Politique de confidentialité
Dernière mise à jour : 21 février 2025
La présente politique de confidentialité de VPX Consult srl (éditeur de l’application Allergio) décrit comment nous collectons, utilisons et protégeons vos données personnelles lorsque vous utilisez l\’application mobile Allergio (« Services »).
Pour toute question ou pour exercer vos droits, contactez-nous à privacy@allergio.net.
Résumé des points clés
- Données traitées : compte (email, nom, photo), profils allergie (prénom, nom, photo, listes d’allergènes), invitations, logs d’envoi d’emails, token de notification, type d’abonnement.
- Données de santé : les listes d’allergènes sont des données de santé ; nous les traitons uniquement pour fournir le service (scan, partage de profils) et sur la base du contrat et de votre consentement.
- Partage : avec des sous-traitants (Google/Firebase, Mailgun, OpenFoodFacts pour les produits, Apple/Google pour les abonnements) ; nous ne vendons pas vos données.
- Vos droits : accès, rectification, effacement, limitation, portabilité, opposition, plainte auprès de l\’Autorité de protection des données (Belgique). Contact : privacy@allergio.net. Délai de réponse : 1 mois.
Table des matières
1. Responsable du traitement
VPX Consult srl
Numéro d\’entreprise (BCE) : 1011.667.933
TVA : BE 1011.667.933
9 Route du Lion, 1420 Braine-l\’Alleud, Belgique
Email : privacy@allergio.net
2. Quelles données collectons-nous ?
En bref : nous collectons les données nécessaires à la création du compte, à la gestion des profils d’allergie, aux invitations et au bon fonctionnement du service.
Données que vous nous fournissez :
- Compte : adresse email, mot de passe (stocké de manière sécurisée par Firebase Auth), nom d’affichage, photo de profil (optionnelle).
- Profils allergie : prénom, nom, photo, listes d’allergènes pour chaque profil.
- Invitations : adresse email des personnes que vous invitez à accéder à un profil.
Données collectées automatiquement ou générées :
- Identifiant de compte et dates (création, dernière connexion) ; type d’abonnement et dates d’essai.
- Logs d’envoi d\’emails (invitations, réinitialisation de mot de passe) : type d’email, statut, date, et en cas d\’erreur des informations techniques (sans contenu du message).
- Token de notification push (Firebase Cloud Messaging) si vous acceptez les notifications.
Les achats in-app (abonnements) sont gérés par Google Play et l’App Store ; nous ne recevons pas les données de carte bancaire. Nous enregistrons uniquement le type d\’abonnement et les dates associées pour débloquer les fonctionnalités.
Lors des recherches de produits (code-barres ou texte), nous envoyons uniquement les termes de recherche à OpenFoodFacts ; aucune donnée personnelle (email, nom, allergènes) n\’est transmise à OpenFoodFacts.
3. Données de santé (allergènes)
En bref : les listes d’allergènes constituent des données de santé. Nous les traitons uniquement pour le service (vérification des produits, partage de profils) et sur une base légale appropriée.
Les informations relatives aux allergènes que vous renseignez dans les profils sont des données de santé au sens du RGPD. Nous les traitons uniquement pour : (1) fournir le service de scan et d\’affichage des allergènes dangereux pour chaque profil ; (2) permettre le partage de profils avec des proches (invitations). Nous ne les utilisons pas à d\’autres fins (publicité, revente, etc.). La base légale est l’exécution du contrat et, lorsque le droit l’exige, votre consentement explicite pour le traitement de données de santé.
4. Finalités et bases légales
En bref : nous traitons vos données pour fournir le service, gérer les comptes et invitations, assurer la sécurité et respecter la loi.
- Exécution du contrat : création et gestion du compte, profils, invitations, scan de produits, abonnements.
- Intérêt légitime : logs techniques et limitation du nombre d\’emails envoyés (anti-abus), sécurité des systèmes.
- Consentement : notifications push, photo de profil (lorsque optionnelle).
- Obligations légales : conservation de preuves ou réponse à une demande légale.
5. Destinataires et sous-traitants
En bref : nous faisons appel à des prestataires qui traitent vos données pour notre compte, dans le cadre de contrats et d’engagements de confidentialité.
Nous partageons vos données uniquement avec les prestataires suivants, qui agissent en notre nom et selon nos instructions :
- Google (Firebase) : authentification, base de données (Firestore), stockage des photos (Storage), fonctions backend (Cloud Functions), notifications (FCM). Politique de confidentialité Google.
- Mailgun : envoi des emails (invitations, réinitialisation de mot de passe). Traitement dans l’UE. Politique de confidentialité Mailgun.
