Aller au contenu principalAller à la navigationAller au pied de page
Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 20 mai 2026 — version 2026-05-20

1. Préambule

La présente politique de confidentialité explique comment Keren Zaghdoun (La Méthode K, ci-après « nous ») collecte, utilise, conserve et protège vos données personnelles dans le cadre de votre utilisation de la plateforme accessible à l'adresse nutritionbykeren.com.

Elle est rédigée conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi française « Informatique et Libertés » n°78-17 du 6 janvier 1978 modifiée.

2. Responsable de traitement

Keren ZaghdounEntrepreneur individuel — micro-entreprise

SIREN : 949 689 343

Adresse : 30 boulevard Barral, 13008 Marseille, France

Contact : hello@nutritionbykeren.com

3. Délégué à la protection des données

[À COMPLÉTER : nom du DPO ou du correspondant à la protection des données]

Email : dpo@nutritionbykeren.com

En l'attente de la désignation formelle d'un délégué à la protection des données, Keren Guedj agit en qualité de responsable du traitement et constitue le point de contact unique pour toute demande relative à vos données personnelles.

4. Données traitées, finalités, bases légales et durées de conservation

Nous traitons les catégories de données suivantes. Pour chacune, vous trouverez la finalité poursuivie, la base légale au sens du RGPD et la durée de conservation appliquée.

Données pouvant relever de l'article 9 du RGPD

Certaines des données ci-dessous (mesures corporelles, hydratation, sommeil, humeur, allergies, contenus de repas photographiés) peuvent, par leur nature ou leur combinaison, être qualifiées de données concernant la santé au sens de l'article 9 du RGPD. Leur traitement repose sur votre consentement explicite, recueilli lors de votre inscription via l'acceptation expresse des conditions générales de vente et de la présente politique. Vous pouvez retirer ce consentement à tout moment depuis votre espace personnel ou en nous écrivant à dpo@nutritionbykeren.com. Le retrait du consentement entraîne la suppression de votre compte et de l'ensemble des données associées.

Données de compte

Données : Adresse email, nom, prénom, mot de passe (hashé), photo de profil, date de création du compte.

Finalité : Création et gestion du compte utilisateur, authentification, communications transactionnelles essentielles (réinitialisation de mot de passe, alertes de sécurité).

Base légale : Exécution du contrat d'abonnement (RGPD art. 6.1.b).

Durée de conservation : Pendant toute la durée de l'abonnement, puis 12 mois après résiliation pour répondre à d'éventuelles demandes ou litiges, sauf droit à l'effacement exercé.

Données de paiement et facturation

Données : Identifiant client Stripe, identifiant d'abonnement, statut (active, trialing, past_due, canceled), historique de paiements, factures, données UTM d'attribution.

Finalité : Gestion de la facturation, prélèvements récurrents, comptabilité, lutte contre la fraude, statistiques de conversion.

Base légale : Exécution du contrat (RGPD art. 6.1.b) et obligation légale comptable (RGPD art. 6.1.c).

Durée de conservation : 10 ans pour les factures (Code de commerce L. 123-22), 3 ans pour les données UTM d'attribution.

Données de suivi alimentaireArticle 9

Données : Photos d'assiettes téléversées, analyses générées par IA (Score K, suggestions), repas saisis manuellement, recettes consultées et favorites.

Finalité : Fournir l'analyse nutritionnelle personnalisée, le bilan quotidien Coach K, le bilan hebdomadaire et les recommandations de recettes.

Base légale : Consentement explicite (RGPD art. 6.1.a et 9.2.a) — recueilli au moment de l'inscription via la case CGV/Politique de confidentialité.

Durée de conservation : 3 ans à compter de la dernière utilisation active. Données effacées immédiatement sur exercice du droit à l'effacement.

Mesures corporelles et objectifsArticle 9

Données : Poids, tour de taille, objectif de poids, objectif de tour de taille, masquage volontaire des valeurs (préférence d'affichage).

Finalité : Affichage du suivi corporel, calcul de tendances, contextualisation des messages du coach.

Base légale : Consentement explicite (RGPD art. 6.1.a et 9.2.a).

Durée de conservation : 3 ans à compter de la dernière saisie. Effacées immédiatement sur exercice du droit à l'effacement.

Données de bien-être quotidienArticle 9

Données : Niveau d'hydratation, qualité du sommeil estimée, niveau d'humeur (échelle), notes personnelles libres.

Finalité : Affichage du suivi bien-être et alimentation du coaching personnalisé.

Base légale : Consentement explicite (RGPD art. 6.1.a et 9.2.a).

Durée de conservation : 3 ans à compter de la dernière saisie. Effacées immédiatement sur exercice du droit à l'effacement.

Préférences et profil utilisateurArticle 9

Données : Régime alimentaire (omnivore, végétarien, vegan), allergies déclarées, intolérances déclarées, persona généré à l'onboarding, préférences d'horaire de notification, langue.

Finalité : Adapter le contenu (recettes filtrées, swaps d'ingrédients, ton du coach).

Base légale : Consentement explicite (RGPD art. 6.1.a et 9.2.a — les allergies sont des données de santé).

