Politique de
Confidentialité
Mise à jour
Avril 2026
Éditeur de l'application
- Nom commercial : ZymFit
- Numéro TVA : BE1036280494
- Localisation : Bruxelles, Belgique
- Email de contact : support@zymfit.app
- Site web : https://zymfit.app
- Statut : Indépendant complémentaire (Belgique)
- Législation applicable : RGPD (UE 2016/679) + Droit belge
Introduction et champ d'application
ZymFit ("nous", "notre", "l'application") s'engage à protéger la vie privée de ses utilisateurs ("vous", "votre"). La présente politique de confidentialité s'applique à :
- L'application mobile ZymFit (iOS et Android)
- L'application web accessible sur https://zymfit.app
- Toutes les fonctionnalités et services proposés par ZymFit
En utilisant ZymFit, vous reconnaissez avoir pris connaissance de cette politique et acceptez les pratiques qui y sont décrites. Si vous n'acceptez pas ces pratiques, veuillez ne pas utiliser notre application.
Cette politique est rédigée conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
Données que nous collectons
3.1 Données de profil (fournies par vous)
Ces données sont collectées lors de l'inscription et de l'onboarding :
| Donnée | Finalité | Obligatoire |
|---|---|---|
| Prénom | Personnalisation de l'expérience | Oui |
| Adresse email | Authentification et communications | Oui |
| Mot de passe | Sécurisation du compte (stocké en hash bcrypt, jamais en clair) | Oui |
| Sexe | Calcul du métabolisme de base (BMR Mifflin-St Jeor) | Oui |
| Âge | Calcul des besoins caloriques | Oui |
| Taille | Calcul des besoins caloriques | Oui |
| Poids actuel | Calcul des objectifs nutritionnels | Oui |
| Poids cible | Personnalisation des objectifs | Oui |
| Niveau d'activité physique | Calcul de la dépense énergétique totale (TDEE) | Oui |
| Objectif (sèche/maintien/masse) | Personnalisation des macronutriments | Oui |
| Régime alimentaire | Adaptation des recommandations nutritionnelles | Non |
| Allergies et intolérances | Filtrage des aliments inappropriés | Non |
| Aliments exclus | Personnalisation des suggestions | Non |
| Nombre de repas par jour | Planification nutritionnelle | Non |
| Planning hebdomadaire | Adaptation des jours d'entraînement | Non |
| Équipement disponible | Adaptation des exercices proposés | Non |
| Budget alimentaire | Suggestions de repas adaptées | Non |
| Photo de profil (avatar) | Personnalisation visuelle du compte | Non |
3.2 Données de santé — Catégorie spéciale (Article 9 RGPD)
Les données suivantes sont considérées comme des données de santé au sens de l'Article 9 du RGPD et bénéficient d'une protection renforcée. Leur collecte nécessite votre consentement explicite :
- Poids actuel et historique des pesées
- Taille et données morphologiques
- Mensurations corporelles (13 zones : cou, épaules, poitrine, biceps, avant-bras, taille, hanches, cuisses, mollets...)
- Photos de progression avant/après
- Journal alimentaire complet (repas, aliments, calories, macronutriments)
- Données d'hydratation
- Allergies et intolérances alimentaires
- Sexe (utilisé à des fins médicales/nutritionnelles)
Base légale: Votre consentement explicite donné lors de l'inscription, conformément à l'Article 9(2)(a) du RGPD. Vous pouvez retirer ce consentement à tout moment en supprimant votre compte.
