Cette politique forme un ensemble avec les Mentions légales et les Conditions Générales d'Utilisation et de Vente (CGU/CGV) de l'Application. En cas de question sur l'identité de l'éditeur ou les conditions d'abonnement, reportez-vous à ces documents.
1. Qui sommes-nous (responsable du traitement)
L'application mobile Aromarium (ci-après « l'Application ») est éditée par :
- Éditeur / Responsable du traitement : Brandon Maestu, entrepreneur individuel — nom commercial « Aromarium »
- Statut juridique : Entrepreneur individuel (EI)
- Adresse : 675 rue du Docteur Donnadieu, 83600 Fréjus, France
- Numéro d'identification : SIRET 949 911 713 00046 (SIREN 949 911 713)
- Directeur de la publication : Brandon Maestu
- Contact (données personnelles) : contact.aromarium@gmail.com
Le responsable du traitement est la personne qui détermine pourquoi (les finalités) et comment (les moyens) vos données personnelles sont traitées. C'est notre rôle pour les traitements décrits ci-dessous. Nos prestataires techniques (section 9) agissent quant à eux comme sous-traitants, c'est-à-dire pour notre compte et sur nos instructions.
Délégué à la protection des données (DPO). Aucun DPO n'a été désigné à ce stade, cette désignation n'étant pas obligatoire au regard de l'activité actuelle. Pour toute question relative à la protection de vos données, vous pouvez nous écrire à contact.aromarium@gmail.com.
2. Champ d'application et engagement
La présente politique décrit, de manière claire et transparente, comment Aromarium collecte, utilise, partage et protège vos données personnelles lorsque vous utilisez l'Application, sur iOS et Android.
Nous nous engageons à respecter le Règlement Général sur la Protection des Données (RGPD — Règlement (UE) 2016/679) et la loi française « Informatique et Libertés » (loi n° 78-17 du 6 janvier 1978 modifiée).
Notre philosophie repose sur trois principes :
- Minimisation : nous collectons le minimum de données nécessaire à chaque fonctionnalité.
- Contrôle : vous gardez la main (modification, export, suppression, retrait du consentement, le tout en grande partie directement dans l'Application).
- Loyauté : nous ne vendons jamais vos données et ne les utilisons pas à des fins de publicité ciblée.
3. Avertissement important — Aromarium n'est pas un dispositif médical
Aromarium est une application d'information et de bien-être sur les huiles essentielles (HE), les huiles végétales (HV) et les hydrolats.
- Aromarium n'est pas un dispositif médical et ne fournit aucun avis, diagnostic ou traitement médical.
- Les contenus et les avertissements de sécurité proposés par l'Application (y compris le « profil de sécurité » et l'assistant AromAI) sont purement informatifs et éducatifs et ne remplacent en aucun cas la consultation d'un professionnel de santé (médecin, pharmacien, aromathérapeute qualifié, sage-femme, vétérinaire pour les animaux).
- En cas de doute, de symptôme, de grossesse, d'allaitement, de pathologie, d'usage chez l'enfant, le bébé ou l'animal : consultez un professionnel de santé.
- En cas d'urgence ou d'intoxication suspectée, contactez immédiatement les secours (15 / 112) ou un Centre antipoison. Les numéros des Centres antipoison sont fournis à titre informatif dans l'Application et ne constituent pas un service géré par Aromarium.
L'utilisation des huiles essentielles comporte des risques (voies d'administration, dilutions, populations sensibles). Vous restez seul responsable de l'usage que vous faites des informations fournies (voir nos CGU).
4. Quelles données nous collectons
Nous collectons uniquement les données nécessaires au fonctionnement de l'Application et aux fonctionnalités que vous activez. La plupart d'entre elles sont fournies par vous ; quelques-unes (données techniques) sont générées automatiquement par l'usage de l'Application.
4.1 Données de compte
- Adresse e-mail (lors du passage d'une session anonyme à un compte identifié via notre prestataire d'authentification Supabase).
