Politique de confidentialité

La présente politique de confidentialité décrit comment SARL CENTAURI ("MonCoachGourmand", "nous", "notre") collecte, utilise et protège vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés. Périmètre : La présente politique couvre le site web et l'application web MonCoachGourmand (https://moncoachgourmand.com). L'application mobile dispose de sa propre politique de confidentialité, accessible depuis les paramètres de l'application. En utilisant nos services, vous acceptez les pratiques décrites dans cette politique. Nous vous invitons à la lire attentivement.

Le responsable du traitement des données est : SARL CENTAURI 5 Avenue de la Brosse, 44120 Vertou, France SIRET : 994 434 900 00019 Email : contact@moncoachgourmand.com

Nous collectons les catégories de données suivantes : • Données d'identification : nom, prénom, adresse email • Données de profil : date de naissance (permettant de calculer votre âge), sexe, objectifs nutritionnels, préférences alimentaires, allergies • Données de santé (Art. 9 RGPD) : poids, taille, IMC, besoins caloriques — collectées uniquement avec votre consentement explicite • Données d'utilisation : recettes consultées, plans repas générés, recettes créées • Données techniques : adresse IP, type de navigateur, appareil utilisé, langue du navigateur (code ISO 639-1, par exemple `fr`, `en`, `ar`) déclarée par votre navigateur via la propriété `navigator.language`

Vos données sont utilisées pour : • Créer et gérer votre compte utilisateur • Personnaliser vos plans repas et recommandations nutritionnelles • Adapter les recommandations nutritionnelles à votre âge, calculé à partir de votre date de naissance • Vérifier que vous disposez de l'âge minimum légal requis pour consentir seul au traitement de vos données (protection des mineurs, article 8 du RGPD) • Calculer vos besoins caloriques et macronutriments • Améliorer nos services et algorithmes de recommandation • Vous envoyer des communications relatives au service • Assurer la sécurité de la plateforme • Adapter la langue de nos communications (emails transactionnels et marketing) et segmenter nos statistiques d'usage par marché linguistique • Mesurer le parcours d'inscription et d'utilisation de manière fiable en associant les sessions analytiques à votre compte (rattachement Google Analytics par identifiant utilisateur, soumis à votre consentement)

Le traitement de vos données repose sur : • Exécution du contrat (Art. 6.1.b RGPD) : pour fournir nos services de coaching nutritionnel, adapter les recommandations à votre âge (calculé à partir de votre date de naissance) et pour la collecte et l'utilisation de la langue de votre navigateur, afin de vous communiquer dans une langue que vous comprenez • Respect d'une obligation légale (Art. 6.1.c RGPD) et protection des mineurs (Art. 8 RGPD + article 45 de la loi Informatique et Libertés) : la date de naissance est traitée pour vérifier le seuil légal de consentement autonome (fixé à 15 ans en France) et, plus largement, pour vérifier que vous remplissez la condition d'accès au service fixée par l'éditeur, à savoir être âgé de 18 ans et plus ; conformément au principe de minimisation (Art. 5.1.c RGPD), nous ne collectons que la date de naissance, l'âge en étant dérivé • Consentement explicite (Art. 9.2.a RGPD) : pour le traitement de vos données de santé (poids, taille, IMC) • Consentement (Art. 6.1.a RGPD) : pour la mesure d'audience Google Analytics et le rattachement de vos sessions à votre identifiant utilisateur ; ce consentement est recueilli via notre bandeau de gestion des cookies et peut être retiré à tout moment • Intérêt légitime (Art. 6.1.f RGPD) : pour améliorer nos services et assurer la sécurité de la plateforme Vous pouvez retirer votre consentement à tout moment depuis les paramètres de votre compte ou en nous contactant.

