Vos données, vos règles.

• Nom commercial : ZymFit
• Numéro TVA : BE1036280494
• Localisation : Bruxelles, Belgique
• Email de contact : support@zymfit.app
• Site web : https://zymfit.app
• Statut : Indépendant complémentaire (Belgique)
• Législation applicable : RGPD (UE 2016/679) + Droit belge

ZymFit (« nous », « notre », « l’application ») s’engage à protéger la vie privée de ses utilisateurs. La présente politique de confidentialité s’applique à :

• L’application mobile ZymFit (iOS et Android).
• L’application web accessible sur https://zymfit.app.
• Toutes les fonctionnalités et services proposés par ZymFit.

En utilisant ZymFit, vous reconnaissez avoir pris connaissance de cette politique et acceptez les pratiques qui y sont décrites. Cette politique est rédigée conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi belge du 30 juillet 2018.

3.1 Données de profil

Collectées lors de l’inscription et de l’onboarding pour faire fonctionner le calcul des besoins nutritionnels et la personnalisation du Service.

3.2 Données de santé — Article 9 RGPD

Les données suivantes sont considérées comme données de santé au sens de l’Article 9 du RGPD et bénéficient d’une protection renforcée. Leur collecte nécessite votre consentement explicite :

• Poids actuel et historique des pesées, tendance lissée.
• Mensurations corporelles (13 zones : cou, épaules, poitrine, bras, taille, hanches, cuisses, mollets…).
• Journal alimentaire complet (repas, aliments, calories, macros).
• Données d’hydratation.
• Allergies et intolérances alimentaires.

Base légale : votre consentement explicite donné lors de l’inscription, conformément à l’Article 9(2)(a) du RGPD. Retirable à tout moment via la suppression du compte.

3.3 Données générées par l’utilisation

3.4 Données sociales et cohérence

3.5 Données techniques et infrastructure

3.6 Analyse photo des repas par IA

• Photo non stockée : traitée en mémoire (base64), envoyée à Gemini en one-shot et immédiatement supprimée — jamais sauvegardée sur nos serveurs.
• Données transmises : seule la photo et un contexte anonymisé (objectif nutritionnel, macros restantes). Aucune donnée d’identification.
• Résultat : une estimation à titre informatif uniquement.
• Aucun historique : aucune conversation ni historique d’échanges avec l’IA n’est conservé.

3.7 Ce que nous ne collectons jamais

• Adresse IP (aucun log).
• Données de localisation GPS.
• Contacts du téléphone.
• Données de tracking publicitaire (IDFA, GAID).
• Données de paiement (gérées exclusivement par Apple ou Google).
• Données biométriques (empreintes digitales, reconnaissance faciale).

Par défaut, ton compte est privé. Aucune information n’est visible à d’autres users sauf si tu actives explicitement les options dans Settings → Confidentialité :

• Apparaître en recherche : permet à un user de te trouver par ton @pseudo.
• Autoriser les demandes d’amis : permet de recevoir des demandes.
• Apparaître dans le classement public : ton ELO/XP apparaît dans le top 100 global.
• Partager mes séances : ton activité apparaît dans le feed de tes amis.
• Partager mes PRs : tes records s’affichent dans le feed.
• Partager mon streak : ta série actuelle est visible par tes amis.
• Partager mon volume : ton volume hebdo est visible.

Chaque option est désactivable indépendamment.

Lorsque vous acceptez une demande d’ami, les données suivantes deviennent visibles entre vous deux selon tes sharing prefs :

• @pseudo, photo de profil.
• Série actuelle et plus longue série (si Partager streak ON).
• Records personnels par exercice (si Partager PRs ON).
• Activité quotidienne, séances effectuées (si Partager séances ON).
• Volume hebdomadaire (si Partager volume ON).
• Score ELO/XP et rang (si Apparaître dans le classement ON).

Aucune donnée nutritionnelle n’est jamais partagée. Aucune mensuration corporelle n’est jamais partagée.

ZymFit utilise les sous-traitants suivants, tous conformes RGPD :

• Supabase (hébergement DB + auth + realtime) — UE (OVH France).
• Google Gemini (analyse image scan repas) — Belgium GCP region (eu-west1).
• Firebase Cloud Messaging (push notifications iOS / Android) — Belgium GCP region.
• RevenueCat (gestion abonnements) — US, conforme via Clauses Contractuelles Types (SCC).
• Vercel (hébergement web) — UE region.
• Apple App Store / Google Play (distribution mobile et facturation).

Aucun de ces sous-traitants n’a accès à tes données nutritionnelles, ton poids ou tes mesures corporelles. Chaque accès est limité à la finalité strictement nécessaire à la fourniture du Service.

• Votre email avec des tiers à des fins publicitaires ou commerciales.
• Vos données de santé avec des assureurs, employeurs, pharmacies ou partenaires commerciaux.
• Vos mensurations et données corporelles.
• Votre journal alimentaire individualisé.
• Vos données avec des courtiers en données (data brokers).
• Des données individuelles identifiables à des fins d’études ou de recherche.

Après la période de 30 jours suivant la suppression du compte, toutes vos données personnelles sont définitivement et irrémédiablement supprimées de nos systèmes, y compris les sauvegardes.

Nous mettons en œuvre les mesures suivantes :

10.1 Chiffrement

• Communications chiffrées via HTTPS/TLS.
• Données chiffrées au repos dans Supabase.
• Mots de passe stockés en hash bcrypt uniquement.

10.2 Contrôle d’accès

• Row Level Security (RLS) — isolation stricte des données par utilisateur.
• Tokens JWT avec expiration automatique et rotation des refresh tokens.
• Realtime channels filtrés par RLS : aucun message diffusé hors des participants.