- Mot de passe (stocké de façon sécurisée sous forme de hachage — nous n'avons jamais accès à votre mot de passe en clair).
4.2 Profil de sécurité — DONNÉES DE SANTÉ SENSIBLES
Ces informations, toutes facultatives, servent uniquement à calculer des avertissements de sécurité personnalisés sur l'usage des huiles essentielles :
- Sexe ;
- Année de naissance ;
- Taille et poids (optionnels) ;
- État de grossesse ou d'allaitement ;
- Présence d'enfants ou de bébés dans le foyer ;
- Présence d'animaux ;
- Pathologies déclarées (par exemple : épilepsie, asthme, hypertension) ;
- Niveau d'expérience en aromathérapie.
Ces données sont des données concernant la santé au sens de l'article 9 du RGPD. Elles bénéficient d'une protection renforcée et ne sont traitées qu'avec votre consentement explicite (voir section 6).
4.3 Données d'usage de l'Application
- Aromathèque : vos flacons, leurs dates de durabilité (DLUO), votre inventaire.
- Synergies personnelles et recettes que vous créez.
- Préférences d'utilisation et de personnalisation.
- Progression et gamification (niveaux, badges, suivi d'avancement).
4.4 Données liées à l'assistant IA « AromAI »
- Le contenu des messages que vous envoyez à AromAI, qui peut contenir des informations de santé.
- L'historique de vos conversations avec AromAI.
- (Voir section 7 pour le détail du traitement.)
4.5 Données d'achat et d'abonnement
- Statut de votre abonnement Premium (actif, expiré, type de formule : 4,99 €/mois, 29,99 €/an, ou 89 € à vie).
- Identifiants techniques d'achat fournis par les boutiques d'applications.
- Nous ne collectons et ne stockons aucune donnée bancaire. Les paiements sont gérés exclusivement par Apple App Store et Google Play. Le suivi technique des droits d'abonnement transite par notre prestataire RevenueCat (voir section 9).
4.6 Données techniques et de connexion
- Identifiants de session et d'appareil.
- Le cas échéant, rapports de plantage (« crash ») et journaux techniques permettant de corriger les bugs et d'assurer la sécurité.
- Données de connexion (par exemple adresse IP, horodatage), pour la sécurité et le respect de nos obligations légales.
5. Pourquoi nous traitons vos données et sur quelle base légale
Le RGPD impose une « base légale » pour chaque traitement. Pour les données de santé, deux fondements se cumulent : une base légale de l'article 6 et une condition de l'article 9. Voici nos traitements :
| Finalité (pourquoi) | Données concernées | Base légale (RGPD) |
|---|---|---|
| Créer et gérer votre compte, vous authentifier | E-mail, mot de passe | Exécution du contrat (art. 6.1.b) — nos CGU |
| Fournir les fonctionnalités principales (aromathèque, synergies, préférences, progression) | Données d'usage | Exécution du contrat (art. 6.1.b) |
| Calculer des avertissements de sécurité personnalisés | Profil de sécurité (données de santé) | Consentement (art. 6.1.a) + consentement explicite (art. 9.2.a) |
| Fournir l'assistant IA AromAI | Messages, historique de conversation | Consentement (art. 6.1.a) + consentement explicite (art. 9.2.a) pour les données de santé |
| Gérer les abonnements Premium | Statut d'abonnement | Exécution du contrat (art. 6.1.b) |
| Assurer la sécurité, prévenir la fraude, corriger les bugs, améliorer l'Application | Données techniques, rapports de crash | Intérêt légitime (art. 6.1.f) |
| Conserver les données de connexion | Logs, adresse IP | Obligation légale (art. 6.1.c) |
| Respecter nos obligations comptables et fiscales | Données de facturation transmises par les stores | Obligation légale (art. 6.1.c) |
Lorsque le traitement repose sur le consentement, vous pouvez le retirer à tout moment (voir section 12), aussi facilement que vous l'avez donné, sans que cela remette en cause la licéité du traitement effectué avant le retrait. Le retrait du consentement pour le profil de santé ou AromAI n'affecte pas votre accès au reste de l'Application.