Les données suivantes que vous renseignez dans MonCoachGourmand sont qualifiées de "données concernant la santé" au sens de l'article 4.15 du RGPD : • Poids, taille, IMC, mensurations corporelles • Objectifs nutritionnels et de poids • Pathologies, allergies, intolérances alimentaires déclarées • Journaux alimentaires (apports caloriques, macronutriments) • Données d'activité physique • Conditions médicales mentionnées dans les conversations avec le coach IA Base légale spécifique : votre consentement explicite (article 9.2.a RGPD), recueilli lors de la création du compte et confirmé à chaque modification de votre profil de santé. Retrait du consentement : vous pouvez retirer votre consentement à tout moment depuis les paramètres de votre compte. Le retrait entraîne la suppression de ces données et peut affecter le fonctionnement du service (perte des recommandations personnalisées). Ces données font l'objet de mesures de protection renforcées : • Chiffrement au repos (AES-256) et en transit (TLS 1.3) • Accès restreint par politique de sécurité Row-Level Security (RLS) • Suppression immédiate et complète à la clôture de votre compte ou sur demande • Jamais partagées avec des tiers à des fins commerciales Hébergement : la partie applicative web (frontend) est hébergée sur Vercel Inc. (États-Unis), encadrée par le Data Privacy Framework UE–États-Unis (décision d'adéquation de la Commission européenne du 10 juillet 2023) et, à titre subsidiaire, par les Clauses Contractuelles Types (SCC). La base de données PostgreSQL et le stockage de fichiers sont opérés par Supabase Inc. (États-Unis) sur infrastructure AWS région eu-west-3 (Paris, France, Union européenne) — les données restent physiquement stockées dans l'Union européenne, mais le sous-traitant étant une société américaine, la relation est encadrée par le Data Privacy Framework UE–États-Unis et, à titre subsidiaire, par les Clauses Contractuelles Types ainsi que par le DPA Supabase. MonCoachGourmand ne nécessite pas de certification HDS (Hébergeur de Données de Santé) car le service ne traite pas de données de santé issues d'une activité de soin au sens de l'article L.1111-8 du Code de la santé publique.

Vos données sont conservées : • Données de compte (y compris la date de naissance) : pendant la durée de votre inscription, puis 3 ans après la dernière activité • Langue du navigateur : conservée avec votre compte, donc pendant la durée de votre inscription puis 3 ans après la dernière activité (alignée sur les données de compte) ; mise à jour automatiquement à chaque connexion si votre langue change • Données de santé : supprimées immédiatement à votre demande ou à la clôture du compte • Recettes créées : transférées au compte communautaire MonCoachGourmand à la suppression de votre compte (dissociées de votre identité) • Identifiant utilisateur transmis à Google Analytics : conservé selon les paramètres de rétention GA4 (14 mois maximum), supprimable à tout moment via demande d'effacement • Logs techniques : 12 mois maximum

MonCoachGourmand propose un service de recommandation de recettes personnalisé, activé uniquement avec votre consentement explicite. Service concerné : mcgpersonalization (déclaré dans le bandeau de gestion des cookies Tarteaucitron) Données collectées et traitées Lorsque vous acceptez ce service, les informations suivantes sont enregistrées localement dans votre navigateur (localStorage) : • Pages de recettes, articles et objectifs nutritionnels consultés • Fréquence et répétition des visites sur ces contenus • Scores de préférences alimentaires dérivés (affinités par type de recette, objectif, régime) Ces données sont générées et traitées intégralement dans votre navigateur. Elles ne sont jamais transmises à nos serveurs ni partagées avec des tiers. Finalité Ce profilage a pour unique finalité d'afficher des suggestions de recettes adaptées à vos centres d'intérêt sur la page d'accueil de MonCoachGourmand. Base légale Consentement explicite (Art. 6(1)(a) RGPD, Art. 5(3) de la directive ePrivacy, Délibération CNIL n° 2020-091 du 17 septembre 2020). Durée de conservation Les données de personnalisation sont conservées 90 jours maximum à compter du dernier accès. Elles sont supprimées automatiquement après cette période d'inactivité. Droit à l'effacement et retrait du consentement Vous pouvez à tout moment retirer votre consentement depuis le bandeau de gestion des cookies (icône disponible en bas de page). Le retrait du consentement entraîne la suppression immédiate et automatique de l'ensemble des données de personnalisation stockées dans votre navigateur. Vous pouvez également supprimer manuellement ces données en effaçant les données de site de votre navigateur pour le domaine moncoachgourmand.com.

