Politique de Confidentialité

Chez Loosen (« nous », « notre » ou « nos »), votre vie privée est notre priorité absolue. Nous nous engageons à traiter vos données personnelles de manière transparente, sécurisée et en pleine conformité avec les lois applicables. Étant donné que notre lancement initial est axé sur l'Union européenne (UE), nous priorisons le Règlement général sur la protection des données (RGPD) et le RGPD du Royaume-Uni pour les utilisateurs de l'Espace économique européen (EEE) et du Royaume-Uni. Nous respectons également le California Consumer Privacy Act tel que modifié par le California Privacy Rights Act (CCPA/CPRA) pour les utilisateurs américains, ainsi que d'autres réglementations pertinentes dans le monde entier. Cette Politique de Confidentialité explique en termes clairs et simples quelles données nous collectons, pourquoi nous les collectons, comment nous les utilisons et les protégeons, avec qui nous les partageons, et vos droits pour les contrôler.

Nous adhérons aux principes de protection de la vie privée dès la conception (privacy by design) et de minimisation des données — nous ne collectons que ce qui est strictement nécessaire pour fournir un coach de flexibilité personnalisé, suivre vos progrès et améliorer l'Application. Nous ne vous suivons pas sur d'autres applications ou sites web, nous n'utilisons pas vos données pour de la publicité, et nous ne vendons ni ne partageons jamais vos données personnelles pour de la publicité comportementale intercontextuelle (telle que définie par le CCPA). L'Application effectue une personnalisation automatisée (ex. : calcul de votre Score de flexibilité quotidien et recommandation d'une séance) — cela est décrit à la Section 3, n'a aucun effet juridique ou similaire sur vous, et vous pouvez vous désinscrire des parties alimentées par l'IA à tout moment. Si vous avez des questions ou besoin d'aide pour exercer vos droits, notre équipe est disponible à hi@stretcha.co.

En utilisant l'application mobile Loosen (l'« Application »), vous consentez aux pratiques décrites ici. Si vous n'êtes pas d'accord, veuillez ne pas utiliser l'Application. Nous examinons et mettons à jour cette Politique au moins une fois par an ou dès que nécessaire pour refléter les changements dans nos pratiques, fonctionnalités ou lois. Nous vous notifierons des modifications importantes via une notification dans l'Application ou par e-mail.

1. Qui nous sommes et champ d'application

Nous exploitons l'Application Loosen — un outil mobile multiplateforme (iOS/Android) pour des routines d'étirement guidées, le suivi des progrès et la création de routines personnalisées, avec un lancement initial dans l'UE. Cette Politique s'applique à toutes les données personnelles que nous traitons via l'Application. Elle ne couvre pas les services tiers accessibles depuis l'Application (ex. : sites web externes ou politiques propres des processeurs de paiement).

Nous contacter :
E-mail : hi@stretcha.co
Site web : loosen.app

Pour les utilisateurs de l'EEE/Royaume-Uni, nous agissons en tant que responsable du traitement au sens du RGPD. Pour les résidents de Californie, nous sommes une « entreprise » au sens du CCPA/CPRA. Nous traitons les données en priorité pour les utilisateurs de l'UE et utilisons des serveurs basés dans l'UE lorsque possible afin de minimiser les transferts.

2. Données personnelles que nous collectons

Nous collectons uniquement le minimum de données nécessaire pour fournir, personnaliser et améliorer l'Application. « Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable. Nous obtenons votre consentement explicite pour la collecte de données sensibles (ex. : informations relatives à la santé) lors de l'onboarding, et vous pouvez le retirer à tout moment. Pour les utilisateurs de l'UE, nous mettons l'accent sur le consentement et les intérêts légitimes comme bases de traitement.

3. Comment nous utilisons vos données personnelles

Nous traitons les données uniquement pour des finalités spécifiques et légitimes, avec votre consentement lorsque requis (ex. : données de santé sensibles). Nous appliquons la minimisation des données et la pseudonymisation lorsque possible, avec une attention particulière aux utilisateurs de l'UE en vertu du RGPD.

