Politique de confidentialité

Version : 1.0
Date d'entrée en vigueur : 1er juin 2026
Dernière mise à jour : 1er juin 2026

Table des matières

1. À propos de cette politique
2. Qui nous sommes
3. Informations que nous collectons
4. Comment nous utilisons vos informations
5. Bases légales du traitement
6. Stockage et sécurité des données
7. Partage de données et tiers
8. Conservation des données
9. Vos droits
10. Suppression du compte et des données
11. Vie privée des enfants
12. Transferts internationaux de données
13. Cookies et suivi sur le site web
14. Modifications de cette politique
15. Nous contacter

Annexes régionales :

• A. Espace économique européen, Royaume-Uni et Suisse
• B. États-Unis et Canada
• C. Brésil
• D. Amérique latine — Mexique et Argentine
• E. Japon et Corée du Sud
• F. Moyen-Orient — EAU et Arabie saoudite
• G. Inde et Indonésie
• H. Turquie
• I. Russie et CEI — Kazakhstan, Ouzbékistan
• J. Australie
• K. Afrique — Afrique du Sud, Nigeria, Kenya, Égypte
• L. Âge minimum requis par région

1. À propos de cette politique {#about}

Cette politique de confidentialité explique comment HelAI (« nous », « notre ») collecte, utilise, stocke et protège les informations personnelles lorsque vous utilisez l'application mobile HelAI (disponible sur iOS et Android) et le site web helai.app (collectivement, le « Service »).

2. Qui nous sommes {#who-we-are}

Responsable du traitement : Konstantin Yeftifeyev (agissant sous le nom HelAI)
Juridiction : République du Kazakhstan
Contact vie privée : [email protected]
Site web : https://helai.app

3. Informations que nous collectons {#information-we-collect}

3.1 Données de compte

Lors de la création de votre compte, nous collectons : adresse e-mail, nom d'affichage, fournisseur d'authentification (Google, Apple ou e-mail/mot de passe), identifiant utilisateur Firebase, date de création du compte.

3.2 Données de santé et de condition physique

Si vous accordez l'autorisation, HelAI peut lire depuis Apple Health (iOS) ou Google Health Connect (Android) : durée et qualité du sommeil, fréquence cardiaque au repos et variabilité de la fréquence cardiaque (VFC), poids et taille, pourcentage de graisse corporelle, pas quotidiens et minutes actives.

Ces données sont stockées exclusivement sur votre appareil. Elles ne sont jamais transmises à des serveurs externes ni partagées avec des tiers.

3.3 Données d'entraînement

Séances, séries, répétitions, poids, records personnels, objectifs et historique — stockés localement dans une base de données chiffrée et synchronisés sélectivement via Firebase Data Connect.

Fonctionnalité future prévue : Sauvegarde cloud et synchronisation complète des données d'entraînement en tant que fonctionnalité payante optionnelle.

3.4 Données de caméra

Les images vidéo en direct sont traitées localement pour la détection de pose et le comptage de répétitions. Les données de caméra ne sont jamais stockées, transmises ou enregistrées.

3.5 Données techniques et diagnostiques

Modèle d'appareil, version du système d'exploitation et de l'application, rapports de plantage (via Firebase Crashlytics).

3.6 Données analytiques

Vues d'écran, interactions avec les fonctionnalités, taux d'achèvement des séances — collectés via Firebase Analytics pour améliorer le Service.

3.7 Données de montre connectée

Événements d'entraînement échangés via Bluetooth Low Energy avec votre montre Garmin. Aucune donnée n'est transmise aux serveurs Garmin.

3.8 Données du site web

Préférence de langue (stockée dans localStorage), soumissions du formulaire de contact (nom, e-mail, sujet, message).

4. Comment nous utilisons vos informations {#how-we-use}

• Fourniture du Service : authentification, synchronisation des entraînements
• Fonctionnalités IA : détection d'exercice et retour sur la forme sur l'appareil
• Suivi des progrès : records personnels, objectifs et analyses
• Diagnostic : rapports de plantage et données techniques
• Amélioration du Service : analyse d'utilisation anonymisée
• Support : réponses aux formulaires de contact
• Obligations légales : conformité aux lois applicables

5. Bases légales du traitement {#legal-bases}

6. Stockage et sécurité des données {#storage-security}

• Stockage local : base de données SQLite chiffrée (SQLCipher, AES-256)
• Stockage cloud : Firebase / Google Cloud Platform, région europe-southwest1 (Espagne)
• Données de santé : sur l'appareil uniquement, jamais dans le cloud
• Transit : TLS 1.3 pour toutes les communications réseau

7. Partage de données et tiers {#data-sharing}

Nous ne vendons pas vos données. Nous les partageons uniquement avec :

Aucun partenaire publicitaire, aucun courtier en données, aucune analyse tierce hors Firebase Analytics.

