Politique de confidentialité
Dernière mise à jour : 10 juillet 2026
Version du document : v2026-07-10.
Responsable du traitement : Esteban Pedreira, entrepreneur individuel, 309 rue des Tarusates, 40600 Biscarrosse, France — contact support : support@manifestwealth.io · contact vie privée / RGPD : privacy@innernavigation.app.
Référent protection des données : DPO non désigné à ce stade (assessment interne) ; les demandes sont traitées par le référent vie privée via le contact RGPD ci-dessus.
Les finalités ci-dessous s’appliquent dans le respect du RGPD lorsque vous êtes situé dans l’Espace économique européen (ou lorsque le droit de l’UE s’applique).
1. Données traitées (aperçu)
- •Données d’humeur et de bien-être : scores, périodes, tags, émotions, notes textuelles, fréquence cardiaque optionnelle, données associées aux entrées.
- •Données journalières : sommeil, santé, repas et aliments, finances, activité (dont pas si vous activez le podomètre), événements, lifestyle, vie intime (libido, activité sexuelle), si vous renseignez ces champs, épisodes de maladie saisis, corrélations environnementales (ex. météo), éventuelles données astrologiques de démonstration si vous utilisez ces fonctions.
- •Journal : entrées de journal en texte libre (y compris le texte issu de la saisie vocale), horodatages et éventuels prompts d’écriture utilisés.
- •Coach IA : messages que vous envoyez au coach, réponses générées, compteurs techniques de quota journalier.
- •Mémoire IA personnelle : éléments distillés (préférences, contexte, objectifs) stockés dans une table dédiée (user_ai_memory) si vous activez cette option.
- •Programme et intentions : progression du programme « Fondations 21 jours » (jour courant, jours complétés, série), jalons d’analyse, intentions « si… alors… » (déclencheur, action, issue).
- •Réglages de l’Application : mode de suivi, préférences d’interface, notifications, langue, consentements, options de localisation et de partage communautaire, etc.
- •Compte : adresse e-mail, identifiant technique de compte, jetons de session gérés par le fournisseur d’authentification (ex. Supabase).
- •Données techniques : version de l’application, identifiants techniques nécessaires au fonctionnement des services connectés, journaux serveurs minimaux côté API si activés par l’éditeur.
2. Stockage local
Par défaut, une part importante des données est stockée localement sur votre appareil (stockage chiffré selon les capacités du système). La désinstallation de l’Application peut entraîner la perte des données locales non exportées.
3. Sauvegarde cloud personnelle (base légale : consentement explicite / exécution de la fonctionnalité demandée)
L’Application fonctionne localement par défaut : créer un compte ne suffit pas, à lui seul, à activer l’envoi automatique de vos données de suivi personnel. Si vous activez séparément la sauvegarde cloud personnelle, un snapshot JSON des principales données locales (humeur, journal quotidien, entrées de journal, progression du programme, intentions, réglages, épisodes de maladie) peut être envoyé et stocké sur l’infrastructure configurée par l’éditeur (ex. projet Supabase). Ces données restent pseudonymisées au sens du RGPD (article 4, 5°) : liées à un identifiant de compte, supprimables sur demande, mais non anonymes au sens juridique.
Finalité : sauvegarde et, pour les abonnés Premium, restauration ou fusion sur un autre appareil. L’envoi automatique est limité en fréquence (plus fréquent en Premium, plus espacé pour les comptes gratuits) ; un plafond de taille côté application peut refuser un envoi si le snapshot dépasse une limite technique. Le refus ou le retrait de ce consentement n’empêche pas l’usage local de base. D’autres traitements (statistiques communautaires, IA, notes libres, mémoire IA) reposent sur des choix séparés décrits dans les sections dédiées.
Ouvertures d’application : il n’y a pas de suivi nominatif silencieux des ouvertures lorsque la sauvegarde cloud personnelle n’est pas activée. Lorsque la sauvegarde cloud est activée, une ligne technique « une ouverture par utilisateur et par jour UTC » peut être enregistrée dans daily_app_opens pour des statistiques de service et de stabilité, avec rétention limitée à 90 jours. Objectif produit : supprimer ce compteur nominatif ou l’anonymiser.
4. Journal (base légale : exécution de la fonctionnalité / consentements séparés pour la synchronisation et l’IA)
Les entrées de journal sont rédigées librement (ou dictées via la saisie vocale, voir la section Microphone) et stockées localement de manière chiffrée selon les capacités du système. Elles ne sont synchronisées vers le cloud que si vous avez activé la sauvegarde cloud personnelle (section 3).