• Personnalisation & Sécurité : Utiliser les données de profil, d'évaluation, de retours et (si accordés) les signaux de Santé/Health Connect pour calculer votre Score de flexibilité quotidien, recommander une séance adaptée à aujourd'hui, filtrer les poses pour la sécurité (ex. : éviter les tensions dorsales si signalées) et adapter votre plan dans le temps.
• Gestion des abonnements : Suivre les abonnements actifs, traiter les droits, activer les fonctionnalités premium et restaurer les achats via RevenueCat. Base légale : Exécution du contrat (article 6(1)(b) du RGPD).
• Progrès & Motivation : Suivre les séances pour afficher les streaks, les totaux et les réalisations dans l'Application.
• Communications : Envoyer des notifications push facultatives (ex. : rappels quotidiens à votre heure préférée) ou des e-mails (ex. : réinitialisations de mot de passe).
• Opérations & Améliorations : Analyser les modèles d'utilisation anonymes via PostHog pour corriger les bugs, améliorer les fonctionnalités et optimiser les performances. PostHog génère automatiquement des ID d'appareil anonymes ; aucune donnée identifiable n'est traitée pour les analyses. Nous n'effectuons pas de profilage publicitaire ni de création de profils comportementaux inter-applications. Base légale : Intérêt légitime (article 6(1)(f) du RGPD).
• Conformité légale : Conserver les données comme exigé par la loi (ex. : audits) ; supprimer sur demande.

Personnalisation automatisée

L'Application calcule des résultats automatiquement — votre Score de flexibilité, la séance quotidienne recommandée, et (si vous avez accepté le consentement IA) les routines et narrations de plan générées par IA. Ces résultats personnalisent votre expérience dans l'application. Ils ne sont pas utilisés pour accorder ou refuser l'accès à un service, fixer des tarifs ou produire tout effet juridique ou similaire sur vous au sens de l'article 22 du RGPD. Vous pouvez :

• Remplacer la recommandation quotidienne en choisissant une autre routine dans le catalogue ou en en créant une vous-même.
• Retirer le consentement IA dans Profil > IA & Données, ce qui bascule silencieusement l'Application vers des modèles non-IA et du texte statique.
• Révoquer l'autorisation Santé dans les Réglages iOS ou Health Connect, ce qui supprime ces signaux du calcul.
• Contacter hi@stretcha.co pour demander comment une recommandation spécifique a été produite ou pour solliciter un examen humain.

Bases légales (RGPD/RGPD UK) : Consentement pour les données sensibles ; intérêts légitimes pour les fonctionnalités essentielles (ex. : suivi des progrès) ; exécution du contrat pour les services de compte. Pour les utilisateurs américains, nous nous alignons sur les exigences du CCPA.

Conservation des données : Nous conservons les données uniquement aussi longtemps que nécessaire — données de compte jusqu'à suppression ; données de progrès pendant 2 ans après la dernière activité (ou plus tôt sur demande). Les agrégats anonymisés peuvent être conservés plus longtemps pour améliorer l'Application.

Fonctionnalités alimentées par l'IA

L'Application utilise le modèle d'IA Claude d'Anthropic (via un traitement sécurisé côté serveur à travers les Supabase Edge Functions) pour alimenter quatre fonctionnalités IA optionnelles. L'ensemble du traitement s'effectue sur nos serveurs — aucune IA ne s'exécute sur votre appareil.

Consentement (portail strict, défense en profondeur) : Avant que des données ne soient envoyées à Anthropic pour l'une de ces fonctionnalités, une invite de consentement dans l'application vous est présentée, identifiant clairement quelles données seront partagées, avec qui elles seront partagées, et requérant votre approbation explicite. L'état du consentement est stocké sur votre compte (plan_ai_consent) et vérifié à la fois sur l'appareil et à nouveau sur nos serveurs comme première opération de chaque appel IA — si le consentement est absent, l'appel est rejeté avant la construction du moindre prompt, et l'Application revient à des modèles non-IA et du texte statique. Vous pouvez révoquer ce consentement à tout moment via Profil > IA & Données ; la révocation prend effet immédiatement sur les quatre fonctionnalités.

Les quatre fonctionnalités IA et les données que chacune envoie :

Ce qui n'est jamais envoyé : les identifiants de compte (e-mail, mot de passe, tokens de connexion Apple/Google) ne sont jamais envoyés à Anthropic ; les données brutes de HealthKit / Health Connect (relevés individuels de fréquence cardiaque, enregistrements de sommeil, etc.) ne sont jamais envoyées — seuls les petits agrégats dérivés listés ci-dessus le sont. Les données sont traitées en temps réel et ne sont pas stockées par Anthropic après la génération de la réponse. Vos données ne sont jamais utilisées pour entraîner des modèles d'IA. Pour plus de détails, consultez la politique de confidentialité d'Anthropic.

