Politique de confidentialité

Kaiso traite des données de santé (poids, composition corporelle, nutrition, sommeil, entraînement). Ces données sont protégées par l'article 9 du RGPD et ne sont traitées qu'avec ton consentement explicite. Pas de revente, pas de pub, pas de tiers marketing. Base de données hébergée en Europe (Supabase, Francfort). Suppression complète sur demande : hello@getkaiso.com — traitée sous 30 jours.

Tim Roussel, en tant que personne physique, France.
Contact : hello@getkaiso.com

Aucune structure commerciale à ce stade. Le site getkaiso.com est un projet personnel, actuellement ouvert au public en phase beta gratuite. Toute évolution juridique sera communiquée aux utilisateurs inscrits.

• Identité : email, mot de passe chiffré (hashé côté Supabase, jamais en clair), éventuellement nom/prénom si tu les renseignes.
• Données de santé (RGPD art. 9) : poids, taille, âge, sexe, composition corporelle, sommeil, objectifs (perte de poids, prise de masse…), profil nutritionnel (allergies, intolérances si déclarées), journal de repas, journal d'entraînement, performances sportives, blessures éventuelles.
• Photos (analyse IA) : si tu utilises la reconnaissance de repas, le scan d'étiquette ou l'analyse de mouvement, l'image est envoyée directement à OpenAI pour analyse dans la requête API puis immédiatement écartée. Kaiso ne conserve aucune copie côté serveur.
• Contenu conversationnel IA : tes questions et le contexte envoyé au Coach IA (Buddy). Les échanges sont chiffrés en transit et ne sont pas utilisés pour entraîner des modèles.
• Données d'usage IA : nombre d'appels IA par fonctionnalité et par jour, pour appliquer les plafonds quotidiens (table ai_usage_log).
• Analytics produit : événements anonymes (pages visitées, temps de démarrage, erreurs) via PostHog, configuré en région UE et sans identification personnelle par défaut.
• Données techniques : cookie de session pour te garder connecté. Pas de cookie publicitaire, pas de Google Analytics, pas de Meta Pixel.

• Fournir le service Kaiso (coaching, nutrition, suivi) — base : exécution du contrat que tu acceptes en créant ton compte (voir CGU).
• Traiter tes données de santé — base : consentement explicite recueilli au moment de l'inscription (article 9.2.a du RGPD). Tu peux le retirer à tout moment en supprimant ton compte.
• Analyser tes repas par IA — base : ton consentement donné à chaque utilisation (tu choisis d'envoyer ou non une photo).
• Améliorer le produit — base : intérêt légitime, uniquement sur données anonymisées ou agrégées.
• Garantir la sécurité (détection d'abus, rate-limiting) — base : intérêt légitime à protéger le service.

Les sous-traitants ci-dessous sont encadrés par des accords RGPD (DPA) et, si hors UE, par les Clauses Contractuelles Types (CCT) validées par la Commission européenne.

• Supabase : base de données + authentification. Région UE, Francfort.
• Vercel : hébergement du site et des API. Transfert hors UE possible, encadré par CCT.
• OpenAI : analyse par IA (coaching, nutrition, photos). États-Unis. Accord : les données envoyées ne sont pas utilisées pour entraîner des modèles (politique API OpenAI).
• Cloudflare R2 : hébergement des vidéos de démonstration d'exercices (contenu public partagé, non personnel) et des sauvegardes chiffrées de la base de données.
• PostHog : analytics produit anonymisés, configuration région UE.
• Resend : envoi des emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe). Le contenu ne quitte pas l'infrastructure Resend.
• Withings (optionnel) : si tu connectes ta balance connectée, les données sont synchronisées via l'API Withings sous son propre RGPD.

Aucun autre tiers ne reçoit tes données. Pas de revente. Pas de marketing tiers.

• Compte utilisateur : tant que tu l'utilises. Un compte inactif depuis 24 mois est supprimé automatiquement après un email de relance.
• Données de santé et journaux : conservées tant que ton compte est actif. Suppression immédiate en même temps que le compte.
• Photos envoyées à l'IA : non conservées — écartées dès que la réponse OpenAI est retournée. Seules les valeurs nutritionnelles ou l'analyse extraites sont stockées dans ton journal.
• Conversations avec le Coach IA : conservées pour maintenir le contexte de la conversation. Effaçables à tout moment depuis l'app.
• Logs d'usage IA : 180 jours, puis agrégés anonymement.
• Logs techniques et sécurité : 12 mois maximum (obligation légale LCEN).

Conformément au RGPD, tu peux à tout moment :

• accéder à tes données,
• les rectifier si elles sont inexactes,
• les effacer (droit à l'oubli),
• retirer ton consentement au traitement des données de santé — dans ce cas l'app cesse de fonctionner et ton compte peut être supprimé,
• t'opposer au traitement,
• les récupérer dans un format portable (tu peux déjà exporter ton historique depuis l'app, onglet Paramètres > Données & maintenance),
• introduire une réclamation auprès de la CNIL.

Pour exercer l'un de ces droits, écris à hello@getkaiso.com avec le mot « RGPD » dans l'objet. Réponse sous 30 jours. Autorité de contrôle : CNIL, 3 Place de Fontenoy, 75007 Paris.

Connexion HTTPS obligatoire, mots de passe hashés (jamais stockés en clair), chiffrement au repos côté Supabase, chiffrement des photos sur R2, tokens de session à durée limitée.

Un événement de sécurité majeur impactant tes données te serait notifié sous 72 heures conformément à l'article 33 du RGPD.

Kaiso est réservé aux personnes de 16 ans ou plus, conformément à la position de la CNIL. Une vérification par case-à-cocher est demandée à l'inscription. Si tu soupçonnes qu'un compte a été créé par un mineur de moins de 16 ans, signale-le à hello@getkaiso.com.

Kaiso n'est pas un dispositif médical. Les suggestions d'entraînement, de nutrition et les analyses générées par l'IA ne remplacent en aucun cas l'avis d'un professionnel de santé (médecin, diététicien, kinésithérapeute).

Consulte un professionnel avant tout changement significatif de ton activité physique ou de ton alimentation, particulièrement en cas de pathologie existante, de grossesse, ou de prise de traitement médicamenteux.

Cette politique peut évoluer (notamment quand Kaiso deviendra une structure juridique formelle). Toute modification substantielle sera signalée par email et par une bannière dans l'app 30 jours avant sa prise d'effet.