférences), poids, taille, tour de taille et tour de hanches. Ces données sont renseignées volontairement par l'utilisateur.
Conversations :
L'historique complet de vos échanges avec l'assistant IA est sauvegardé pour vous permettre de consulter vos précédentes conversations.
Données de paiement :
Les abonnements sont traités exclusivement par achat intégré (Apple App Store sur iOS, Google Play sur Android) via RevenueCat. Zepraug ne stocke aucun numéro de carte bancaire — seul un identifiant client anonyme est conservé.
Données de connexion :
Adresse IP, données de session (via Supabase Auth).
3. Bases légales du traitement (article 6 RGPD)
Exécution du contrat (Art. 6.1.b) : fourniture du service de coaching IA, gestion de votre compte et abonnement.
Intérêt légitime (Art. 6.1.f) : amélioration du service, sécurité, prévention des fraudes.
Consentement (Art. 6.1.a) : traitement des données de profil fitness (objectif, niveau, contraintes de pratique) pour la personnalisation des conseils.
4. Sous-traitants et destinataires
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Supabase | Authentification, base de données | USA (AWS) |
| Google (Gemini API) | Génération des réponses IA | USA |
| Google LLC (Google Sign-In OAuth) | Authentification OAuth (création de compte et connexion) | USA |
| Resend | Envoi d'emails | USA |
| Vercel | Hébergement front-end | USA |
| RevenueCat | Gestion des abonnements iOS / Android (In-App Purchase) | USA |
| Apple App Store | Traitement des achats intégrés iOS (facturation des abonnements) | USA |
| Google Play Billing | Traitement des achats intégrés Android (facturation des abonnements) | USA |
| Expo Push Service | Relais des notifications push vers APNs (iOS) et FCM (Android) | USA |
| AssemblyAI | Transcription vocale (dictée) | USA |
Vos données ne sont jamais vendues ni partagées à des fins commerciales avec des tiers.
4 quat. Connexion via Google (Google Sign-In)
Zepraug propose Google Sign-In comme l'une des méthodes d'authentification optionnelles (aux côtés d'email/mot de passe et Sign in with Apple). Cette section détaille comment l'application accède, utilise, stocke et partage les données utilisateur Google, conformément à la Google API Services User Data Policy et aux Google APIs Terms of Service.
Scopes demandés (accès) : openid, email, profile uniquement. Aucun scope sensible ou restreint n'est demandé. Zepraug n'accède jamais à Gmail, Drive, Calendar, Google Fit, Contacts ni à aucune autre API Google.
Données reçues : adresse email vérifiée, nom complet, et identifiant unique Google (sub). Aucune photo de profil n'est synchronisée depuis Google — les avatars in-app proviennent exclusivement d'images téléversées par l'utilisateur.
Finalité (usage) : exclusivement pour créer un compte Zepraug ou se connecter à un compte existant. Les données reçues de Google ne sont jamais utilisées à des fins marketing, de profilage, publicitaires, d'entraînement de modèles IA, ni pour toute autre finalité secondaire.
Stockage : l'adresse email vérifiée et le nom complet sont stockés dans Supabase Auth (auth.users) et recopiés dans la table public.profiles à l'inscription. L'identifiant Google (sub) est géré au sein de Supabase Auth et n'est pas dupliqué ailleurs. Les mesures de sécurité appliquées à ces données sont détaillées en section 8.
Partage : aucun partage à des tiers. Les données ne transitent que par les sous-traitants techniques déjà listés en section 4 (Supabase pour l'authentification et le stockage, Vercel pour l'hébergement). Jamais vendues, jamais transmises à des annonceurs, jamais partagées à des fins commerciales.
Rétention : les données reçues via Google Sign-In suivent la même politique de conservation que les données de compte — conservées pendant la durée de l'abonnement, puis 3 ans après la clôture (prescription légale, voir section 6).
Suppression : vous pouvez supprimer votre compte à tout moment via le flow de fermeture de compte in-app ou par email à contact@zepraug.com. La suppression du compte efface également l'enregistrement Supabase Auth correspondant (y compris l'identifiant Google sub) et les données issues de Google.
4 bis. Consentement marketing et notifications push
Le toggle « Communications du coach » dans le Profil de l'app est l'opt-in unique pour les emails marketing et les notifications push envoyées par le coach humain. Il est opt-in only (désactivé par défaut) et horodaté à l'activation.
