Politique de confidentialité

POLITIQUE DE CONFIDENTIALITÉ

POLITIQUE DE CONFIDENTIALITÉ DE L’APPLICATION ALVY

Dernière mise à jour : 20 novembre 2025

La présente Politique de Confidentialité (ci-après la « Politique ») a pour objet d’informerde manière claire, transparente et exhaustive les utilisateurs de l’application Alvy (ci-après« l’Application ») sur les modalités de collecte, d’utilisation, de conservation, de protectionet de partage de leurs données personnelles, y compris les données sensibles de santé,au sens du Règlement (UE) 2016/679 (RGPD) et de la Loi Informatique et Libertésfrançaise modifiée.

I. IDENTITÉ DU RESPONSABLE DUTRAITEMENT

Le responsable du traitement des données personnelles est :

ALVY
SAS immatriculée au RCS de Lyon sous le numéro 939 705 133
Siège social : 6 Rue Paul Langevin, 69520 Grigny, France
Représentée par son Président, Samuele De Salve
Email de contact : support@alvy.app

II. CADRE JURIDIQUE APPLICABLE

Les traitements réalisés par Alvy sont eﬀectués en conformité avec :

• le RGPD,
• la Loi Informatique et Libertés,
• les recommandations de la CNIL,
• les obligations des stores Apple et Google,
• la réglementation applicable aux données de santé.

III. DONNÉES PERSONNELLESCOLLECTÉES

3.1. Données d’identité
‍
• Nom
• Prénom
• Date de naissance
• Sexe
• Adresse email
• Identifiant utilisateur interne

3.2. Données de santé (données sensibles)

Les données suivantes, volontairement saisies dans le journal de bord, constituent desdonnées de santé au sens de l’article 9 du RGPD :• symptômes digestifs (douleurs, crampes, ballonnements, transit, etc.)
• fréquence et durée des crises
• intensité de la douleur
• alimentation consommée
• déclencheurs possibles
• état émotionnel (stress, anxiété, sommeil)
• eﬀets ressentis après un repas
• progression et évolution des symptômes

3.3. Données techniques

• modèle de l’appareil
• version du système
• logs d’erreurs
• identifiants techniques anonymisés
• statistiques d’utilisation

IV. MOMENT ET MÉTHODE DE COLLECTE

Les données sont collectées :

• lors de la création du compte,
•lors de la saisie dans le journal de bord,
• lors de la navigation dans l’Application,
• automatiquement via des outils techniques internes.

Aucune donnée n’est collectée sans action ou information préalable de l’utilisateur.

V. BASES LÉGALES DES TRAITEMENTS

5.1. Exécution du contrat (Article 6(1)(b) RGPD)

Pour :• création du compte,
• accès aux fonctionnalités,
• personnalisation du tableau de bord.

5.2. Consentement explicite (Article 9(2)(a) RGPD)

Pour toutes les données de santé, l’utilisateur donne un consentement explicite :

• lors de son inscription,
• via une case à cocher obligatoire.

5.3. Intérêt légitime (Article 6(1)(f))

Pour :• amélioration du service,
• analyse statistique anonymisée,
• sécurité de la plateforme.

5.4. Obligation légale

En cas de demande judiciaire ou enquête.

VI. FINALITÉS DU TRAITEMENT

Les données sont traitées afin de :

6.1. Fournir les services

• accès au compte
• journal de bord personnalisé
• suivi des symptômes
• aﬃchage de statistiques
• outils de respiration

6.2. Améliorer l’Application

• optimisation des fonctionnalités
• correction des erreurs techniques
• compréhension de l’usage général

6.3. Sécuriser la plateforme

• gestion des accès
• détection d’activités suspectes
• prévention des intrusions

6.4. Produire des statistiques anonymisées

Alvy peut produire :

• statistiques globales,
• données agrégées non identifiables.

Aucune exploitation commerciale.

VII.DESTINATAIRES DES DONNÉES

Les données sont strictement destinées :

• à l’Éditeur et ses équipes autorisées,
• à son hébergeur (Supabase),
• aux prestataires techniques contractuellement engagés.Aucun transfert n’est eﬀectué vers :

- assureurs
- employeurs
- annonceurs
- partenaires commerciaux

Aucune donnée de santé n’est partagée sans consentement.

VIII.HÉBERGEMENT ET SOUS-TRAITANCE

Les données sont hébergées par :

Supabase–Europe

(serveurs situés dans l’Union européenne)Supabase agit en tant que sous-traitant au sens de l’article 28 du RGPD.Une convention de sous-traitance conforme au RGPD (DPA) encadre :

• les obligations de sécurité,
• le traitement des données sensibles,
• les mécanismes de suppression,
• l’absence de sous-traitance non autorisée.

IX. TRANSFERT DE DONNÉES HORS UE

Aucun transfert hors Union européenne n’est réalisé sans :

• garanties adéquates,
• clauses contractuelles types,
• contrôle de conformité.

À ce jour, aucun transfert hors UE n’a lieu.

X. CONSERVATION DES DONNÉES

Type de données - Durée de conservation

Données du compte - Durée d’utilisation + 30 jours aprèssuppression
Données de santé - Durée d’utilisation + 30 jours
Logs techniques - 12 mois
Données anonymisées - illimité (non identifiables)

Après suppression du compte toutes les données nominatives et sensibles sontsupprimées définitivement dans un délai maximum de 30 jours.

XI. SÉCURITÉ DES DONNÉES

Alvy met en œuvre des mesures techniques et organisationnelles avancées :

Chiﬀrement

• TLS 1.2+ en transit
• AES-256 au repos
• Isolation logique par utilisateur

Protection des accès

• politiques d’accès restrictives
• audit des accès administrateurs
• rotation des clés cryptographiques

Sécurité organisationnelle

• limitation stricte des accès internes
• formation RGPD des collaborateurs
• documentation interne (registre, DPIA)

Prévention des violations

• monitoring des anomalies
• détection d’intrusion
• tests réguliers de sécurité

En cas de violation :

• notification à la CNIL dans les 72h
• et à l’utilisateur en cas de risque élevé.

XII.DROITS DES UTILISATEURS

Conformément au RGPD, l’utilisateur dispose de :
‍
- Droit d’accès
- Droit de rectification
- Droit à l’eﬀacement
- Droit à la limitation
- Droit d’opposition
- Droit à la portabilité
- Droit de retirer son consentement
- Droit d’introduire une réclamation auprès de la CNILLes demandes peuvent être adressées à : support@alvy.app

XIII.PRISE DE DÉCISION AUTOMATISÉE

Aucune prise de décision automatisée ni profilage médical n’est réalisé.

XIV.MINEURS

L’Application n’est pas destinée aux mineurs de moins de 13 ans.
Inscription interdite sans accord parental.

XV. MODIFICATIONS DE LA POLITIQUE

Alvy peut modifier la Politique pour :

• intégrer de nouvelles obligations,
• ajouter des finalités,
• se conformer aux mises à jour légales.

L’utilisateur est informé en cas de changement substantiel.

XVI.CONTACT

Pour toute question relative à la Politique de Confidentialité : support@alvy.app
6 Rue Paul Langevin, 69520 Grigny, France.