3.3 Données générées par l'utilisation
| Donnée | Description | Sensible |
|---|---|---|
| Journal alimentaire | Repas, aliments, quantités, macros | Oui (santé) |
| Hydratation | Consommation d'eau journalière | Oui (santé) |
| Historique du poids | Pesées avec date et heure | Oui (santé) |
| Mensurations | 13 zones corporelles avec date | Oui (santé) |
| Photos de progression | Images avant/après (privées) | Oui (santé + biométrique) |
| Séances d'entraînement | Exercices, séries, répétitions, charges, temps de repos | Non |
| Programmes d'entraînement | Programmes personnalisés | Non |
| Statistiques d'entraînement | Volume, fréquence, records personnels | Non |
3.4 Analyse photo des repas par IA
ZymFit permet de scanner une photo de repas pour estimer automatiquement les calories et macronutriments via Google Gemini. Voici les règles applicables :
- Photo non stockée : la photo est traitée en mémoire (base64), envoyée à Gemini en one-shot et immédiatement supprimée — elle n'est jamais sauvegardée sur nos serveurs
- Données transmises : seule la photo est envoyée à Gemini accompagnée d'un contexte anonymisé (objectif nutritionnel, macros restantes). Aucune donnée d'identification n'est transmise
- Résultat : Gemini retourne une estimation des calories et macronutriments du repas photographié. Cette estimation est à titre informatif uniquement
- Aucun historique : aucune conversation ni historique d'échanges avec l'IA n'est conservé
3.5 Données techniques
| Donnée | Stockée | Durée |
|---|---|---|
| Cookies de session (JWT + refresh token) | Oui, HTTP-only | Durée de la session + 7 jours |
| Photos de repas (scan IA) | Non — traitées en mémoire uniquement | Jamais |
| Codes-barres scannés | Non | Jamais |
| Adresse IP | Non | Jamais |
| User-Agent | Non | Jamais |
3.6 Ce que nous ne collectons JAMAIS
- Adresse IP (aucun log)
- Données de localisation GPS
- Contacts du téléphone
- Données de tracking publicitaire (IDFA, GAID)
- Données de paiement (gérées exclusivement par Apple ou Google)
- Données biométriques (empreintes digitales, reconnaissance faciale)
Pourquoi nous collectons vos données
| Finalité | Données utilisées | Base légale RGPD |
|---|---|---|
| Créer et gérer votre compte | Email, mot de passe, prénom | Art. 6(1)(b) — Exécution du contrat |
| Calculer vos besoins nutritionnels | Sexe, âge, taille, poids, activité, objectif | Art. 6(1)(b) — Exécution du contrat |
| Personnaliser les recommandations | Profil complet, historique | Art. 6(1)(b) — Exécution du contrat |
| Suivi de votre progression | Poids, mensurations, photos, séances | Art. 9(2)(a) — Consentement explicite |
| Analyse photo des repas | Photo (non stockée), contexte anonymisé (objectif, macros) | Art. 9(2)(a) — Consentement explicite |
| Envoi d'emails transactionnels | Art. 6(1)(b) — Exécution du contrat | |
| Rappels (entraînement, repas, hydratation) | Email + notifications push | Art. 6(1)(a) — Consentement |
| Sécuriser l'application | Session cookies, rate limiting | Art. 6(1)(f) — Intérêt légitime |
| Améliorer l'application | Données agrégées et anonymisées | Art. 6(1)(f) — Intérêt légitime |
Services tiers — partage des données
5.1 Supabase (Autriche — Union Européenne)
- Rôle : Base de données, authentification, stockage des fichiers (photos de progression, GIFs d'exercices).
- Données transmises : Toutes les données de votre compte.
- Serveurs : Union Européenne (Autriche).
- Garanties : Conformité RGPD, chiffrement au repos et en transit, certifications SOC 2 Type 2.
- Politique : https://supabase.com/privacy
5.2 Google Gemini AI (États-Unis)
- Rôle : Analyse des photos de repas (estimation des calories et macronutriments à partir d'une photo).
- Données transmises : Photo du repas (non stockée) et contexte anonymisé (objectif, macros restantes). Jamais votre nom, votre email, ni vos données d'identification. Les photos sont transmises en one-shot et immédiatement supprimées.
- Transfert hors UE : Encadré par des Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne, conformément à l'Article 46 du RGPD.
- Politique : https://policies.google.com/privacy
5.3 Open Food Facts (France — Union Européenne)
- Rôle : Base de données alimentaires (3M+ produits) pour la recherche et le scan de codes-barres.