6. Le cas particulier des données de santé (consentement explicite)
Le profil de sécurité (section 4.2) et certains messages adressés à AromAI (section 7) peuvent constituer des données de santé, qui relèvent des « catégories particulières de données » de l'article 9 du RGPD et bénéficient d'une protection renforcée.
- Ces données ne sont traitées qu'après votre consentement explicite, recueilli de manière claire, distincte et spécifique dans l'Application (case à cocher dédiée et non pré-cochée). Ce consentement n'est jamais noyé dans l'acceptation des CGU.
- Nous recueillons un consentement séparé pour (a) le profil de sécurité santé et (b) le recours à AromAI (qui implique un transfert vers des prestataires d'IA, voir sections 7 et 10).
- La preuve de votre consentement (date, version de l'information) est conservée afin de pouvoir en justifier.
- Vous n'êtes jamais obligé de renseigner votre profil de sécurité : l'Application reste utilisable sans, mais les avertissements ne seront alors pas personnalisés.
- Vous pouvez modifier ou supprimer votre profil de sécurité à tout moment depuis l'Application.
- Le retrait de votre consentement entraîne l'arrêt du traitement correspondant et, si vous le demandez, la suppression des données concernées.
7. L'assistant IA « AromAI »
AromAI est un assistant conversationnel éducatif qui répond à vos questions sur l'aromathérapie. Il ne pose pas de diagnostic, ne prescrit aucun traitement et peut se tromper (voir section 3). Pour fonctionner, il s'appuie sur des prestataires d'intelligence artificielle.
Comment ça marche :
- Vos messages sont transmis, via une fonction serveur sécurisée hébergée chez Supabase (Union européenne, région Suède), au modèle de langage Claude d'Anthropic (États-Unis), qui génère la réponse.
- Un calcul d'embeddings (représentation numérique du texte permettant de retrouver le contenu pertinent de notre base) est réalisé par OpenAI (États-Unis).
- L'historique de vos conversations est stocké dans notre base de données Supabase (Union européenne, région Suède).
Points d'attention :
- Les messages que vous envoyez à AromAI peuvent contenir des informations de santé. Nous vous recommandons de ne partager que les informations strictement nécessaires à votre question. Nous appliquons une logique de minimisation des informations transmises aux prestataires d'IA (nous évitons d'y associer des identifiants directs).
- Le recours à AromAI et le traitement associé reposent sur votre consentement (et votre consentement explicite pour les données de santé).
- AromAI peut produire des réponses imprécises ou incomplètes. Ses réponses ne constituent pas un avis médical (voir section 3).
- Vous pouvez retirer votre consentement, cesser d'utiliser AromAI et demander la suppression de votre historique à tout moment (voir sections 11 et 12).
Entraînement des modèles. Les échanges avec AromAI transitent par les API professionnelles d'Anthropic et d'OpenAI. Conformément aux conditions applicables à ces offres API, les données transmises ne sont pas utilisées pour entraîner les modèles de ces prestataires.
8. Absence de décision entièrement automatisée
Aromarium ne prend aucune décision produisant des effets juridiques ou vous affectant de manière significative qui serait fondée exclusivement sur un traitement automatisé, au sens de l'article 22 du RGPD.
Les avertissements de sécurité personnalisés et les réponses d'AromAI sont des aides à l'information, destinées à éclairer vos choix. Ils ne se substituent pas à votre jugement ni à l'avis d'un professionnel de santé, et n'emportent aucune conséquence juridique. Vous restez libre de vos décisions et seul responsable de l'usage que vous faites de ces informations.