Des analyses de journal par IA (5 modes d’analyse) peuvent être demandées explicitement. Le texte du journal relève du consentement séparé « notes libres » (section 5) : sans ce consentement, le contenu textuel de votre journal n’est pas transmis au prestataire IA (sauf bug, auquel cas contactez le support).
5. Analyses par intelligence artificielle (base légale : consentement explicite, article 9.2.a du RGPD)
Des résumés ou analyses peuvent être demandés via un serveur intermédiaire (Worker Cloudflare) qui transmet un contexte à un prestataire de modèles de langage : Google (modèle Gemini Flash) pour le niveau « light » par défaut, Anthropic (modèle Claude Sonnet) pour le niveau « powerful ». Les clés secrètes des prestataires IA ne sont pas présentes dans l’application mobile. À noter : ce Worker Cloudflare reçoit et fait transiter des données personnelles (le contexte d’analyse et, selon votre consentement séparé, des notes textuelles) ; Cloudflare agit donc ici comme sous-traitant traitant des données personnelles, et non comme un simple relais sans données (voir section 17).
Engagement « pas d’entraînement » : l’éditeur n’entraîne pas de modèle d’IA propre avec vos données. Selon les conditions contractuelles en vigueur des prestataires IA via leur API commerciale (Anthropic et Google), les données envoyées via l’API ne sont pas utilisées pour entraîner leurs modèles. Ces engagements relèvent des conditions des prestataires, susceptibles d’évoluer ; l’éditeur s’efforce de retenir des prestataires offrant cette garantie et de mettre à jour la présente politique le cas échéant. Si un entraînement, fine-tuning ou modèle propriétaire devait un jour être envisagé, il ferait l’objet d’un nouveau consentement explicite séparé, d’une documentation juridique dédiée et d’une mise à jour de l’AIPD/DPIA.
Trois choix séparés sont prévus :
- •Consentement IA santé/bien-être : autorise l’envoi d’indicateurs structurés issus de vos données d’humeur, sommeil, activité, repas, bien-être, symptômes/épisodes de maladie saisis, vie intime (libido, activité sexuelle), si vous renseignez ces champs, signaux environnementaux et autres métriques nécessaires à l’analyse de tendances de bien-être. Ces données incluent des catégories particulières au sens de l’article 9 du RGPD (santé, vie sexuelle), couvertes par ce même consentement explicite.
- •Consentement notes libres : autorise séparément l’inclusion de notes textuelles libres, d’entrées de journal, de commentaires ou de consignes écrites. Sans ce consentement séparé, ces textes ne doivent pas être inclus dans le payload d’analyse (sauf bug, auquel cas contactez le support).
- •Mémoire IA personnelle : choix distinct permettant de créer, réutiliser et supprimer des souvenirs ou préférences personnelles pour les futures analyses et conversations (voir section 7). La mémoire IA personnelle n’est pas un entraînement de modèle général.
5 bis. Finalité, destinataires et garanties des analyses IA
Finalité : générer une analyse de tendances de bien-être, des synthèses et des pistes de réflexion non médicales. Destinataires : l’éditeur, le serveur intermédiaire Cloudflare ou équivalent, et le prestataire IA configuré (Google ou Anthropic selon le niveau choisi). Pays : traitement dans l’EEE lorsque l’infrastructure le permet, et transferts possibles vers les États-Unis ou d’autres pays de traitement des prestataires, avec garanties appropriées (voir section 18). Durée : le payload est traité pour répondre à la demande ; l’historique d’analyse éventuellement stocké suit la durée de conservation IA configurée dans l’Application ou jusqu’à suppression/retrait lorsque cela est applicable.
Chaque analyse IA doit être considérée comme générée automatiquement, possiblement incorrecte, et ne constitue pas un avis médical, un diagnostic, une prévention médicale, un triage ou une recommandation thérapeutique.
Vous pouvez retirer simplement ces consentements depuis les réglages. L’Application conserve la date et la version du consentement ou du retrait afin de tracer le choix, sans affecter la licéité des traitements réalisés avant le retrait.
6. Coach IA conversationnel (base légale : consentement explicite ; quotas : intérêt légitime)
Le coach IA est une messagerie conversationnelle. Vos messages transitent par le même serveur intermédiaire (Worker Cloudflare) vers le prestataire IA configuré (Gemini Flash de Google par défaut). Le contenu transmis respecte les consentements de la section 5 : les indicateurs de bien-être, notes libres ou éléments de mémoire ne sont inclus dans le contexte de conversation que si les consentements correspondants sont actifs.