Durée de conservation : Pendant toute la durée de l'abonnement, puis 12 mois après résiliation.

Publications dans le Cercle

Données : Messages texte, messages vocaux et leur transcription, images partagées, réactions, votes aux sondages, signalements émis ou reçus.

Finalité : Animation de la communauté privée du Cercle et modération.

Base légale : Exécution du contrat (RGPD art. 6.1.b) et intérêt légitime à modérer les contenus (RGPD art. 6.1.f).

Durée de conservation : Conservés tant que le compte est actif. À la suppression du compte, le contenu personnel est effacé et un marqueur anonyme est conservé pour préserver la cohérence des conversations des autres membres.

Préférences et historique de communications

Données : Abonnements aux différentes catégories d'emails (marketing, produit, dunning), historique d'envoi, ouvertures, clics, désabonnements, abonnements aux notifications push (clé VAPID, opt-in par catégorie).

Finalité : Gérer les communications, respecter les choix de fréquence et les désabonnements, mesurer l'engagement.

Base légale : Exécution du contrat pour les emails transactionnels (art. 6.1.b) ; consentement pour les emails marketing et notifications push (art. 6.1.a) ; intérêt légitime pour les statistiques agrégées d'engagement (art. 6.1.f).

Durée de conservation : 3 ans à compter du dernier contact pour les emails marketing.

Données techniques et de sécurité

Données : Adresse IP, type de navigateur, système d'exploitation, identifiants de session, journaux d'erreurs serveur et navigateur, journaux de webhooks Stripe, événements de notification.

Finalité : Sécurité du compte, prévention de la fraude, limitation de débit, dépannage, statistiques agrégées.

Base légale : Intérêt légitime à protéger le service et les utilisateurs (RGPD art. 6.1.f) et obligations légales applicables (lutte contre la fraude).

Durée de conservation : 12 mois maximum pour les journaux ; les événements Stripe sont conservés pour la durée de la prescription commerciale.

Preuve des consentements

Données : Date d'acceptation des CGV/Privacy, version acceptée, adresse IP et user-agent au moment du consentement, choix exprimés sur le bandeau cookies.

Finalité : Apporter la preuve des consentements en cas de contrôle CNIL ou de litige (RGPD art. 7.1).

Base légale : Obligation légale (RGPD art. 7.1) et intérêt légitime (RGPD art. 6.1.f).

Durée de conservation : 5 ans à compter du retrait du consentement ou de la fin du contrat (durée recommandée par la CNIL).

5. Destinataires et sous-traitants

Vos données sont accessibles aux seules personnes autorisées au sein de Keren Zaghdoun. Pour fournir le service, nous avons recours aux sous-traitants suivants. Chacun est lié à nous par un contrat de sous-traitance conforme à l'article 28 du RGPD.

Vercel Inc.

Hébergement du site, CDN, exécution serverless

340 S Lemon Ave #4133, Walnut, CA 91789États-Unis · vercel.com

Encadrement du transfert : Clauses contractuelles types de la Commission européenne (SCC)

Supabase Inc.

Base de données PostgreSQL, authentification, stockage de fichiers (photos de repas, avatars, audios du Cercle)

970 Toa Payoh North #07-04, Singapour 318992Singapour · supabase.com

Encadrement du transfert : Clauses contractuelles types de la Commission européenne (SCC)

L'instance utilisée peut être configurée dans une région européenne — à vérifier en fonction de la qualification éventuelle de données de santé (cf. audit).

Stripe Payments Europe Ltd.

Traitement des paiements par carte bancaire et gestion des abonnements

The One Building, 1 Grand Canal Street Lower, Dublin 2Irlande (Union européenne) · stripe.com

Encadrement du transfert : Sous juridiction UE — pas de transfert international depuis l'entité européenne

Aucune donnée bancaire ne transite ni n'est stockée sur nos serveurs : le formulaire de paiement est servi directement par Stripe.

Resend

Envoi des emails transactionnels (factures, alertes) et de la newsletter

2261 Market Street #5039, San Francisco, CA 94114États-Unis · resend.com

Encadrement du transfert : Clauses contractuelles types de la Commission européenne (SCC)

OpenAI L.L.C.

Analyse d'images de repas (Vision), génération de bilans personnalisés (Coach K, bilan hebdomadaire)

3180 18th Street, San Francisco, CA 94110États-Unis · openai.com

Encadrement du transfert : Clauses contractuelles types de la Commission européenne (SCC)

Les requêtes API n'alimentent pas l'entraînement des modèles d'OpenAI (paramètre par défaut de l'offre API à la date de mise à jour). Aucune photo n'est conservée par OpenAI au-delà du traitement.

Sentry (Functional Software, Inc.)

Suivi des erreurs applicatives serveur et navigateur

45 Fremont Street, 8th Floor, San Francisco, CA 94105États-Unis · sentry.io

Encadrement du transfert : Clauses contractuelles types de la Commission européenne (SCC)

Les emails, identifiants, jetons d'authentification, numéros de carte et cookies sont systématiquement supprimés avant transmission à Sentry (cf. lib/sentry-scrub.ts).