9. Destinataires et sous-traitants
Nous ne vendons jamais vos données. Nous faisons appel à des prestataires (« sous-traitants » au sens du RGPD) qui agissent sur nos instructions et avec lesquels nous concluons des accords de traitement de données (DPA — Data Processing Agreement) conformes à l'article 28 du RGPD. Chacun n'accède qu'aux données nécessaires à sa mission.
| Sous-traitant / Destinataire | Rôle / Finalité | Localisation de traitement |
|---|---|---|
| Supabase, Inc. (infrastructure Amazon Web Services) | Hébergement de la base de données, authentification, fonctions serveur, stockage de l'historique AromAI | Union européenne (Suède — région eu-north-1) |
| Anthropic, PBC (Claude) | Modèle de langage générant les réponses d'AromAI | États-Unis |
| OpenAI | Calcul des embeddings pour la recherche de contenu pertinent | États-Unis |
| RevenueCat, Inc. | Suivi technique des droits d'abonnement (statut, accès Premium) | États-Unis |
| Apple (App Store) | Traitement des paiements et achats in-app (iOS) | États-Unis / international |
| Google (Google Play) | Traitement des paiements et achats in-app (Android) | États-Unis / international |
| Expo / EAS | Construction de l'Application et mises à jour à distance (OTA) | États-Unis |
Nous pouvons également être amenés à communiquer des données pour répondre à une obligation légale (par exemple sur réquisition d'une autorité judiciaire). L'identité du prestataire qui stocke les données (Supabase, Inc.) figure également dans les Mentions légales.
10. Transferts de données hors Union européenne
Vos données sont hébergées en priorité dans l'Union européenne (Supabase, région Suède).
Toutefois, certains sous-traitants (Anthropic, OpenAI, RevenueCat, Apple, Google, Expo) sont établis aux États-Unis, ce qui implique un transfert de données hors de l'Union européenne.
Pour encadrer ces transferts et garantir un niveau de protection approprié, nous nous appuyons notamment sur :
- les Clauses Contractuelles Types (CCT / Standard Contractual Clauses) adoptées par la Commission européenne (décision 2021/914), généralement le Module 2 (responsable de traitement → sous-traitant) ;
- le cas échéant, la certification au Data Privacy Framework (DPF) UE–États-Unis lorsque le prestataire concerné y adhère ;
- des mesures complémentaires : chiffrement en transit et au repos, minimisation des données transmises.
Vous pouvez nous demander davantage d'informations sur ces garanties, et en obtenir copie, à contact.aromarium@gmail.com.
11. Durées de conservation
Nous conservons vos données seulement le temps nécessaire aux finalités décrites, puis nous les effaçons ou les anonymisons.
| Donnée | Durée de conservation |
|---|---|
| Compte et données associées (aromathèque, synergies, préférences, progression, profil de sécurité) | Jusqu'à la suppression de votre compte (possible directement dans l'Application). En cas d'inactivité prolongée de 2 ans, le compte et les données associées sont supprimés ou anonymisés, après information préalable. |
| Profil de sécurité (données de santé) | Jusqu'à modification, suppression par vos soins, retrait de consentement, ou suppression du compte |
| Historique des conversations AromAI | 90 jours glissants, puis suppression automatique ; suppression possible à tout moment à votre demande |
| Statut d'abonnement | Pendant la durée de l'abonnement, puis pour la durée nécessaire au respect de nos obligations légales |
| Documents de facturation (obligations comptables) | 10 ans (durée légale de conservation des pièces comptables en France) |
| Données de connexion (logs, adresse IP) | 12 mois maximum (obligation légale de conservation des données de connexion) |
| Rapports de crash et journaux techniques | 12 mois maximum |
Après suppression de votre compte, vos données sont effacées ou anonymisées dans les meilleurs délais, sauf obligation légale de conservation (par exemple la facturation).
12. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants sur vos données :
- Droit d'accès : obtenir une copie des données que nous détenons sur vous.
- Droit de rectification : corriger des données inexactes ou incomplètes (modifiable en grande partie directement dans l'Application).
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données. La suppression de votre compte est disponible directement dans l'Application et entraîne l'effacement de vos données associées.
- Droit à la portabilité : recevoir les données que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine (par exemple JSON), ou les faire transférer.