- Données transmises : Code-barres uniquement. Aucune donnée personnelle.
- Licence : Open Database License (ODbL) — données en domaine public.
- Politique : https://world.openfoodfacts.org/privacy
5.4 Vercel (États-Unis)
- Rôle : Hébergement de l'application web et des endpoints API.
- Données transmises : Requêtes HTTP. Aucun log d'IP ni de User-Agent conservé.
- Transfert hors UE : Encadré par des Clauses Contractuelles Types (CCT).
- Politique : https://vercel.com/legal/privacy-policy
5.5 Resend (États-Unis)
- Rôle : Envoi d'emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe).
- Données transmises : Adresse email uniquement.
- Transfert hors UE : Encadré par des Clauses Contractuelles Types (CCT).
- Politique : https://resend.com/privacy
5.6 Apple App Store / Google Play Store
- Rôle : Distribution de l'application et gestion des abonnements in-app.
- Données transmises : Gérées directement par Apple ou Google selon leurs politiques respectives. ZymFit ne reçoit jamais vos données de paiement.
- Apple : https://www.apple.com/legal/privacy
- Google : https://policies.google.com/privacy
5.7 RevenueCat (États-Unis)
- Rôle : Gestion des abonnements in-app (validation des reçus, gestion des entitlements).
- Données transmises : Identifiant utilisateur anonymisé, statut d'abonnement, type de plan.
- Transfert hors UE : Encadré par des Clauses Contractuelles Types (CCT).
- Politique : https://www.revenuecat.com/privacy
5.8 ExerciseDB / free-exercise-db
- Rôle : Source des données et GIFs d'exercices (1516 exercices avec animations).
- Données transmises : Aucune donnée personnelle. Les GIFs sont hébergés sur nos serveurs Supabase.
- Licence : Unlicense (domaine public) — usage commercial autorisé sans restriction.
Ce que nous ne partageons JAMAIS
- Votre email avec des tiers à des fins publicitaires ou commerciales
- Vos données de santé avec des assureurs, employeurs, pharmacies ou partenaires commerciaux
- Vos photos de progression
- Vos mensurations et données corporelles
- Vos données avec des courtiers en données (data brokers)
- Des données individuelles identifiables à des fins d'études ou de recherche
Durée de conservation des données
| Type de données | Durée de conservation |
|---|---|
| Données de compte actif | Pendant toute la durée du compte |
| Données après demande de suppression | 30 jours (délai de récupération) puis suppression définitive |
| Photos de repas (scan IA) | Jamais stockées — traitées en temps réel uniquement |
| Logs de sécurité | 90 jours maximum |
| Données de facturation (stores) | Selon la politique Apple/Google |
Après la période de 30 jours suivant la suppression de votre compte, toutes vos données personnelles sont définitivement et irrémédiablement supprimées de nos systèmes, y compris les sauvegardes.
Sécurité de vos données
Nous mettons en oeuvre les mesures de sécurité techniques et organisationnelles suivantes :
Chiffrement
- Toutes les communications chiffrées via HTTPS/TLS
- Données chiffrées au repos dans Supabase
- Mots de passe stockés exclusivement sous forme de hash bcrypt
Contrôle d'accès
- Row Level Security (RLS) — isolation stricte des données par utilisateur
- Chaque utilisateur ne peut accéder qu'à ses propres données
- Tokens JWT avec expiration automatique
- Rotation automatique des refresh tokens
Cookies sécurisés
- HTTP-only (non accessible via JavaScript)
- SameSite=Strict
- Secure (HTTPS uniquement)
Clés API
- Toutes les clés secrètes stockées côté serveur uniquement
- Jamais exposées dans l'application mobile
Stockage des fichiers
- Photos de progression stockées dans un espace privé Supabase
- Accessibles uniquement via des URLs signées temporaires
- Jamais accessibles publiquement
Protection contre les abus
- Rate limiting sur toutes les routes API sensibles
- Protection anti-bot sur les formulaires d'authentification
Vos droits RGPD
Conformément au RGPD et à la loi belge du 30 juillet 2018, vous disposez des droits suivants :
9.1 Droit d'accès (Article 15)
Vous pouvez demander une copie complète de toutes les données personnelles que nous détenons sur vous, leur origine, leur finalité et les destinataires.