10.3 Stockage des fichiers

• Photo de profil (avatar) stockée dans un espace privé Supabase.
• Accessible uniquement via des URLs signées temporaires.
• Jamais accessible publiquement.

10.4 Protection contre les abus

• Rate limiting sur les routes API sensibles.
• Protection anti-bot sur les formulaires d’authentification.
• Système anti-farm 4 couches sur les défis classés.

Conformément au RGPD et à la loi belge du 30 juillet 2018, vous disposez des droits suivants :

11.1 Droit d’accès (Art. 15)

Copie complète de toutes les données vous concernant, leur origine, leur finalité et leurs destinataires.

11.2 Droit de rectification (Art. 16)

Correction directe via Settings → Profil ou en écrivant à support@zymfit.app.

11.3 Droit à l’effacement (Art. 17)

Suppression depuis Settings → Compte → Supprimer mon compte. Effacement définitif après 30 jours.

11.4 Droit à la portabilité (Art. 20)

Export JSON/CSV depuis Settings → Export. Inclut profil, journal alimentaire, séances, pesées, mensurations.

11.5 Droit d’opposition (Art. 21)

Opposition à tout traitement basé sur l’intérêt légitime via support@zymfit.app.

11.6 Droit à la limitation (Art. 18)

Limitation du traitement dans les cas prévus par l’Article 18.

11.7 Droit de retrait du consentement

Retrait à tout moment des consentements donnés (données de santé, notifications, partage social). Sans effet rétroactif sur les traitements antérieurs.

11.8 Droit de ne pas faire l’objet d’une décision automatisée (Art. 22)

Les calculs nutritionnels sont automatisés mais basés sur des formules scientifiques standardisées (Mifflin-St Jeor). Tous les objectifs sont éditables manuellement. Les résultats de défis classés sont déterminés automatiquement ; en cas de contestation, contactez le support.

Pour exercer vos droits : support@zymfit.app — délai de réponse 30 jours maximum (Article 12 RGPD).

ZymFit est destiné aux personnes âgées d’au moins 14 ans conformément à l’Article 8 du RGPD tel qu’implémenté par la loi belge du 30 juillet 2018. Si nous découvrons qu’un utilisateur de moins de 14 ans a créé un compte, nous supprimerons immédiatement ce compte et toutes les données associées sans délai.

ZymFit utilise uniquement des cookies strictement nécessaires. Aucun cookie publicitaire, aucun cookie de tracking tiers, aucun pixel de suivi.

Si vous activez les notifications push, nous pouvons vous envoyer :

• Rappels d’entraînement (jours et heures configurables).
• Rappels de repas (matin / midi / soir, configurables).
• Rappels d’hydratation.
• Sauvegarde de série (18 h locale si pas d’activité).
• Défi reçu, accepté ou terminé.
• Records personnels.

Base légale : votre consentement, donné lors de l’activation des notifications. Les notifications transitent via Firebase Cloud Messaging (iOS) et Google Push Services (Android). Aucune notification publicitaire n’est envoyée.

Vous pouvez désactiver les notifications à tout moment depuis les paramètres de votre appareil ou depuis Settings → Notifications dans l’application.

ZymFit utilise Google Gemini uniquement pour l’analyse photo des repas : vous prenez une photo, l’IA estime les calories et macronutriments.

Ce que l’IA reçoit

• La photo (non stockée — traitée en mémoire puis supprimée).
• Votre objectif (sèche, maintien, prise de masse).
• Vos macros restantes de la journée.

Ce que l’IA ne reçoit jamais

• Votre nom ou prénom.
• Votre adresse email.
• Votre identifiant utilisateur.

Limites

• Les estimations sont approximatives et à titre informatif.
• L’IA n’est pas un substitut à un professionnel de santé.
• Aucune photo ni aucun historique d’analyse n’est conservé. Chaque analyse est un traitement ponctuel (one-shot).

Certains de nos prestataires sont situés en dehors de l’Union Européenne, notamment aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne conformément à l’Article 46 du RGPD.

Prestataires concernés par des transferts hors UE :

• RevenueCat (États-Unis).
• Apple App Store et Google Play Store (selon leurs politiques).

Supabase (UE — OVH France), Vercel (UE region), Firebase Cloud Messaging (Belgium GCP eu-west1) et Google Gemini (Belgium GCP eu-west1) traitent vos données au sein de l’Union Européenne.

ZymFit peut utiliser des données agrégées et entièrement anonymisées (sans possibilité d’identification individuelle) à des fins d’amélioration de l’application et d’études nutritionnelles. Ces données ne permettent en aucun cas d’identifier un utilisateur individuel.

Ces traitements sont basés sur notre intérêt légitime (Article 6(1)(f) du RGPD).

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d’introduire une réclamation auprès de l’autorité de protection des données compétente :

Nous pouvons mettre à jour cette politique en cas d’évolution de nos pratiques ou de la législation applicable.

Modification substantielle

• Information par email au moins 30 jours avant l’entrée en vigueur.
• Notification dans l’application.
• Mise à jour de la date en haut du document.

Modification mineure (corrections, clarifications)

Seule la date de mise à jour est modifiée, sans notification préalable.

Pour toute question relative à cette politique, pour exercer vos droits ou pour signaler une violation de données :

En cas de violation de données susceptible d’engendrer un risque pour vos droits et libertés, nous nous engageons à vous notifier dans les 72 heures conformément à l’Article 33 du RGPD.

Cette politique de confidentialité est régie par le droit belge et le RGPD. Tout litige sera soumis à la compétence exclusive des tribunaux de Bruxelles, Belgique.