Politique de confidentialité

Le responsable du traitement des données personnelles collectées sur le site kiloleger.fr est l'éditrice du site, entrepreneuse individuelle en profession libérale non réglementée exerçant sous le pseudonyme commercial « Jan GRAVELLE » :

• Enseigne commerciale : CHANTAL DELVITTO
• SIRET : 845 381 219 00045
• 21 boulevard Pasteur, 05200 Embrun, France
• Courriel : contact@kiloleger.fr

Aucun Délégué à la Protection des Données (DPO) n'est désigné à ce jour, l'activité ne franchissant pas les seuils de désignation obligatoire. Toutes les demandes relatives aux données personnelles sont adressées directement à l'éditrice via l'adresse ci-dessus.

Les données suivantes sont saisies volontairement par l'utilisatrice dans les outils de suivi du site et enregistrées uniquement dans le navigateur (stockage local du terminal), sans transit ni conservation sur un serveur distant dans l'état actuel du site :

• Poids et évolutions de poids
• Taille
• Mensurations : tour de taille, tour de hanches, tour de poitrine
• Âge et genre (déclaratifs)
• Objectif de perte de poids, poids de départ, poids cible
• Phase en cours du parcours (attaque, croisière, etc.)
• Préférences d'affichage (thème, unités, paramètres d'outils)

À l'ouverture officielle du service payant, seront également collectées côté serveur :

• Adresse courriel, mot de passe haché
• Prénom ou pseudo d'affichage
• Données de facturation et historique d'abonnement (via le partenaire de paiement)
• Journaux techniques (adresse IP, horodatage, type de navigateur) à des fins strictement de sécurité

• Accompagnement et suivi personnel : permettre le fonctionnement des outils (courbes de poids, mesures, phases) pour l'utilisatrice elle-même.
• Personnalisation des contenus : adapter les recommandations et les tips affichés en fonction de la phase et du profil déclaré.
• Gestion du compte et de l'abonnement : authentification, facturation, historique (à la mise en service commerciale).
• Emails transactionnels : confirmation d'abonnement, facture, notifications de sécurité, relances en cas d'échec de paiement.
• Sécurité et prévention de la fraude : détection d'anomalies, protection contre les accès non autorisés.

• Exécution du contrat (article 6.1.b du RGPD) pour la fourniture du service, la facturation et la gestion du compte.
• Consentement explicite (article 6.1.a et article 9.2.a du RGPD) pour le traitement des données de santé saisies volontairement.
• Obligation légale (article 6.1.c) pour la conservation des données de facturation (article L123-22 du Code de commerce).
• Intérêt légitime (article 6.1.f) pour la sécurité du service et la prévention de la fraude.

• Données saisies en stockage local (poids, mensurations, objectif, phase) : conservées tant que l'utilisatrice ne vide pas son navigateur ou qu'elle ne les efface pas via l'outil prévu.
• Données de compte (après bascule serveur) : durée du contrat, puis archivage intermédiaire de trois (3) ans à compter de la fin de la relation contractuelle, sauf demande d'effacement anticipé.
• Données de facturation et pièces comptables : dix (10) ans à compter de la clôture de l'exercice, en application de l'article L123-22 du Code de commerce.
• Journaux techniques : douze (12) mois maximum, sauf incident de sécurité avéré.

Les données ne sont accessibles qu'à l'éditrice (Chantal DELVITTO) dans le cadre strict de l'exploitation du service, et aux sous-traitants techniques nécessaires à son fonctionnement :

• Hébergeur du site (infrastructure auto-hébergée en phase de pré-lancement, puis hébergeur professionnel grand public à l'ouverture commerciale ; hébergeur certifié HDS pour les données de santé côté serveur).
• Prestataire de paiement sécurisé et certifié PCI-DSS, agréé pour la collecte des paiements par carte bancaire.
• Le cas échéant, prestataire d'emailing transactionnel pour les notifications de compte et de facturation.

Les données ne sont ni vendues, ni louées, ni transmises à des tiers à des fins commerciales ou publicitaires.

Transferts hors Union européenne : dans l'état actuel du service, aucun transfert de données hors de l'Union européenne n'est réalisé. À l'ouverture commerciale internationale, la solution de paiement pourra être opérée par un partenaire Merchant of Record potentiellement établi hors UE. Le cas échéant, ces transferts seront encadrés par des clauses contractuelles types adoptées par la Commission européenne, et signalés sur cette page.

Les mesures techniques et organisationnelles suivantes sont mises en œuvre :

• Chiffrement des communications en transit (HTTPS/TLS).
• À la mise en service de l'authentification : stockage des mots de passe sous forme salée et hachée avec un algorithme résistant (bcrypt, argon2 ou équivalent), jamais en clair.
• Accès restreint aux données sur la base du besoin d'en connaître.
• Sauvegardes régulières chiffrées (à la mise en service du stockage serveur).

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès et de copie
• Droit de rectification
• Droit à l'effacement (« droit à l'oubli »)
• Droit à la limitation du traitement
• Droit à la portabilité
• Droit d'opposition
• Droit de retirer votre consentement à tout moment, sans que ce retrait ne remette en cause la licéité des traitements antérieurs
• Droit de définir des directives relatives au sort de vos données après votre décès

Ces droits s'exercent par courriel à contact@kiloleger.fr, ou par courrier postal à l'adresse de l'établissement. Une réponse vous sera apportée dans un délai maximal d'un (1) mois, sauf demande complexe, auquel cas ce délai peut être prolongé de deux (2) mois avec information préalable.