9.2 Droit de rectification (Article 16)
Vous pouvez corriger ou mettre à jour vos données directement dans l'application (Paramètres → Profil) ou en nous contactant à support@zymfit.app.
9.3 Droit à l'effacement — "droit à l'oubli" (Article 17)
Vous pouvez supprimer votre compte depuis l'application (Paramètres → Compte → Supprimer mon compte). Vos données sont supprimées définitivement après 30 jours. Pendant ce délai, vous pouvez récupérer votre compte.
9.4 Droit à la portabilité (Article 20)
Vous pouvez exporter toutes vos données dans un format structuré et lisible (JSON/CSV) depuis l'application (Paramètres → Export des données). Cet export inclut votre profil, votre journal alimentaire, vos séances, vos pesées et vos mensurations.
9.5 Droit d'opposition (Article 21)
Vous pouvez vous opposer à certains traitements basés sur notre intérêt légitime en nous contactant à support@zymfit.app. Nous cesserons le traitement sauf si nous pouvons démontrer des motifs légitimes impérieux.
9.6 Droit à la limitation du traitement (Article 18)
Vous pouvez demander la limitation du traitement de vos données dans les cas prévus par l'Article 18 du RGPD (contestation de l'exactitude, traitement illicite, etc.).
9.7 Droit de retrait du consentement
Vous pouvez retirer votre consentement au traitement de vos données de santé (catégorie spéciale) à tout moment. Ce retrait ne remet pas en cause la licéité des traitements effectués avant le retrait. Pour exercer ce droit : supprimez votre compte depuis l'application.
9.8 Droit de ne pas faire l'objet d'une décision automatisée (Article 22)
Les calculs nutritionnels de ZymFit sont automatisés mais basés sur des formules scientifiques standardisées (Mifflin-St Jeor). Vous pouvez modifier manuellement tous vos objectifs dans les paramètres.
Pour exercer vos droits : support@zymfit.app
Délai de réponse: 30 jours maximum conformément à l'Article 12 du RGPD.
Avertissement médical
ZymFit est une application de suivi fitness et nutritionnel à titre informatif uniquement.
Les informations, calculs caloriques, plans nutritionnels et recommandations fournis par ZymFit, y compris ceux générés par l'intelligence artificielle, ne constituent pas un avis médical, nutritionnel ou sportif professionnelet ne remplacent en aucun cas la consultation d'un professionnel de santé qualifié.
Consultez un médecin, nutritionniste ou professionnel de santé agrééavant de modifier significativement votre alimentation ou votre programme d'entraînement, en particulier si vous :
- Souffrez d'une condition médicale chronique
- Êtes enceinte ou allaitez
- Prenez des médicaments
- Avez des antécédents de troubles alimentaires
Les exercices présentés dans l'application comportent un risque de blessure. ZymFit décline toute responsabilité en cas de blessure résultant de l'exécution incorrecte des exercices.
ZymFit ne peut être tenu responsable des conséquences liées à l'utilisation des informations fournies par l'application.
Âge minimum
ZymFit est destiné aux personnes âgées d'au moins 14 ansconformément à l'Article 8 du RGPD tel qu'implémenté par la loi belge du 30 juillet 2018.
Les personnes de moins de 14 ans ne sont pas autorisées à créer un compte. Si nous découvrons qu'un utilisateur de moins de 14 ans a créé un compte, nous supprimerons immédiatement ce compte et toutes les données associées sans délai.