4. Partage et divulgation

Nous partageons les données de manière minimale, uniquement avec des fournisseurs soigneusement sélectionnés et liés par des contrats stricts de traitement des données garantissant une protection équivalente. Pour les utilisateurs de l'UE, nous priorisons le traitement dans l'UE afin de respecter les règles de transfert du RGPD.

• Supabase : Serveurs UE pour les utilisateurs EEE/Royaume-Uni (afin d'éviter tout transfert) ; gère le stockage, l'authentification et la synchronisation en temps réel. Serveurs US pour les utilisateurs hors UE.
• RevenueCat : Gère les abonnements et achats in-app. Collecte et lie les identifiants d'appareil à votre compte pour prévenir la fraude, restaurer les achats et gérer les abonnements. Traite les ID utilisateur (UUID anonymes) pour associer les achats aux comptes. Aucun détail de carte de paiement n'est stocké par nous ou par RevenueCat.
• ID utilisateur : Les UUID anonymes sont partagés avec RevenueCat pour lier les abonnements à votre compte et permettre la restauration et l'accès multi-appareils.
• Apple/Google : Pour les achats in-app et les notifications push (ils traitent les tokens d'appareil).
• PostHog : Gère les analyses de produit anonymes et le suivi des erreurs ; traite les événements d'utilisation, métadonnées d'appareil et logs de crash. Hébergé dans l'UE (https://eu.i.posthog.com) pour la conformité RGPD. Aucune donnée identifiable (nom, e-mail, ID utilisateur) n'est partagée — uniquement les ID d'appareil anonymes générés automatiquement par PostHog pour le suivi des sessions. Clauses Contractuelles Types applicables.
• Anthropic : Traite les données décrites à la Section 3 (« Fonctionnalités alimentées par l'IA ») via le modèle d'IA Claude pour alimenter nos quatre fonctionnalités IA (Construire avec l'IA, le générateur de plan adaptatif, l'explication de l'état corporel et la narration du plan). Les données ne sont envoyées qu'après que vous avez fourni un consentement explicite dans l'application (plan_ai_consent = accepted) et uniquement tant que ce consentement est actif. Anthropic n'utilise pas vos données pour entraîner ses modèles. Anthropic est lié par sa politique de confidentialité publiée et nos conditions de traitement des données, qui exigent une protection équivalente des données utilisateur, interdisent l'utilisation indépendante des données et l'utilisation pour l'entraînement de modèles.
• Apple HealthKit / Android Health Connect : Ne sont pas des tiers au sens du partage de données — ce sont des API de plateforme sur votre propre appareil. Vous accordez à l'Application une autorisation en lecture seule et nous lisons les indicateurs décrits à la Section 2. Apple et Google ne reçoivent aucune nouvelle donnée de notre part via ces API.

Transferts internationaux (RGPD) : Les données des utilisateurs de l'UE restent dans l'UE lorsque possible. Pour tout transfert (ex. : vers des prestataires US), nous utilisons les Clauses Contractuelles Types ou des garanties équivalentes. Nous ne partageons pas avec les autorités sauf obligation légale (ex. : assignation valide).

Aucune vente ni partage marketing : Nous ne vendons, ne louons ni ne partageons les données à des fins publicitaires ou marketing. Selon le CCPA, aucun « sale » ni « sharing » n'a lieu.

5. Sécurité et intégrité des données

Nous mettons en œuvre des mesures de sécurité conformes aux standards de l'industrie, adaptées à la sensibilité des données (en particulier les informations de santé), avec des analyses de risques conformes au RGPD :

• Chiffrement : Données en transit (TLS 1.3+) et au repos ; mots de passe hachés avec des algorithmes forts.
• Contrôles d'accès : Basés sur les rôles ; authentification multi-facteurs pour le personnel ; aucun accès inutile.
• Pratiques de sécurité : Scans de vulnérabilités réguliers, tests d'intrusion et plans de réponse aux incidents. Audits indépendants annuels.
• Réponse aux violations : Notification des utilisateurs concernés et des autorités dans les délais requis (ex. : 72 heures en vertu du RGPD).