Quotas appliqués côté serveur : dégustation gratuite limitée à 3 messages par jour pour les comptes non abonnés, puis accès réservé à l’abonnement Premium dans la limite d’un plafond anti-abus de 40 messages par jour. Des compteurs techniques journaliers (une ligne par jeton d’appareil et par jour UTC) sont conservés brièvement pour appliquer ces quotas.
Les réponses du coach sont générées automatiquement, peuvent être inexactes et ne constituent pas un avis médical. L’historique de conversation éventuellement stocké côté serveur intermédiaire est purgé lors de la suppression du compte (entrées techniques ai_chat), et suit sinon la durée de conservation configurée.
7. Mémoire IA personnelle (base légale : consentement dédié)
Si vous activez ce choix distinct, le service peut distiller de manière asynchrone, à partir de vos conversations avec le coach et de vos analyses, des éléments utiles (préférences, contexte, objectifs) et les stocker dans une table dédiée (user_ai_memory) liée à votre compte. Ces données sont pseudonymisées au sens du RGPD : liées à votre identifiant de compte, elles ne sont pas anonymes au sens juridique.
Ces éléments sont réutilisés pour personnaliser les réponses du coach et les analyses futures. Vous pouvez les consulter et les supprimer depuis l’Application. Le retrait du consentement arrête la distillation ; la suppression du compte entraîne l’effacement en cascade de la mémoire. La mémoire IA personnelle n’est pas un entraînement de modèle général.
8. Programme « Fondations 21 jours » et intentions (base légale : exécution de la fonctionnalité / consentement pour la synchronisation)
La progression du programme (jour courant, jours complétés, série) et les jalons d’analyse sont stockés localement et, si vous êtes connecté avec la sauvegarde cloud activée, synchronisés sur l’infrastructure de l’éditeur. Un mécanisme anti-rejeu côté serveur garantit que les jalons d’analyse (jour 7 gratuit ; jours 14 et 21 réservés au Premium) ne sont utilisés qu’une fois. Les analyses de jalons utilisent le circuit d’analyse IA et les consentements de la section 5.
Les intentions « si… alors… » (déclencheur, action, issue) sont stockées localement, synchronisées dans les mêmes conditions, et peuvent donner lieu à des rappels par notification locale (voir section 14).
9. Séances guidées
Les trois séances guidées (cohérence cardiaque 5-5, reset somatique, visualisation) s’exécutent entièrement en local sur l’appareil, sont gratuites et n’entraînent aucun envoi de données de séance vers les serveurs.
10. Statistiques communautaires — niveaux d’identifiabilité (base légale : consentement séparé)
La contribution aux statistiques communautaires est séparée de la sauvegarde cloud personnelle : accepter l’une n’active pas automatiquement l’autre. Distinction RGPD importante. Lorsque vous activez le « partage collectif », deux niveaux coexistent et il est nécessaire de les distinguer pour ne pas vous induire en erreur :
(a) Données stockées sur nos serveurs : pseudonymisées (article 4, 5° du RGPD). Vos données sont liées à votre compte par un identifiant technique. Nous pouvons techniquement les retrouver et les supprimer à votre demande. Elles ne sont donc pas anonymes au sens juridique : elles restent des données personnelles soumises au RGPD. Les notes textuelles libres et les entrées de journal ne sont jamais incluses dans le flux communautaire ; seuls des indicateurs structurés (scores arrondis, tags issus d’une liste fermée, journée et créneau de 4 heures, zone géographique grossière) sont concernés.
(b) Statistiques publiées à la communauté : agrégées avec k-anonymat (k ≥ 10) et bruit statistique. Avant publication, les indicateurs sont agrégés par cellule géographique (~110 km de côté) et par fenêtre de temps. Une cellule n’est publiée que si au moins 10 contributeurs distincts y figurent (k-anonymat), avec un bruit déterministe de ±0,3 ajouté aux moyennes. À ce niveau de sortie, et en l’absence de croisement avec d’autres bases, les statistiques publiées ne permettent pas, en pratique, de remonter à un individu.
Aucun partage avec des partenaires extérieurs (recherche ou autres) n’est actuellement proposé ni pratiqué : ni les données pseudonymisées (a) ni les statistiques agrégées (b) ne sont transmises à des tiers à des fins de recherche. Si un tel partage — limité aux statistiques agrégées (b) — devait être proposé à l’avenir, il ferait l’objet d’un consentement explicite séparé, distinct du partage collectif, et d’une mise à jour préalable de la présente politique.
11. Localisation (base légale : consentement via les autorisations système / consentement pour la communauté)
La localisation peut être utilisée pour la météo et les graphiques environnementaux ; les coordonnées peuvent être arrondies sur l’appareil avant stockage.
