Politique de confidentialité

Dernière mise à jour : avril 2026

1. Responsable de traitement

Association JOOY, association déclarée régie par la loi du 1^er juillet 1901, SIREN 534 598 206, dont le siège social est situé Lez in Art, 43 rue Sabine et Miron Zlatin, 34000 Montpellier, en sa qualité d'éditeur et de diffuseur de Respi.info, détermine les finalités et les moyens du traitement des données personnelles collectées via l'application.
Contact : contact@respi.info.

La société DAFFOURD INVEST (SAS, SIREN 810 176 818), propriétaire de la marque et des droits de propriété intellectuelle sur Respi.info, concède à JOOY une licence d'exploitation exclusive et gratuite de l'application. DAFFOURD INVEST intervient par ailleurs en qualité de sous-traitant technique de JOOY, au sens de l'article 28 du RGPD, pour les opérations strictement nécessaires à la maintenance et aux évolutions du code.

1 bis. Référent Protection des Données

Respi.info a désigné un Référent Protection des Données, point de contact unique pour vos demandes relatives à vos données :

Référent : Vincent Daffourd
Email de contact : contact@respi.info (mentionner « RGPD » en objet)

En phase de lancement, Respi.info ne relève pas des seuils rendant un Délégué à la Protection des Données (DPO) obligatoire au titre de l'article 37 du RGPD (traitement à grande échelle). Un DPO externe sera désigné dès le dépassement de ces seuils.

2. Données collectées et finalités

2.1 Données de compte (obligatoires)

Données : adresse email, hash sécurisé du mot de passe, prénom (facultatif).
Finalité : authentification et accès sécurisé au compte.
Base légale : exécution du contrat (art. 6.1.b RGPD).
Durée de conservation : durée de vie du compte, puis 30 jours d'archivage avant suppression définitive.

2.2 Données de santé déclarées

Données : pathologies respiratoires, traitements en cours, symptômes déclarés, peak-flow, consultations effectuées dans l'app (questions/réponses, recommandations affichées, drapeaux déclenchés).
Finalité : aider l'utilisateur à suivre sa santé respiratoire, générer des conseils personnalisés, alerter en cas de signal inquiétant.
Base légale : consentement explicite de l'utilisateur (art. 9.2.a RGPD combiné à l'art. 6.1.a RGPD). Voir texte du consentement.
Durée de conservation : tant que le compte existe. Après suppression : 30 jours d'archivage technique, puis destruction. Preuve de consentement conservée 3 ans.

2.3 Contacts médicaux (facultatif)

Données : coordonnées du pneumologue, du médecin traitant et de l'hôpital de référence, renseignées volontairement par l'utilisateur.
Finalité : permettre à l'utilisateur de joindre rapidement son réseau de soin depuis l'app.
Base légale : consentement explicite.
Durée : identique au compte.

2.4 Cookies et journaux techniques

Détaillés dans la politique cookies. Seuls les cookies strictement nécessaires à l'authentification sont déposés sans consentement. Les cookies analytiques (éventuellement déployés ultérieurement) nécessitent un consentement distinct.

2.5 Données de santé importées (Apple Health / Google Fit)

Fonctionnalité non encore déployée. Lorsqu'elle le sera, elle fera l'objet d'un consentement spécifique et d'une section dédiée dans cette politique. Les données importées (SpO₂, fréquence cardiaque, sommeil) relèveront de l'art. 9.2.a RGPD et pourront être révoquées à tout moment.

3. Destinataires des données

3.1 Sous-traitants

• DAFFOURD INVEST (SAS, SIREN 810 176 818) — sous-traitant technique de JOOY, chargée de la maintenance corrective et des évolutions du code source de l'application, sur instructions documentées de l'association. Accord de sous-traitance conforme à l'article 28 du RGPD en vigueur entre les Parties.
• Supabase Inc. — hébergement base de données et authentification. Données stockées physiquement en Union européenne (région Paris). Un contrat DPA (Data Processing Agreement) conforme RGPD est signé.
• Vercel Inc. — hébergement de l'application web (front-end). Aucune donnée de santé n'est stockée sur Vercel ; seul le code statique et le rendu des pages transitent.

3.2 Tiers

Respi.info ne vend, ne loue et ne cède vos données à aucun tiers à des fins commerciales. Une transmission à une autorité judiciaire ou sanitaire n'est possible qu'en réponse à une requête légale, avec information préalable de l'utilisateur sauf interdiction expresse.

4. Sécurité des données

• Chiffrement en transit via TLS 1.3 sur l'ensemble des requêtes.
• Chiffrement au repos côté hébergeur (Supabase Vault pour les colonnes sensibles).
• Row Level Security (RLS) : chaque utilisateur n'accède qu'à ses propres lignes.
• Authentification par session signée, mots de passe hashés (bcrypt).
• Journaux d'accès anonymisés conservés 90 jours.

5. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et à la portabilité. Vous pouvez également retirer votre consentement à tout moment, sans que cela compromette la licéité du traitement fondé sur le consentement effectué avant ce retrait.

Pour exercer vos droits, rendez-vous sur la page Exercer mes droits RGPD ou écrivez à contact@respi.info.

6. Durées de conservation

7. Transferts hors Union européenne

Les données sont physiquement stockées en Union européenne. Supabase Inc. étant une société américaine, un accès depuis les États-Unis reste théoriquement possible (CLOUD Act). Des mesures contractuelles (DPA, clauses types de la Commission européenne) et techniques (chiffrement, RLS) encadrent strictement cet accès.

8. Modification de la présente politique

Cette politique peut évoluer. Toute modification substantielle fera l'objet d'une notification préalable de 30 jours aux utilisateurs actifs. L'usage continu après notification vaut acceptation de la nouvelle version.

9. Réclamation auprès de l'autorité de contrôle

Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une réclamation auprès de la CNIL :
3 Place de Fontenoy, 75007 Paris — www.cnil.fr/fr/plaintes.