Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles est Flowly, basé en France.

Pour toute question relative à la confidentialité, contacte-nous à support@myflowly.co.

2. Données que nous collectons

Nous collectons uniquement ce qui est nécessaire au fonctionnement du service :

• Données de compte : adresse email, prénom/pseudo, identifiant Apple Sign-In (si tu utilises « Se connecter avec Apple »).
• Données d'habitudes : objectifs, habitudes que tu crées, historique de complétion, streaks.
• Données d'onboarding : état émotionnel déclaré, expérience passée avec les routines, temps disponible quotidien, style de progression préféré, préférence de soutien.
• Données de souscription : statut d'abonnement, identifiants de transaction (Apple App Store, Google Play). Nous ne recevons jamais ton numéro de carte bancaire.
• Données techniques : token de notification push, préférences de langue et de thème, modèle d'appareil et version OS (à des fins de diagnostic).
• Données d'usage : interactions avec l'app (écrans ouverts, actions), timestamps, pour améliorer le produit.

3. Comment nous collectons ces données

• Directement : lorsque tu crées un compte, que tu remplis l'onboarding ou que tu utilises l'app.
• Via Apple Sign-In : si tu choisis cette méthode de connexion, nous recevons un identifiant anonyme et, selon ton choix, ton email (réel ou relais Apple).
• Automatiquement : informations techniques non identifiantes (type d'appareil, langue système) lors de l'utilisation.

4. Pourquoi nous traitons ces données

• Fournir et maintenir le service Flowly.
• Générer tes routines personnalisées via IA.
• Envoyer les notifications que tu as activées.
• Comprendre l'usage agrégé de l'app pour l'améliorer.
• Traiter les demandes de support.
• Gérer les abonnements et les paiements (via Apple et Google).

5. Base légale (RGPD)

• Exécution du contrat : pour fournir le service auquel tu as souscrit.
• Consentement : pour les notifications push et les données sensibles (état émotionnel).
• Intérêt légitime : pour améliorer le service et prévenir les abus.
• Obligation légale : pour conserver les preuves de transaction.

6. Services tiers et sous-traitants

Flowly est une petite équipe. Pour faire tourner l'app, on s'appuie sur une courte liste de prestataires soigneusement choisis qui traitent tes données pour notre compte, dans le cadre d'un Accord de traitement des données (DPA). On ne vend jamais tes données. Chaque service applique sa propre politique de confidentialité en plus des protections décrites ici :

• Supabase, Inc. (États-Unis — hébergement et base de données). Stocke ton e-mail, ton profil, tes objectifs, tes habitudes, ton historique de complétion, tes séries et l'historique de tes générations IA dans une instance PostgreSQL hébergée dans l'Union européenne. Base légale : exécution du contrat (art. 6, §1, b RGPD). DPA et Clauses Contractuelles Types en place. https://supabase.com/privacy
• OpenAI, L.L.C. (États-Unis — génération d'habitudes par IA et bilans hebdomadaires). Quand tu crées un objectif ou que tu demandes un plan généré par IA, on envoie à l'API d'OpenAI les éléments nécessaires à la personnalisation — titre de l'objectif, description, habitudes d'ancrage que tu as choisies, et tes réponses d'onboarding comme ta disponibilité et ta motivation — pour qu'elle te renvoie une routine. OpenAI n'utilise pas le contenu envoyé via l'API pour entraîner ses modèles. Aucune donnée n'est envoyée à OpenAI si tu n'utilises jamais de fonctionnalité IA. La même disclosure s'affiche dans l'app lors de la première génération IA. Base légale : exécution du contrat (art. 6, §1, b RGPD). DPA et Clauses Contractuelles Types en place. https://openai.com/enterprise-privacy
• PostHog Inc. (région UE — eu.i.posthog.com — analytique produit). Reçoit des événements d'usage anonymes (vues d'écran, taps, points d'abandon) pour qu'on comprenne comment l'app est utilisée et qu'on l'améliore. On n'envoie ni ton e-mail, ni ton mot de passe, ni le titre de tes objectifs, ni le contenu de tes habitudes à PostHog. Tu peux désactiver l'analytique à tout moment dans Réglages → Confidentialité & Données → Désactiver l'analytique. Base légale : intérêt légitime à améliorer le produit (art. 6, §1, f RGPD), avec l'opt-out in-app matérialisant ton droit d'opposition (art. 21 RGPD). https://posthog.com/privacy
• Apple (Sign in with Apple, StoreKit, notifications push). https://www.apple.com/legal/privacy/
• Expo (builds, mises à jour OTA, routage des notifications push). https://expo.dev/privacy

7. Durée de conservation

Tes données sont conservées tant que ton compte est actif.

En cas de suppression de ton compte, toutes les données personnelles identifiables sont supprimées dans un délai de 30 jours. Certaines données anonymisées peuvent être conservées à des fins statistiques, et certaines preuves de transaction peuvent être conservées pour respecter nos obligations légales (comptabilité, fiscalité).