Pour la communauté, une option distincte peut permettre d’associer des agrégats k-anonymes (k ≥ 10) à une zone très grossière (ex. geohash court), sans envoi obligatoire des coordonnées précises au serveur communautaire.
12. Microphone et reconnaissance vocale (base légale : consentement)
Certaines fonctions de saisie vocale — notamment la dictée d’entrées de journal — peuvent utiliser le microphone et les services de reconnaissance vocale du système ou du fabricant. L’audio est traité conformément aux règles de la plateforme (Apple/Google) ; le texte transcrit est ensuite traité comme une note libre (sections 4 et 5).
13. Activité physique (base légale : consentement)
Le comptage de pas peut utiliser les capteurs d’activité de l’appareil après permission.
14. Notifications (base légale : consentement / intérêt légitime pour les messages de service si applicable)
Les préférences de notifications sont gérées dans les réglages du système et de l’Application. Les rappels d’intentions et du programme sont planifiés localement sur l’appareil.
15. Paiements, abonnement et crédits (base légale : contrat)
Les achats intégrés (abonnement Premium mensuel/annuel, packs de crédits de 3, 10 ou 30 analyses) sont traités par Apple ou Google. Nous ne recevons pas votre numéro de carte bancaire.
Pour appliquer vos droits (statut Premium, solde de crédits), des identifiants de transaction et un solde de crédits peuvent être conservés côté serveur, liés à un jeton technique d’appareil ou à votre compte, pendant la durée nécessaire à la fourniture du service et aux obligations comptables.
16. Durées de conservation (indicatif)
- •Données sur l’appareil : tant que l’Application est installée et que vous ne les effacez pas (certaines options de rétention, ex. données astro, peuvent être configurées dans l’app).
- •Compte et sauvegarde cloud (snapshot sur l’infrastructure configurée par l’éditeur) : uniquement si vous avez activé la sauvegarde cloud personnelle ; conservées pendant la durée de vie du compte et le temps nécessaire à la fourniture du service (sauvegarde ; restauration réservée au Premium). À la suppression du compte, les données liées à ce compte sont supprimées via les mécanismes techniques en place (y compris effacement en cascade des lignes associées). Pour une demande d’effacement ou d’export hors automatismes, contactez le responsable du traitement.
- •Compte gratuit vs Premium : le même type de snapshot peut être stocké ; la fréquence de synchronisation automatique et l’accès à la restauration/fusion depuis le nuage diffèrent selon l’offre, comme indiqué dans l’Application.
- •Historique IA (analyses, conversations du coach) : suit la durée de conservation configurée dans l’Application ; les entrées techniques côté serveur intermédiaire (ai_analysis, ai_chat) sont purgées à la suppression du compte.
- •Mémoire IA personnelle (user_ai_memory) : jusqu’à suppression par vous, retrait du consentement dédié ou suppression du compte (effacement en cascade).
- •Progression du programme et intentions : pendant la durée de vie du compte (effacement en cascade à la suppression).
- •Ouvertures d’application (daily_app_opens) : lorsqu’elles existent sous consentement cloud, rétention maximale 90 jours.
- •Données de contexte environnemental (environment_snapshots — données publiques de météo, d’activité sismique et de météo spatiale corrélées à votre compte) : lorsqu’elles existent sous consentement cloud, rétention maximale 730 jours (2 ans), puis purge automatique.
- •Statistiques communautaires agrégées (k ≥ 10, bruit ±0,3) : conservées sans limite de durée prédéfinie en l’absence d’identifiants individuels une fois publiées. Les données pseudonymisées qui ont servi à les produire restent soumises aux durées de conservation du compte (ci-dessus).
17. Destinataires et sous-traitants
L’éditeur fait appel aux sous-traitants suivants, chacun encadré par un accord de traitement des données (DPA) et, pour les transferts hors EEE, par les clauses contractuelles types (CCT/SCC) de la Commission européenne complétées de mesures techniques (chiffrement en transit et au repos) :
- •Supabase — hébergement de la base de données, authentification et sauvegarde cloud optionnelle. Région : EEE (eu-west-1, Dublin, Irlande). Données : compte, snapshot de sauvegarde si vous l’activez, mémoire IA, progression du programme, intentions, consentements, données communautaires pseudonymisées si vous y contribuez.
- •Cloudflare — serveur intermédiaire (Worker) pour les analyses IA, le coach conversationnel et la validation des achats intégrés (IAP). Ce Worker reçoit et fait transiter des données personnelles (contexte d’analyse, messages du coach, éventuelles notes selon consentement, identifiants de transaction). Cloudflare est donc bien sous-traitant de données personnelles, et non un simple relais « sans données ».