PostHog Inc.

Analyse de parcours produit (uniquement après consentement explicite via le bandeau cookies)

2261 Market Street #4008, San Francisco, CA 94114États-Unis (ingestion européenne activée) · posthog.com

Encadrement du transfert : Ingestion sur infrastructure UE + clauses contractuelles types CE

Upstash Inc.

Cache Redis pour la limitation de débit des API et le suivi du plafond de dépense IA

548 Market St #87285, San Francisco, CA 94104États-Unis · upstash.com

Encadrement du transfert : Clauses contractuelles types de la Commission européenne (SCC)

Aucune donnée nominative n'est stockée — uniquement des compteurs anonymes indexés par adresse IP ou identifiant utilisateur.

Google LLC (Google Analytics 4)

Mesure d'audience anonymisée (uniquement après consentement via le bandeau cookies, en mode Consent v2)

1600 Amphitheatre Parkway, Mountain View, CA 94043États-Unis · www.google.com

Encadrement du transfert : Clauses contractuelles types de la Commission européenne (SCC), Consent Mode v2

Nous ne vendons ni ne louons aucune donnée personnelle à des tiers. Vos données ne sont communiquées à des autorités publiques que sur réquisition judiciaire ou obligation légale.

6. Transferts de données hors Union européenne

Plusieurs de nos sous-traitants sont établis hors de l'Union européenne (États-Unis, Singapour). Lorsqu'un transfert est nécessaire à la fourniture du service, il est encadré par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914 du 4 juin 2021), qui imposent au destinataire un niveau de protection essentiellement équivalent à celui garanti dans l'Union. Le détail du mécanisme applicable à chaque sous-traitant figure dans la section précédente.

7. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles destinées à protéger vos données : chiffrement HTTPS sur toutes les communications, mots de passe hashés (algorithme bcrypt côté Supabase), contrôles d'accès stricts au niveau base de données (politiques Row Level Security PostgreSQL), séparation des secrets de production, supervision des erreurs et alertes en cas d'incident.

Conformément à l'article 33 du RGPD, en cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures et vous informerons sans délai si la violation est susceptible d'engendrer un risque élevé.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès(art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie. Disponible directement depuis votre espace personnel via le bouton « Exporter mes données ».
  • Droit de rectification(art. 16) : corriger une donnée inexacte ou incomplète.
  • Droit à l'effacement(art. 17) : obtenir la suppression de vos données. Accessible depuis votre espace personnel (« Supprimer mon compte »).
  • Droit à la limitation(art. 18) : demander la suspension du traitement, par exemple pendant qu'un litige est tranché.
  • Droit à la portabilité(art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON). Disponible via le bouton « Exporter mes données ».
  • Droit d'opposition(art. 21) : vous opposer au traitement pour des raisons tenant à votre situation particulière, et de manière absolue pour la prospection commerciale.
  • Droit de retirer votre consentement (art. 7.3) : à tout moment, sans que cela remette en cause la licéité des traitements antérieurs.
  • Droit relatif aux décisions automatisées (art. 22) : nous n'utilisons pas de décision entièrement automatisée produisant des effets juridiques à votre égard. Les recommandations personnalisées (Coach K, bilans, Score K) sont des suggestions, jamais des décisions opposables.
  • Droit post-mortem(loi Informatique et Libertés) : vous pouvez nous indiquer le sort de vos données après votre décès.

Pour exercer ces droits : écrivez à dpo@nutritionbykeren.com ou à hello@nutritionbykeren.com. Nous pourrons vous demander une pièce d'identité en cas de doute raisonnable sur votre identité. Réponse sous un mois maximum (prolongeable de deux mois si la demande est complexe).

9. Droit de réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente : la Commission Nationale de l'Informatique et des Libertés (CNIL).

3 place de Fontenoy — TSA 80715 — 75334 Paris CEDEX 07

Téléphone : 01 53 73 22 22 · cnil.fr

10. Cookies et technologies similaires

Nous utilisons trois catégories de cookies :

  • Cookies strictement nécessaires : authentification (`sb-*`), sécurité, préférences d'affichage, consentement aux cookies. Pas de consentement requis (CNIL délibération n° 2020-091).
  • Cookies de mesure d'audience : Google Analytics 4 avec Consent Mode v2, déposés uniquement après votre consentement explicite via le bandeau d'information.
  • Cookies d'analyse produit : PostHog (avec ingestion européenne), déposés uniquement après consentement explicite.

Nous n'utilisons pas de cookies publicitaires ni de partage de données vers des régies tierces. Vous pouvez à tout moment modifier vos choix en effaçant les cookies de votre navigateur (le bandeau réapparaîtra à votre prochaine visite).

11. Modifications de la présente politique

Nous pouvons être amenés à modifier la présente politique pour tenir compte d'évolutions légales ou de nouvelles fonctionnalités. Toute modification substantielle vous sera notifiée par email et fera l'objet d'une nouvelle acceptation lors de votre prochaine connexion. La date de dernière mise à jour est indiquée en haut de cette page.