Si vous activez les notifications push dans votre navigateur en étant connecté à votre compte, nous pouvons utiliser les informations de votre profil (régime alimentaire, allergies, objectif, statut d'abonnement) pour vous envoyer des recettes et conseils plus pertinents. Données utilisées : il s'agit exclusivement de données que vous avez déjà renseignées dans votre profil pour le fonctionnement du service. Aucune donnée nouvelle n'est collectée à cette fin. Finalité de protection : vos allergies déclarées servent en priorité à EXCLURE de vos notifications tout contenu incompatible — c'est un usage protecteur. En l'absence de votre consentement aux données de santé, aucune personnalisation par régime ou allergie n'est appliquée : vous recevez alors les notifications générales. Base légale : intérêt légitime (Art. 6.1.f RGPD) d'envoyer un contenu pertinent à partir de données déjà fournies, combiné à votre consentement compte ; et, pour les données de santé (régime, allergies), votre consentement explicite (Art. 9.2.a RGPD). Aucune donnée personnelle directement identifiante (adresse e-mail, nom, identifiant d'appareil) n'est incluse dans le contenu des notifications ni dans nos journaux de mesure d'audience. Droit à l'effacement : vous pouvez vous désabonner des notifications à tout moment depuis votre navigateur. À la suppression de votre compte, vos abonnements push liés sont supprimés automatiquement.

Vos données ne sont jamais vendues. Elles peuvent être partagées avec nos sous-traitants techniques : • Vercel Inc. (États-Unis) — hébergement du site web et de l'application (frontend) • Supabase Inc. (États-Unis — infrastructure AWS région eu-west-3 Paris) — base de données PostgreSQL, authentification et stockage de fichiers — DPA : https://supabase.com/dpa • Stripe Inc. (États-Unis et Irlande) — traitement des paiements et gestion des abonnements — DPA : https://stripe.com/fr/legal/dpa • Resend Inc. (États-Unis) — envoi des emails transactionnels et marketing — DPA : https://resend.com/legal/dpa • Google LLC (États-Unis) — mesure d'audience Google Analytics 4. Lorsque vous y avez consenti via notre bandeau de gestion des cookies, votre identifiant utilisateur interne (UUID non significatif, ne contenant ni votre email, ni votre nom) est transmis à Google Analytics afin de relier vos sessions à votre compte. En l'absence de consentement, aucune mesure GA4 n'est effectuée • OpenAI Inc. (États-Unis) — génération de contenus par IA (données anonymisées) Tous nos sous-traitants sont liés par des accords de traitement des données (DPA) conformes au RGPD.

Les données traitées par MonCoachGourmand sont réparties entre deux situations géographiques : Données physiquement stockées dans l'Union européenne (région AWS eu-west-3, Paris) : • Base de données PostgreSQL complète (compte, profil, données de santé, journaux alimentaires, recettes, abonnements) • Stockage de fichiers (photos de profil, captures de bug-reports, exports RGPD) • Authentification et sessions utilisateur Ces données sont opérées par Supabase Inc., société américaine, sur son infrastructure AWS région eu-west-3 (Paris). Les données restent physiquement en Union européenne, mais le sous-traitant étant une entité juridique américaine pouvant techniquement y accéder depuis les États-Unis, la relation contractuelle est encadrée par le Data Privacy Framework et les Clauses Contractuelles Types. Données transférées vers les États-Unis : • Vercel Inc. — pages applicatives (frontend), sans persistance de données de santé • Stripe Inc. — données de paiement (carte bancaire, facturation) • Resend Inc. — emails transactionnels • Google LLC — mesure d'audience GA4 (identifiant utilisateur uniquement, sur consentement) • OpenAI Inc. — requêtes anonymisées pour génération de contenus IA Ces transferts vers les États-Unis sont encadrés par : • Le Data Privacy Framework (DPF) UE–États-Unis — décision d'adéquation de la Commission européenne du 10 juillet 2023 (C(2023) 4745) • Les Clauses Contractuelles Types (SCC) approuvées par la Commission européenne (décision 2021/914) — utilisées à titre subsidiaire lorsque le sous-traitant n'est pas certifié DPF • Des mesures techniques supplémentaires : chiffrement TLS 1.3 en transit, chiffrement AES-256 au repos, Row-Level Security (RLS) côté base de données