- •Google (Gemini) — prestataire de modèle d’IA pour le niveau « light » (Gemini Flash, coach et analyses par défaut), destinataire du contexte lorsque vous utilisez les fonctions IA. Traitement susceptible d’avoir lieu hors EEE (notamment États-Unis). Selon ses conditions d’API commerciale en vigueur, les données envoyées ne sont pas utilisées pour entraîner ses modèles.
- •Anthropic (Claude) — prestataire de modèle d’IA pour le niveau « powerful » (Claude Sonnet), destinataire du contexte lorsque vous choisissez ce niveau. Traitement susceptible d’avoir lieu hors EEE (notamment États-Unis). Selon ses conditions d’API commerciale en vigueur, les données envoyées ne sont pas utilisées pour entraîner ses modèles.
- •Apple (App Store) et Google (Google Play) — traitement des achats intégrés (paiement, abonnements, crédits). Nous ne recevons pas votre numéro de carte bancaire.
- •Sentry — télémétrie de plantage et de stabilité, uniquement si cette fonction est activée par l’éditeur. Configurée pour ne pas collecter de données personnelles brutes (pas de notes, pas de prompts IA, pas de données de santé) ; les adresses IP sont masquées et les charges utiles sont filtrées (voir section 21). Traitement susceptible d’avoir lieu hors EEE.
17 bis. Politique de mise à jour des sous-traitants
La liste ci-dessus peut évoluer. L’éditeur tient un registre interne à jour des sous-traitants et de leurs garanties. La liste actualisée peut être obtenue sur simple demande au contact indiqué en tête. En cas d’ajout ou de remplacement d’un sous-traitant ayant un impact significatif sur vos données, l’éditeur met à jour la présente politique (date et version en tête) et, pour un changement substantiel, peut vous en informer dans l’Application.
18. Transferts hors UE
Certains sous-traitants (notamment les prestataires d’IA Google et Anthropic, Cloudflare et, le cas échéant, Sentry) peuvent traiter des données en dehors de l’EEE, notamment aux États-Unis. Dans ce cas, l’éditeur s’appuie sur les garanties appropriées prévues par le RGPD : clauses contractuelles types (CCT/SCC) de la Commission européenne et, lorsque c’est pertinent, mécanismes d’adéquation applicables (ex. EU-US Data Privacy Framework pour les prestataires certifiés), complétés de mesures techniques (chiffrement, minimisation des données transmises). Une analyse d’impact relative à la protection des données (AIPD/DPIA) a été menée pour les traitements présentant un risque élevé (données de santé/bien-être, IA externe, localisation, profilage de tendances, forum public).
19. Vos droits
Vous disposez des droits d’accès, de rectification, d’effacement, de limitation, de portabilité (pour les données fournies et traitées par contrat/automatisation) et d’opposition, dans les conditions légales. Pour les traitements fondés sur le consentement, vous pouvez retirer votre consentement à tout moment sans affecter la licéité du traitement antérieur.
Vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr) ou de l’autorité de votre pays.
20. Mineurs
L’Application ne s’adresse pas aux personnes de moins de 15 ans (âge du consentement numérique en France conformément à l’article 7-1 de la loi Informatique et Libertés transposant l’article 8 du RGPD). Si vous estimez qu’un mineur a fourni des données sans autorisation parentale, contactez le responsable du traitement.
21. Cookies, traceurs et télémétrie
L’Application mobile n’utilise pas de cookies publicitaires ni de traceurs marketing. Les seuls mécanismes techniques nécessaires sont les jetons de session du fournisseur d’authentification (Supabase), strictement nécessaires au fonctionnement de la connexion et de la synchronisation. Aucun outil d’analyse d’audience (analytics) non essentiel n’est utilisé sans votre consentement préalable. Si un tel outil était ajouté ultérieurement, il ne serait activé qu’après recueil d’un consentement préalable (bannière ou écran de choix).
Télémétrie de plantage : afin d’améliorer la stabilité, l’éditeur peut activer un outil de télémétrie de plantage (Sentry). Lorsqu’il est activé, il est configuré pour ne jamais envoyer de données personnelles brutes : pas de notes textuelles, pas de prompts ou réponses d’IA, pas de données de santé/bien-être. Les adresses IP sont masquées, les charges utiles sont filtrées (scrubbing) et seules des informations techniques minimales (type d’erreur, version, identifiant technique non nominatif) sont conservées, pendant une durée limitée. Le site web associé applique sa propre politique de cookies indiquée sur ce site.
22. Contact
Pour toute question relative à la présente politique ou à vos droits : privacy@innernavigation.app. Pour l’assistance générale : support@manifestwealth.io.