Politique de confidentialité
Comment nous collectons, traitons et protégeons tes données — en clair, sans jargon caché.
Préambule
Chez Calerys, la confidentialité n'est pas une case à cocher. C'est un engagement structurant.
Tu nous confies des informations parfois très personnelles : ton poids, tes habitudes alimentaires, tes objectifs, parfois tes difficultés. Cette politique explique précisément, sans détours, comment ces données sont traitées, protégées, et quels sont tes droits.
Le traitement est régi par :
- Le Règlement Général sur la Protection des Données (RGPD), règlement (UE) 2016/679 ;
- La Loi fédérale suisse sur la protection des données (nLPD), révision entrée en vigueur le 1er septembre 2023 ;
- Les normes applicables en matière de données sensibles, notamment de santé.
Nous ne vendons jamais tes données. Nous ne les partageons jamais à des fins publicitaires ou marketing tierces. Aucun courtier de données. Aucun retargeting publicitaire. Jamais.
1. Responsable du traitement
Eatten Sàrl — IDE CHE-351.622.923
Siège : Bienne, Suisse
Contact : hello@calerys.com
1.1 Délégué à la protection des données (DPO)
En tant que structure de petite taille, Eatten Sàrl n'est pas légalement tenue de désigner un DPO formel au sens de l'article 37 RGPD. Néanmoins, un point de contact dédié aux questions de protection des données est défini :
Tim Schneider — Responsable de la protection des données
Email : hello@calerys.com (mentionne « DPO » en objet)
Délai de réponse cible : 7 jours ouvrés
2. Données que nous collectons
2.1 Données d'identification
- Prénom (ou pseudonyme), éventuellement nom
- Numéro de téléphone WhatsApp (identifiant principal du Service)
- Adresse email (pour la facturation et les notifications critiques)
- Pays / fuseau horaire (pour adapter les rappels)
2.2 Données de paiement
Les paiements sont intégralement gérés par Stripe Inc. Calerys ne stocke jamais de numéro de carte bancaire, code de sécurité ou identifiants bancaires. Nous recevons uniquement :
- Un identifiant client Stripe
- Le statut de l'abonnement (actif, en pause, résilié)
- Les informations de facturation (montant, date, devise)
2.3 Données de santé et de bien-être (catégorie particulière)
Certaines données collectées relèvent de la catégorie particulière au sens de l'article 9 RGPD et de l'article 5 al. 3 nLPD : poids, taille, âge, objectifs nutritionnels, allergies déclarées, intolérances, pathologies mentionnées par l'utilisateur, activité physique.
Ces données ne sont traitées qu'avec ton consentement explicite, recueilli lors de l'onboarding, et uniquement pour la finalité de fourniture du Service. Tu peux retirer ce consentement à tout moment.
2.4 Données de conversation
- Messages texte échangés avec Calerys sur WhatsApp
- Photos de repas et autres médias que tu envoies
- Métadonnées des messages (date, heure, statut de livraison)
2.5 Données techniques
- Logs serveur (adresse IP, user-agent, timestamps) : conservés 30 jours maximum
- Identifiants techniques de session
- Données d'analyse de performance et d'erreurs (agrégées et anonymisées)
3. Finalités du traitement
Nous utilisons tes données strictement pour :
- Fournir le Service : analyse de tes repas, recommandations nutritionnelles, suivi de tes objectifs, génération de bilans, envoi de rappels.
- Personnaliser tes recommandations : adapter les conseils à ton profil, tes contraintes, ton historique.
- Gérer ton abonnement : facturation, renouvellement, support client.
- Sécuriser le Service : prévention de la fraude, des abus et des attaques.
- Améliorer Calerys : analytics anonymisées et agrégées uniquement. Aucune ré-identification possible.
- Respecter nos obligations légales : notamment comptables et fiscales suisses.
4. Bases légales
- Exécution du contrat (art. 6.1.b RGPD) — Pour fournir le Service auquel tu souscris.
- Consentement explicite (art. 6.1.a et 9.2.a RGPD, art. 6 nLPD) — Pour les données de santé et de bien-être.
- Obligation légale (art. 6.1.c RGPD) — Pour la conservation des factures (10 ans, droit suisse).
- Intérêt légitime (art. 6.1.f RGPD) — Pour la sécurité du Service, la prévention de la fraude, et l'amélioration anonymisée du produit.
5. Destinataires et sous-traitants
Tes données sont accessibles à un nombre strictement limité de sous-traitants, chacun lié à Eatten Sàrl par un accord de traitement (DPA) conforme à l'article 28 RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Stripe | Traitement des paiements | USA (DPF certifié) |
| Meta (WhatsApp Business) | Transmission des messages | UE / USA (DPF) |
| OpenAI / Anthropic | Traitement IA des conversations | USA (DPF, opt-out training) |
| Supabase | Stockage chiffré au repos | Allemagne (Frankfurt) |
| Railway | Hébergement applicatif | USA / UE |
| PostHog (EU) | Analytics anonymisée (optionnel) | UE (Frankfurt) |
Aucun autre destinataire. Pas de partage avec des annonceurs, des courtiers de données, des plateformes de retargeting, des réseaux publicitaires.