- OpenFoodFacts : recherche de produits par code-barres ou texte. Nous ne leur transmettons aucune donnée personnelle. Conditions d\’utilisation OpenFoodFacts.
- Apple (App Store) et Google (Play Store) : gestion des achats in-app ; leurs politiques s’appliquent aux paiements. Politique Apple, Politique Google.
Nous ne vendons pas vos données personnelles.
6. Connexion Google (API Google)
Si vous utilisez la connexion avec un compte Google, notre utilisation des données issues des API Google respecte la Google API Services User Data Policy, y compris les exigences d’« utilisation limitée ».
7. Transferts hors de l\’EEE
En bref : certains prestataires (notamment Google) sont situés aux États-Unis. Nous encadrons ces transferts par des garanties appropriées.
Vos données peuvent être traitées par des prestataires situés hors de l’Espace économique européen (EEE), notamment aux États-Unis (Google/Firebase). Nous nous assurons que des garanties appropriées sont en place, telles que les Clauses contractuelles types de la Commission européenne (ou équivalent), afin que vos données soient protégées conformément au droit européen. Vous pouvez nous demander une copie de ces garanties à privacy@allergio.net.
8. Durée de conservation
En bref : nous conservons vos données tant que votre compte et vos profils existent, puis pendant une courte période après suppression ; les logs d\’emails sont conservés de manière limitée.
- Compte et profils : jusqu\’à suppression de votre compte (ou du profil concerné), puis 30 jours avant suppression définitive des sauvegardes, sauf obligation légale de conservation.
- Logs d’envoi d’emails : 12 mois, puis suppression ou anonymisation.
- Invitations : jusqu’à expiration ou révocation de l\’invitation, puis suppression conformément aux règles ci-dessus.
9. Sécurité des données
En bref : nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données ; aucune transmission ou stockage n’est toutefois totalement invulnérable.
Nous mettons en place des mesures de sécurité raisonnables (accès restreint, chiffrement, contrats avec les sous-traitants) pour protéger vos données personnelles. Aucune transmission sur Internet ni aucun stockage électronique n\’est toutefois totalement sécurisé. Nous ne pouvons pas garantir qu’un accès non autorisé, une perte ou une modification ne surviendra jamais ; nous nous engageons à réagir en cas d’incident et à vous en informer lorsque la loi l’exige.
10. Vos droits
En bref : vous disposez du droit d’accès, de rectification, d\’effacement, de limitation, de portabilité et d\’opposition ; vous pouvez retirer votre consentement et introduire une réclamation auprès de l’autorité de contrôle.
Vous disposez des droits suivants concernant vos données personnelles :
- Accès : obtenir la confirmation que nous traitons vos données et une copie de celles-ci.
- Rectification : faire corriger des données inexactes ou incomplètes.
- Effacement : demander la suppression de vos données dans les cas prévus par le RGPD.
- Limitation : demander la limitation du traitement dans certaines situations.
- Portabilité : recevoir vos données dans un format structuré et courant.
- Opposition : vous opposer au traitement fondé sur l\’intérêt légitime.
- Retrait du consentement : lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment sans affecter la licéité du traitement antérieur.
Pour exercer ces droits, contactez-nous à privacy@allergio.net ou à l’adresse postale indiquée au § 1. Nous nous engageons à répondre dans un délai d\’un mois.
Vous avez le droit d\’introduire une réclamation auprès de l’autorité de protection des données de votre pays. En Belgique : Autorité de protection des données (APD).
11. Mineurs
Les profils peuvent concerner des mineurs (par exemple un profil « enfant » géré par un parent). Nous ne fixons pas d\’âge minimum pour l’utilisation du service. Si le profil d\’un mineur est créé ou si des données le concernant sont fournies, nous nous appuyons sur le fait que le titulaire du compte (parent ou tuteur) consent au traitement. Nous vous invitons à ne pas créer de compte ou de profil pour un mineur sans autorité parentale sans vous assurer du consentement approprié.
12. Décision automatisée
Nous ne prenons pas de décision produisant des effets juridiques ou des effets similaires significatifs à votre égard sur la seule base d’un traitement automatisé (pas de profilage de ce type).
13. Mises à jour de la politique
Nous pouvons mettre à jour cette politique pour refléter des changements de nos pratiques ou de la réglementation. La date de « Dernière mise à jour » en tête de document sera modifiée en conséquence. En cas de changement important, nous vous en informerons par une notification dans l\’application ou par email. Nous vous invitons à consulter régulièrement cette page.
14. Nous contacter
Pour toute question relative à cette politique ou pour exercer vos droits :
VPX Consult srl
9 Route du Lion, 1420 Braine-l\’Alleud, Belgique
Email : privacy@allergio.net