8. Conservation des données {#data-retention}

9. Vos droits {#your-rights}

• Droit d'accès : obtenir une copie de vos données
• Droit de rectification : corriger des données inexactes
• Droit à l'effacement : supprimer toutes vos données personnelles
• Portabilité des données : recevoir vos données dans un format lisible par machine
• Droit d'opposition : s'opposer au traitement à des fins analytiques
• Droit à la limitation : limiter le traitement de vos données
• Retrait du consentement : révoquer l'accès aux données de santé à tout moment

Pour exercer vos droits : écrivez à [email protected] ou utilisez les paramètres de l'application.
Délai de réponse : dans les 30 jours.

10. Suppression du compte et des données {#account-deletion}

Méthode 1 : Dans l'application

Profil → Paramètres → Supprimer le compte → Confirmer

Méthode 2 : Par e-mail

Envoyez une demande à [email protected] avec l'adresse e-mail de votre compte.

Ce qui est supprimé : compte Firebase, données cloud, données locales, données de santé (automatiquement lors de la désinstallation).

Délai de traitement : dans les 30 jours. La suppression est irréversible.

11. Vie privée des enfants {#childrens-privacy}

Le Service est destiné aux personnes de 16 ans et plus. Nous ne collectons pas sciemment de données personnelles de personnes de moins de 16 ans. Si nous découvrons que nous avons collecté de telles données, nous les supprimerons immédiatement.

12. Transferts internationaux de données {#international-transfers}

• Responsable : République du Kazakhstan
• Traitement : Google Cloud Platform, région europe-southwest1 (UE/Espagne)
• Mécanisme de transfert : Clauses contractuelles types (CCT) avec Google
• Données de santé : aucun transfert international (sur l'appareil uniquement)

13. Cookies et suivi sur le site web {#cookies}

• Essentiels uniquement : préférence de langue (localStorage)
• Aucun cookie de suivi, aucun cookie tiers
• Cloudflare Turnstile : vérification de sécurité uniquement, aucun suivi utilisateur
• Aucun reciblage, aucun pixel de suivi, aucun tracker de réseaux sociaux

14. Modifications de cette politique {#changes}

Les modifications importantes seront communiquées via une notification dans l'application. La date « Dernière mise à jour » sera actualisée. La poursuite de l'utilisation après la date d'entrée en vigueur vaut acceptation.

15. Nous contacter {#contact}

Demandes de confidentialité : [email protected]
Support général : [email protected]
Délai de réponse : dans les 30 jours calendaires

Annexes régionales

Annexe A : Espace économique européen, Royaume-Uni et Suisse {#region-eea}

Bases légales RGPD (Art. 6 et Art. 9) : voir Section 5 pour le tableau détaillé.

Vos droits selon le RGPD comprennent les droits des Art. 15 à 22 : accès, rectification, effacement, limitation, portabilité, opposition et droit de ne pas faire l'objet de décisions automatisées.

Droit de réclamation : vous avez le droit de déposer une réclamation auprès de l'autorité de contrôle compétente (par ex. CNIL en France, ICO au Royaume-Uni, AEPD en Espagne).

AIPD : une analyse d'impact relative à la protection des données a été réalisée pour le traitement des données de santé.

Aucune décision automatisée à effets juridiques n'est prise.

Transferts transfrontaliers vers Google (Firebase) reposent sur les clauses contractuelles types de l'UE (Art. 46 RGPD).

Annexe B : États-Unis et Canada {#region-us-ca}

CCPA/CPRA (Californie) : nous ne vendons ni ne partageons vos données personnelles au sens du CCPA. Vous disposez du droit de savoir, de supprimer, de corriger et de refuser l'utilisation des données personnelles sensibles. Envoyez vos demandes à [email protected].

PIPEDA (Canada) : traitement sur la base d'un « objectif raisonnable » avec consentement explicite pour les données de santé.

Loi 25 (Québec) : évaluation des facteurs relatifs à la vie privée effectuée ; politique de confidentialité disponible en français à /fr/privacy.

Annexe C : Brésil {#region-brazil}

Le traitement des données personnelles des utilisateurs brésiliens est effectué conformément à la Lei Geral de Proteção de Dados (LGPD).

Vos droits (LGPD Art. 18) : confirmation, accès, correction, anonymisation, blocage, suppression, portabilité, information sur le partage, retrait du consentement.

Délégué à la protection des données (Encarregado) : Konstantin Yeftifeyev — [email protected]

La présente politique de confidentialité en version portugaise constitue l'avis de confidentialité LGPD requis.