6. Vos droits et choix en matière de vie privée

Vous avez un contrôle total — vous pouvez exercer vos droits sans frais, discrimination ni retard inutile (vérification par e-mail). Les utilisateurs de l'UE bénéficient des droits renforcés du RGPD.

• Accès/Portabilité : Consulter/exporter vos données directement dans l'Application (Paramètres > Profil > Exporter les données) ou par e-mail à hi@stretcha.co (réponse sous 30 jours ; 15 jours selon le CCPA). Inclut l'historique complet depuis la création du compte (conformément aux mises à jour CCPA 2026).
• Mise à jour/Rectification : Modifier directement les informations de profil/santé dans l'Application.
• Suppression/Effacement (« Droit à l'oubli ») : Supprimer votre compte via Paramètres > Supprimer le compte — toutes les données personnelles sont effacées dans les 30 jours (sous réserve des obligations légales de conservation).
• Opt-Out/Retrait du consentement : Désactiver les rappels/notifications dans les paramètres ; révoquer le consentement pour les données de santé (réinitialise la personnalisation). Aucun « Do Not Sell/Share » nécessaire car nous ne vendons ni partageons pas. Nous respectons les signaux Global Privacy Control (GPC).
• Consentement aux données IA : Vous pouvez révoquer le consentement au traitement des données par l'IA à tout moment via Profil > IA & Données. La révocation prend effet immédiatement sur les quatre fonctionnalités IA, côté client (aucun nouvel appel n'est déclenché) et côté serveur (les appels entrants sont rejetés avant la construction du moindre prompt). L'Application revient à des modèles non-IA et du texte statique jusqu'à ce que vous redonniez votre consentement.
• Autorisation Santé : Révoquez l'accès à Apple Santé (iOS) ou Android Health Connect à tout moment dans les paramètres de votre système d'exploitation. L'Application continuera à fonctionner en utilisant uniquement vos heures de station assise auto-déclarées et vos retours de séance.
• Données sensibles : Opt-in explicite pour les données de santé ; limitation du traitement via les paramètres.
• Recours : En cas de refus d'une demande, recours via hi@stretcha.co — nous réexaminons rapidement.
• Opt-Out des analyses : PostHog utilise des analyses entièrement anonymes (aucune donnée identifiable). Aucun mécanisme d'opt-out n'est requis en vertu du RGPD/CCPA. En cas de préoccupation, contactez hi@stretcha.co.

Pour le CCPA : Agent désigné pour les demandes : hi@stretcha.co. Nous publions chaque année les statistiques (nombre de demandes reçues/exécutées).

7. Vie privée des enfants

L'Application est destinée aux utilisateurs âgés de 13 ans et plus (16 ans et plus dans l'EEE pour le consentement sans autorisation parentale). Nous ne collectons pas sciemment de données d'enfants de moins de 13 ans (ou 16 ans dans l'EEE). Si nous découvrons de telles données, nous les supprimons immédiatement. Parents/tuteurs : contactez hi@stretcha.co pour toute demande ou suppression.

8. Avertissement médical et sanitaire

Loosen est un outil de bien-être, et non un dispositif médical, un service de diagnostic ou un substitut à un conseil professionnel. Les données de santé auto-déclarées sont utilisées uniquement pour personnaliser les routines et éviter des risques potentiels — elles ne sont pas vérifiées et ne constituent pas un avis médical. Consultez toujours un professionnel de santé avant de commencer tout programme d'exercice, surtout en cas de problème médical. Nous déclinons toute responsabilité en cas de blessure ou de problème de santé résultant de l'utilisation de l'Application — vous participez à vos propres risques.

9. Modifications de cette Politique

Nous pouvons mettre à jour cette Politique pour refléter de nouvelles fonctionnalités, des changements légaux ou des modifications de nos pratiques. Les modifications importantes (ex. : nouvelles utilisations de données) seront notifiées via une bannière dans l'Application ou par e-mail au moins 30 jours à l'avance ; votre utilisation continue vaudra acceptation. Merci de la consulter régulièrement.

10. Contact et réclamations

Pour toute question, demande relative à vos droits ou réclamation : hi@stretcha.co (réponse sous 30 jours ; 15 jours selon le CCPA). Si la réponse ne vous satisfait pas, vous pouvez contacter votre autorité locale de protection des données (ex. : votre DPA nationale dans l'UE, ICO au Royaume-Uni, CPPA en Californie) ou déposer une plainte.