Tu peux le désactiver à tout moment. Le passer en off coupe immédiatement tous les push coach et emails marketing. Les notifications transactionnelles (rappel jour de repos, alerte streak) ne sont pas gated par ce consentement et continuent de fonctionner tant que les notifications push sont autorisées au niveau OS.
Les tokens push (Expo Push Token) sont stockés par appareil dans notre base et supprimés quand l'appareil se désenregistre ou quand notre système détecte un token invalide (DeviceNotRegistered).
4 ter. Accès aux données par le coach humain (TTL 90 jours)
Les abonnés Premium + Coach autorisent explicitement le coach humain à accéder à leurs données fitness (programmes, séances, mensurations, conversations) pour permettre des conseils personnalisés. Par respect du principe RGPD de minimisation, cet accès expire automatiquement 90 jours après activation. Tu peux l'étendre de 90 jours ou le révoquer à tout moment depuis ton Profil.
Chaque accès du coach à tes données est journalisé dans un log d'audit (action, horodatage) consultable sur demande via contact@zepraug.com.
5. Transferts internationaux
Certains de nos sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés par :
- ▸Le EU-US Data Privacy Framework (DPF) pour les entreprises certifiées (Google, Apple)
- ▸Les Clauses Contractuelles Types (SCCs) de la Commission européenne
6. Durée de conservation
Données de compte : conservées pendant la durée de l'abonnement, puis 3 ans après la clôture (prescription légale).
Historique de chat : conservé pendant la durée de l'abonnement. Supprimé à la clôture du compte sur demande.
Données Google Sign-In : suivent la politique des données de compte (durée de l'abonnement + 3 ans après clôture). Voir la section 4 quat pour la divulgation complète des données utilisateur Google.
Données de paiement : conservées par l'Apple App Store et Google Play selon leurs propres politiques de rétention. Zepraug ne conserve qu'un identifiant client RevenueCat anonyme.
Logs de connexion : 12 mois maximum.
7. Vos droits (articles 15 à 21 du RGPD)
Vous disposez des droits suivants :
- ▸Droit d'accès — obtenir une copie de vos données personnelles
- ▸Droit de rectification — corriger des données inexactes
- ▸Droit à l'effacement — demander la suppression de vos données
- ▸Droit à la portabilité — recevoir vos données dans un format structuré
- ▸Droit d'opposition — vous opposer au traitement de vos données
- ▸Droit à la limitation — restreindre le traitement de vos données
Pour exercer vos droits, contactez-nous à : contact@zepraug.com
Délai de réponse : 30 jours maximum.
En cas de difficulté, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr
8. Sécurité des données
Vos données sont protégées par un chiffrement en transit (TLS/SSL) et au repos (chiffrement AES-256 via Supabase). L'accès aux données est strictement restreint et soumis à des règles de sécurité au niveau des lignes (Row Level Security).
9. Note relative aux données de santé
Zepraug ne collecte pas de données de santé au sens de l'article 9 du RGPD. Les informations de profil fitness (objectif sportif, niveau, contraintes de pratique, poids, tour de taille, tour de hanches) sont des données de bien-être et de condition physique, et non des données médicales. Aucun diagnostic, calcul d'IMC ou recommandation médicale n'est effectué.
Sur l'application mobile iOS, Zepraug peut lire votre poids depuis Apple Santé (HealthKit) avec votre consentement explicite, afin de pré-remplir le suivi des mensurations. Cette donnée est stockée uniquement dans votre profil Zepraug et n'est partagée avec aucun tiers. Vous pouvez désactiver cette synchronisation à tout moment depuis votre profil.
Zepraug est destiné aux personnes en bonne santé. Si vous souffrez d'une pathologie, nous vous invitons à consulter votre médecin avant d'utiliser le service.
10. Cookies
Zepraug utilise les cookies suivants :
Cookies strictement nécessaires (exempts de consentement — CNIL) :
- ▸Cookies d'authentification (Supabase Auth)
- ▸Cookies de session
Cookies analytics et publicitaires (Google Tag Manager) :
Zepraug utilise Google Tag Manager avec le Consent Mode v2. Par défaut, tous les cookies analytics et publicitaires sont refusés (ad_storage, analytics_storage, ad_user_data, ad_personalization). Les tags fonctionnent en mode dégradé (modélisation statistique) sans déposer de cookies de suivi. Un bandeau de gestion du consentement (CookieYes) est en place pour permettre aux utilisateurs d'accepter ou de refuser ces cookies.
Dernière mise à jour : avril 2026 · CGU · CGV · Mentions légales