Annexe D : Amérique latine — Mexique et Argentine {#region-latam}

Mexique (LFPDPPP) : cette politique de confidentialité sert d'Aviso de Privacidad. Les droits ARCO (Accès, Rectification, Annulation, Opposition) s'exercent via [email protected].

Argentine (Ley 25.326) : les droits d'accès, de rectification et de suppression s'exercent via [email protected]. Les transferts sont effectués avec consentement.

Annexe E : Japon et Corée du Sud {#region-japan-korea}

Japon (APPI) : les données personnelles sont transférées vers la République du Kazakhstan, qui ne dispose pas d'une protection équivalente à l'APPI. Le transfert est effectué avec votre consentement explicite lors de la création du compte. Droits : divulgation, correction, cessation d'utilisation, suppression — envoyez vos demandes à [email protected].

Corée du Sud (PIPA) : un consentement séparé est obtenu pour le traitement des données de santé. Transfert transfrontalier : données traitées par Google Cloud (UE) et par l'opérateur au Kazakhstan. Droits : accès, correction, suppression, suspension du traitement. Responsable de la protection des données personnelles : Konstantin Yeftifeyev.

Annexe F : Moyen-Orient — EAU et Arabie saoudite {#region-gulf}

Le traitement est conforme au Décret-loi fédéral des EAU n° 45/2021 et à la PDPL saoudienne. Consentement explicite obtenu pour les données de santé (données sensibles). Transferts transfrontaliers basés sur le consentement et des garanties contractuelles. Droits : accès, correction, suppression, limitation, opposition, portabilité. Contact : [email protected].

Annexe G : Inde et Indonésie {#region-india-indonesia}

Inde (DPDPA) : les utilisateurs de moins de 18 ans doivent avoir le consentement d'un parent ou tuteur. Droits : accès, correction, effacement, recours.

Indonésie (Loi PDP) : les utilisateurs de moins de 17 ans doivent avoir le consentement d'un parent ou tuteur. Données sensibles (santé) traitées avec consentement explicite. Droits : accès, correction, suppression, retrait du consentement.

Annexe H : Turquie {#region-turkey}

Le traitement est conforme au KVKK turc (Loi n° 6698). Les données de santé constituent des données de catégorie spéciale traitées avec consentement explicite. Le Kazakhstan n'est pas sur la liste turque des pays adéquats ; le transfert est basé sur le consentement explicite. Droits : information, accès, correction, suppression, opposition, indemnisation. Contact : [email protected].

Annexe I : Russie et CEI — Kazakhstan, Ouzbékistan {#region-cis}

Russie (Loi fédérale n° 152-FZ) : les données personnelles sont traitées en dehors de la Fédération de Russie (Google Cloud, serveurs UE). La création d'un compte vaut consentement au transfert international conformément à l'Art. 12. Droits : accès, correction, blocage, suppression, retrait du consentement.

Kazakhstan (Loi n° 94-V) : juridiction d'origine de l'opérateur. Données de santé classifiées comme « données à accès restreint » et traitées avec consentement explicite. Droits : accès, correction, suppression, retrait du consentement.

Ouzbékistan (Loi sur les données personnelles 2019) : traitement avec consentement. Droits : accès, correction, suppression, retrait du consentement.

Annexe J : Australie {#region-australia}

Le traitement est conforme aux Principes australiens de confidentialité (APP). Destinataires à l'étranger : Google LLC (données dans la région UE). Si un destinataire à l'étranger utilise mal les données, l'opérateur reste responsable conformément à l'APP 8. Les données de santé sont traitées avec consentement explicite en tant qu'« informations sensibles ». Réclamations : [email protected] ; si non résolues, auprès de l'OAIC.

Annexe K : Afrique — Afrique du Sud, Nigeria, Kenya, Égypte {#region-africa}

Afrique du Sud (POPIA) : consentement obtenu pour les données personnelles spéciales (santé). Les utilisateurs de moins de 18 ans nécessitent le consentement d'une personne compétente.

Nigeria (NDPR/NDPA) : évaluation d'impact sur la protection des données effectuée. Traitement sur base de consentement.

Kenya (DPA 2019) : droits des personnes concernées conformément à l'Article 26. Les utilisateurs de moins de 18 ans nécessitent le consentement parental.

Égypte (Loi 151/2020) : données sensibles traitées avec consentement explicite.

Les transferts transfrontaliers sont effectués avec consentement conformément à la loi applicable. Réclamations : [email protected].

Annexe L : Âge minimum requis par région {#region-age-table}

Cette politique de confidentialité a été mise à jour pour la dernière fois le 1er juin 2026. HelAI est exploité par Konstantin Yeftifeyev, République du Kazakhstan.