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, SARL CENTAURI s'engage à : • Notifier la CNIL dans les 72 heures suivant la prise de connaissance de l'incident • Vous informer dans les meilleurs délais lorsque la violation présente un risque élevé, par email à l'adresse associée à votre compte • Documenter toute violation, ses effets et les mesures prises pour y remédier En cas de doute sur la sécurité de votre compte, vous pouvez nous contacter immédiatement à contact@moncoachgourmand.com.

SARL CENTAURI ne pratique aucune prise de décision entièrement automatisée produisant des effets juridiques au sens de l'article 22 du RGPD. Les recommandations de plans alimentaires, recettes et exercices générées par notre coach IA constituent une aide à la décision et ne se substituent pas à votre libre choix ni à un avis médical professionnel. Vous pouvez à tout moment vous opposer à ces recommandations algorithmiques en désactivant le coach IA dans vos paramètres.

Si vous gérez votre consentement aux cookies via votre compte MonCoachGourmand, vos choix s'appliquent à tous les appareils sur lesquels vous êtes connecté. Le retrait du consentement est aussi simple que son acceptation et peut être effectué à tout moment depuis vos paramètres ou notre centre de préférences cookies, accessible en bas de chaque page du site. Cette approche est conforme à la recommandation consolidée de la CNIL publiée en janvier 2026 sur les cookies et traceurs multi-terminaux.

Conformément au RGPD, vous disposez des droits suivants : • Droit d'accès : obtenir une copie de vos données personnelles • Droit de rectification : corriger des données inexactes ou incomplètes • Droit à l'effacement : supprimer vos données personnelles • Droit à la portabilité : récupérer vos données dans un format structuré • Droit d'opposition : vous opposer au traitement de vos données • Droit à la limitation : limiter le traitement dans certaines circonstances • Droit de retrait du consentement : retirer votre consentement à tout moment Pour exercer ces droits : contact@moncoachgourmand.com Délai de réponse : 30 jours maximum. Concernant la mesure d'audience Google Analytics, vous pouvez à tout moment retirer votre consentement via le bouton « Gérer mes cookies » disponible en bas de chaque page. Le retrait du consentement interrompt immédiatement le rattachement de votre identifiant utilisateur à Google Analytics, sans effet rétroactif sur les mesures déjà collectées avant le retrait.

Nous mettons en œuvre des mesures de sécurité appropriées : • Chiffrement des données en transit (HTTPS/TLS 1.3) • Chiffrement des données au repos (AES-256) • Authentification sécurisée avec hachage des mots de passe (bcrypt) • Politique de sécurité Row-Level Security (RLS) sur toutes les tables contenant des données personnelles • Sauvegardes quotidiennes chiffrées • Accès restreint aux données personnelles (principe du moindre privilège)

Le service MonCoachGourmand est réservé aux personnes majeures (18 ans et plus). Cette condition d'accès relève d'un choix de l'éditeur. À titre d'information, le seuil légal de consentement autonome au traitement des données personnelles est fixé à 15 ans en France (article 8 du Règlement Général sur la Protection des Données et article 45 de la loi Informatique et Libertés). La condition d'accès au service, fixée à 18 ans, est plus stricte que ce seuil légal. Si nous apprenons que des données personnelles ont été collectées auprès d'une personne ne remplissant pas la condition d'âge requise, nous procéderons à leur suppression dans les meilleurs délais.

Pour toute question relative à vos données personnelles, vous pouvez contacter notre Délégué à la Protection des Données (DPO) : Email : dpo@moncoachgourmand.com Pour toute autre demande : Email : contact@moncoachgourmand.com Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : Site web : www.cnil.fr Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07