8. Transferts internationaux

Tes données sont hébergées par Supabase sur des serveurs situés en Union européenne et/ou aux États-Unis. Les transferts hors UE sont encadrés par des Clauses Contractuelles Types (Standard Contractual Clauses) conformément au RGPD.

9. Tes droits (RGPD — utilisateurs EU)

Si tu résides dans l'Union européenne, tu disposes des droits suivants :

• Accès à tes données personnelles.
• Rectification des données inexactes.
• Effacement (« droit à l'oubli »).
• Portabilité de tes données dans un format structuré.
• Restriction du traitement.
• Opposition au traitement basé sur l'intérêt légitime.
• Retrait du consentement à tout moment.
• Réclamation auprès d'une autorité de contrôle (en France : CNIL — https://www.cnil.fr).

Pour exercer tes droits, écris-nous à support@myflowly.co. Nous répondrons sous 30 jours.

10. Tes droits (CCPA/CPRA — résidents de Californie)

Si tu résides en Californie, tu disposes en plus des droits suivants :

• Droit de savoir quelles données personnelles sont collectées et comment elles sont utilisées.
• Droit de supprimer tes données personnelles.
• Droit de corriger les données inexactes.
• Droit de refuser la vente ou le partage de tes données (Flowly ne vend ni ne partage tes données à des fins publicitaires).
• Droit à la non-discrimination pour l'exercice de ces droits.

11. Données sensibles

Certaines informations que tu fournis (état émotionnel, objectifs de bien-être) peuvent être considérées comme sensibles. Elles ne sont utilisées que pour personnaliser tes routines. Elles ne sont jamais partagées avec des tiers à des fins commerciales et ne servent pas à entraîner les modèles d'IA publics. Leur traitement repose sur ton consentement explicite, que tu peux retirer à tout moment en supprimant ton compte.

12. Données des mineurs

Flowly n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données concernant des mineurs de moins de 16 ans. Si tu penses qu'un mineur nous a communiqué des données, contacte-nous à support@myflowly.co pour leur suppression.

13. Notifications push

Si tu actives les notifications, nous stockons un token opaque fourni par Apple ou Google pour t'envoyer les rappels que tu as configurés. Ce token ne permet pas de t'identifier personnellement. Tu peux désactiver les notifications à tout moment dans les Réglages de ton appareil ou de l'app.

14. Microphone et saisie vocale

Flowly utilise le microphone de ton appareil pour la saisie vocale (speech-to-text) lorsque tu choisis de dicter la description d'un objectif. L'audio est traité en temps réel sur ton appareil via les APIs natives de la plateforme (SFSpeechRecognizer sur iOS, SpeechRecognizer sur Android).

Aucun enregistrement audio n'est stocké, envoyé à nos serveurs ni conservé après la transcription. Le texte obtenu est utilisé uniquement pour remplir le champ de description de l'objectif.

Tu actives le micro manuellement à chaque utilisation — Flowly n'écoute jamais en arrière-plan. La permission RECORD_AUDIO peut être révoquée à tout moment dans les Réglages de ton appareil.

15. Accès au calendrier

Flowly peut demander l'accès au calendrier de ton appareil (Apple Calendar ou Google Calendar). Cet accès sert uniquement à analyser tes créneaux occupés pour te suggérer les meilleurs horaires pour tes habitudes.

Aucun événement de ton calendrier n'est copié, stocké ou envoyé à nos serveurs. L'analyse est effectuée localement sur ton appareil.

L'accès au calendrier est entièrement facultatif — l'app fonctionne normalement sans. Tu peux révoquer cette permission à tout moment dans les Réglages de ton appareil.

16. Reconnaissance vocale

La saisie vocale repose sur les services de reconnaissance vocale intégrés à ton système d'exploitation (Apple Speech Recognition sur iOS, Google Speech Services sur Android). Flowly ne gère pas directement le traitement audio — c'est le système d'exploitation qui s'en charge.

Les politiques de confidentialité d'Apple et de Google s'appliquent au traitement de la voix côté système. Flowly ne reçoit que le texte transcrit, jamais l'audio brut.

17. Sécurité

Toutes les communications entre l'app et nos serveurs sont chiffrées via HTTPS (TLS). Les données sont stockées de façon sécurisée avec Supabase (Row Level Security activée). Sur iOS, les informations sensibles locales sont stockées via SecureStore (Keychain). Aucun système n'est infaillible, mais nous appliquons les standards reconnus de l'industrie.

18. Modifications de cette politique

Nous pouvons mettre à jour cette politique pour refléter des changements du service ou des obligations légales. En cas de modification importante, nous te préviendrons par email ou via une notification in-app avant l'entrée en vigueur.

19. Nous contacter

Pour toute question, demande d'exercice de tes droits ou réclamation, écris-nous à support@myflowly.co. Nous nous engageons à te répondre sous 30 jours.