6. Transferts hors Union européenne
Certains de nos sous-traitants (Stripe, OpenAI, Anthropic, Meta) sont établis aux États-Unis. Ces transferts sont encadrés par :
- L'adhésion au Data Privacy Framework (DPF) UE-USA lorsque le sous-traitant est certifié ;
- Les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (décision 2021/914) ;
- Des mesures techniques supplémentaires : chiffrement, minimisation des données transférées, ségrégation des données de santé.
Pour la Suisse, les transferts vers les USA sont également couverts par le Swiss-US Data Privacy Framework reconnu par le PFPDT.
7. Durée de conservation
- Compte actif : durée de l'abonnement + 3 ans après la dernière interaction (conservation justifiée par d'éventuelles obligations contractuelles et la possibilité de réactivation).
- Données de conversation : 24 mois glissants, sauf suppression anticipée à ta demande.
- Compte supprimé : suppression effective sous 30 jours à compter de la demande, sauf obligations légales contraires.
- Factures et documents comptables : 10 ans (obligation légale suisse — art. 958f CO).
- Logs techniques : 30 jours.
- Données anonymisées agrégées : sans limite, car non rattachables à une personne identifiable.
8. Tes droits
Conformément aux articles 15 à 22 du RGPD et aux articles 25 à 28 nLPD, tu disposes des droits suivants :
8.1 Droit d'accès
Obtenir la confirmation que tes données sont traitées et en recevoir une copie.
8.2 Droit de rectification
Faire corriger des données inexactes ou compléter des données incomplètes.
8.3 Droit à l'effacement (« droit à l'oubli »)
Demander la suppression de tes données, sous réserve des obligations légales de conservation.
8.4 Droit à la limitation du traitement
Demander la suspension temporaire du traitement de tes données.
8.5 Droit à la portabilité
Recevoir tes données dans un format structuré, couramment utilisé et lisible par machine (JSON).
8.6 Droit d'opposition
T'opposer au traitement de tes données pour des motifs tenant à ta situation particulière.
8.7 Droit de retrait du consentement
Retirer à tout moment le consentement donné, sans que cela affecte la licéité du traitement antérieur.
8.8 Droit de décider du sort de tes données après ton décès
Communiquer des directives sur la conservation, l'effacement et la communication de tes données après ton décès.
Exercer tes droits
Pour exercer l'un de ces droits, écris à hello@calerys.com en précisant ta demande et en joignant si possible un justificatif d'identité (en cas de doute raisonnable sur l'identité du demandeur). Nous répondrons sous 30 jours, délai prolongeable de 60 jours pour les demandes complexes (avec information préalable).
9. Sécurité
Eatten Sàrl met en œuvre des mesures techniques et organisationnelles appropriées :
- Chiffrement en transit : TLS 1.3 pour toutes les communications
- Chiffrement au repos : AES-256 sur les bases de données et les sauvegardes
- Authentification renforcée : 2FA obligatoire pour tous les accès administratifs
- Cloisonnement : séparation logique des environnements de production, préproduction et développement
- Sauvegardes : quotidiennes, chiffrées, géo-redondées en UE
- Audits : revues de sécurité régulières des sous-traitants critiques
- Minimisation : nous ne collectons que ce qui est strictement nécessaire
10. Notification de violation de données
En cas de violation de données susceptible d'engendrer un risque pour tes droits et libertés, Eatten Sàrl notifiera :
- L'autorité de contrôle compétente (PFPDT en Suisse ou autorité de l'UE) dans un délai de 72 heures après en avoir pris connaissance ;
- Les personnes concernées, dans les meilleurs délais, lorsque la violation est susceptible d'engendrer un risque élevé.
11. Cookies et traceurs
Pour le détail des cookies utilisés sur le site, voir notre politique de cookies.
12. Mineurs
Calerys est strictement réservé aux personnes majeures (18 ans révolus). Nous ne collectons pas sciemment de données concernant des mineurs. Si nous apprenons qu'un compte appartient à un mineur, il sera supprimé sans délai.
Si tu es parent ou tuteur et que tu penses qu'un enfant nous a transmis des données, contacte-nous immédiatement à hello@calerys.com.
13. Réclamations auprès d'une autorité de contrôle
Si tu estimes que tes droits ne sont pas respectés, tu peux saisir :
- En Suisse : le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) — www.edoeb.admin.ch
- En France : la CNIL — www.cnil.fr
- En Belgique : l'Autorité de protection des données — www.autoriteprotectiondonnees.be
- Autres pays UE : ton autorité nationale compétente
Nous t'invitons cependant à nous contacter en premier lieu pour tenter de résoudre la situation directement.
14. Modifications
La présente politique peut être mise à jour pour refléter des évolutions techniques, légales ou organisationnelles. Toute modification substantielle sera notifiée aux utilisateurs actifs au moins 30 jours avant son entrée en vigueur, par email ou via le canal WhatsApp.
Dernière mise à jour : 15 mai 2026. Version 1.0.