Mode invité
ZymFit propose un mode invité permettant d'utiliser certaines fonctionnalités sans créer de compte. Dans ce mode :
- Aucune donnée n'est sauvegardée sur nos serveurs
- Les données sont stockées localement sur votre appareil uniquement
- Aucun email n'est collecté
- Aucune donnée de santé n'est transmise à nos serveurs
- La présente politique de confidentialité s'applique dans la mesure où des données sont traitées localement
Notifications push
Si vous activez les notifications push, nous pouvons vous envoyer :
- Rappels d'entraînement (jours et heures configurables dans les paramètres)
- Rappels de repas (configurables dans les paramètres)
- Rappels d'hydratation (configurables dans les paramètres)
Base légale: Votre consentement, donné lors de l'activation des notifications.
Vous pouvez désactiver les notifications à tout moment depuis les paramètres de votre appareil iOS ou Android, ou depuis l'application ZymFit (Paramètres > Notifications).
Intelligence artificielle — Analyse photo des repas
ZymFit utilise Google Gemini uniquement pour l'analyse photo des repas : vous prenez une photo de votre repas, et l'IA estime les calories et macronutriments correspondants.
Ce que l'IA reçoit :
- La photo de votre repas (non stockée — traitée en mémoire et supprimée immédiatement)
- Votre objectif (sèche, maintien, prise de masse)
- Vos macros restantes de la journée
Ce que l'IA ne reçoit jamais :
- Votre nom ou prénom
- Votre adresse email
- Votre identifiant utilisateur
Importantes limitations :
- Les estimations nutritionnelles de l'IA sont approximatives et à titre informatif uniquement
- L'IA n'est pas un substitut à un professionnel de santé ou nutritionniste
Conservation: Aucune photo ni aucun historique d'analyse n'est conservé. Chaque analyse est un traitement ponctuel (one-shot).
Transferts de données hors Union Européenne
Certains de nos prestataires sont situés en dehors de l'Union Européenne, notamment aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT)approuvées par la Commission Européenne conformément à l'Article 46 du RGPD, garantissant un niveau de protection adéquat de vos données.
Prestataires concernés par des transferts hors UE :
- Google Gemini AI (États-Unis)
- Vercel (États-Unis)
- Resend (États-Unis)
- RevenueCat (États-Unis)
Données agrégées et anonymisées
ZymFit peut utiliser des données agrégées et entièrement anonymisées (sans possibilité d'identification individuelle) à des fins d'amélioration de l'application et d'études nutritionnelles. Ces données ne permettent en aucun cas d'identifier un utilisateur individuel.
Exemples de données agrégées: "X% des utilisateurs atteignent leur objectif en protéines le lundi", "La moyenne calorique des utilisateurs en prise de masse est de Y kcal".
Ces traitements sont basés sur notre intérêt légitime (Article 6(1)(f) du RGPD).
Autorité de contrôle
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de protection des données compétente :
Autorité de Protection des Données (APD) — Belgique
Rue de la Presse 35
1000 Bruxelles, Belgique
Tél : +32 2 274 48 00
Email : contact@apd-gba.be
Vous pouvez également introduire un recours juridictionnel devant les tribunaux compétents de Bruxelles.
Modifications de cette politique
Nous pouvons mettre à jour cette politique de confidentialité en cas d'évolution de nos pratiques ou de la législation applicable.
En cas de modification substantielle :
- Vous serez informé par email au moins 30 jours avant l'entrée en vigueur
- Une notification sera affichée dans l'application
- La date de mise à jour sera modifiée en haut de ce document
En cas de modification mineure (corrections typographiques, clarifications) :
- La date de mise à jour sera modifiée sans notification préalable
La version en vigueur est toujours disponible sur https://zymfit.app/confidentialite.
Contact et délégué à la protection des données
Pour toute question relative à cette politique de confidentialité, pour exercer vos droits ou pour signaler une violation de données :
Email : support@zymfit.app
Site web : https://zymfit.app
Délai de réponse : 30 jours ouvrables maximum
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à vous notifier dans les 72 heures conformément à l'Article 33 du RGPD.
Cette politique de confidentialité est régie par le droit belge et le Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679). Tout litige relatif à cette politique sera soumis à la compétence exclusive des tribunaux de Bruxelles, Belgique.
© 2026 ZymFit — BE1036280494 — Bruxelles, Belgique