- Droit de retirer votre consentement à tout moment, pour les traitements qui en dépendent (profil de sécurité, AromAI), sans effet rétroactif et aussi facilement que vous l'avez donné.
- Droit d'opposition : vous opposer à un traitement fondé sur notre intérêt légitime.
- Droit à la limitation du traitement dans certains cas.
Comment exercer vos droits :
- Directement dans l'Application : modification de profil, export de vos données, suppression de compte, gestion du consentement.
- Ou par e-mail à contact.aromarium@gmail.com.
Nous répondons dans un délai d'un mois (prolongeable de deux mois pour les demandes complexes, avec information de votre part). Nous pouvons vous demander de justifier votre identité afin de protéger vos données. L'exercice de vos droits est gratuit, sauf demande manifestement infondée ou excessive.
Vous avez par ailleurs le droit d'introduire une réclamation auprès de la CNIL (voir section 17).
13. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées (article 32 du RGPD) pour protéger vos données, notamment :
- Chiffrement des jetons d'authentification (AES-256) ;
- Chiffrement des communications en transit (HTTPS / TLS) ;
- Cloisonnement des accès via la sécurité au niveau des lignes (Row Level Security / RLS) de Supabase, qui garantit que chaque utilisateur n'accède qu'à ses propres données ;
- Stockage sécurisé des mots de passe (hachage) ;
- Limitation et journalisation des accès aux seules personnes et systèmes habilités ;
- Minimisation des données transmises aux prestataires d'IA.
Compte tenu de la sensibilité des données traitées, une analyse d'impact relative à la protection des données (AIPD/DPIA) est conduite, et un registre des activités de traitement est tenu, conformément aux articles 30 et 35 du RGPD.
Aucun système n'étant infaillible, nous ne pouvons garantir une sécurité absolue, mais nous nous efforçons de réduire les risques en continu. En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures et, en cas de risque élevé, nous vous en informerons directement, conformément aux articles 33 et 34 du RGPD.
14. Mineurs
L'Application n'est pas destinée aux personnes de moins de 15 ans, âge du consentement numérique en France (article 45 de la loi « Informatique et Libertés »). Compte tenu de la sensibilité des données (santé), nous recommandons un usage par un public adulte ou averti.
Si vous avez moins de 15 ans, vous ne devez pas créer de compte ni fournir de données sans l'autorisation du/des titulaire(s) de l'autorité parentale. Si nous apprenons qu'un compte a été créé par un mineur de moins de 15 ans sans cette autorisation, nous supprimerons les données concernées.
15. Cookies et traceurs
Aromarium est une application mobile et n'utilise pas de cookies publicitaires ni de publicité ciblée.
L'Application peut utiliser des identifiants techniques strictement nécessaires à son fonctionnement (session, sécurité) et, le cas échéant, des outils de diagnostic de crash. Aucun de ces éléments n'est utilisé à des fins de publicité ciblée ou de suivi inter-applications.
Le site web de présentation d'Aromarium (le présent site) ne dépose aucun cookie de mesure d'audience, de publicité ou de suivi.
16. Modifications de la présente politique
Nous pouvons être amenés à modifier la présente politique de confidentialité, notamment en cas d'évolution légale ou de nouvelles fonctionnalités. La date de dernière mise à jour figure en haut du document.
En cas de modification importante (par exemple une nouvelle finalité), nous vous en informerons par un moyen approprié (notification dans l'Application ou e-mail) et, lorsque la loi l'exige, nous recueillerons à nouveau votre consentement.
17. Nous contacter et réclamation
Pour toute question sur vos données ou pour exercer vos droits :
E-mail : contact.aromarium@gmail.com
Adresse postale : Brandon Maestu — 675 rue du Docteur Donnadieu, 83600 Fréjus, France
Délégué à la protection des données (DPO) : non désigné à ce stade (non requis). Contact vie privée : contact.aromarium@gmail.com
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés), autorité de contrôle française :
- En ligne : www.cnil.fr
- Par courrier : CNIL — 3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07