Politique de confidentialité — GoHiit
Dernière mise à jour : 2026-05-18 Version : 1.0
1. Qui sommes-nous ?
GoHiit est une application mobile de coaching fitness et bien-être, destinée à un public féminin francophone. L'application est éditée à titre personnel par :
- Responsable du traitement : [Nom de l'éditeur à compléter]
- Adresse : [Adresse postale à compléter]
- Contact : contact@gohiit-app.com
L'application est éditée et distribuée depuis la Suisse, principalement à destination du public résidant en Suisse. Elle est soumise à la Loi fédérale suisse sur la protection des données (nLPD), en vigueur depuis le 1ᵉʳ septembre 2023.
Si une utilisatrice résidant dans l'Union européenne accède à l'application, les dispositions du Règlement général sur la protection des données (RGPD — UE 2016/679) applicables aux résidents UE lui seront également garanties dans la mesure du possible. L'éditeur n'est toutefois pas activement présent dans l'Espace économique européen au sens de l'art. 3 RGPD.
2. Quelles données collectons-nous ?
2.1 Données d'identification de compte
| Donnée | Source | Caractère |
|---|---|---|
| Adresse email | Saisie ou OAuth (Google / Apple) | Obligatoire |
| Prénom | Saisie / OAuth | Obligatoire |
| Mot de passe (haché) | Saisie | Obligatoire si méthode email/mdp |
| Identifiant unique Firebase (UID) | Généré automatiquement | Technique |
| Méthode d'authentification (email / google / apple) | Détectée automatiquement | Technique |
2.2 Données de santé (catégorie sensible — art. 5 nLPD / art. 9 RGPD)
Les données suivantes sont considérées comme sensibles au sens des deux législations et bénéficient de protections renforcées :
| Donnée | Finalité |
|---|---|
| Poids actuel + historique des pesées | Calcul d'objectifs, suivi de progression |
| Poids de départ + objectif de poids | Calcul d'objectifs caloriques personnalisés |
| Taille | Calcul du métabolisme de base (formule Mifflin-St Jeor variante femme) |
| Âge | Calcul du métabolisme de base |
| Niveau d'activité physique déclaré | Calcul des dépenses caloriques |
| Historique d'entraînements (course, callisthénie) | Suivi de progression |
| Pas quotidiens estimés | Statistiques d'activité |
| Calories ingérées (recettes scannées ou saisies) | Suivi nutritionnel |
| Calories brûlées (entraînements, marche) | Suivi du déficit/surplus |
| Notes d'humeur quotidienne + texte libre | Journal intime de bien-être |
| Données de cycle menstruel (si renseignées) | Suivi personnel |
2.2.1 Données de cycle menstruel — protection renforcée
Les données de cycle menstruel sont des informations particulièrement sensibles révélant directement l'état physiologique reproductif. À ce titre, GoHiit applique une protection renforcée :
- Aucune utilisation publicitaire ni commerciale : ces données ne sont jamais utilisées à des fins de publicité ciblée, de profilage commercial, de scoring, ou de revente.
- Aucun partage avec des tiers au-delà des sous-traitants techniques strictement nécessaires au fonctionnement de l'application (cf. section 5).
- Aucune analyse automatisée croisée avec d'autres données pour produire des inférences (état de fertilité, grossesse, traitement médical, etc.).
- Saisie strictement facultative : l'utilisatrice peut utiliser l'application sans renseigner ces données ; elle peut les supprimer à tout moment depuis l'écran dédié.
- Accès limité : seule l'utilisatrice connectée peut lire ses propres entrées de cycle (vérification serveur Firestore Security Rules).
2.2.2 Notes d'humeur / journal intime — protection renforcée
Les notes d'humeur quotidienne incluent un champ texte libre dans lequel l'utilisatrice peut consigner des réflexions personnelles susceptibles de révéler son état psychologique ou émotionnel. À ce titre :
- Ces notes sont considérées comme des données sensibles au sens de l'art. 5 nLPD et de l'art. 9 RGPD lorsqu'elles révèlent un état de santé mentale.
- Aucune analyse automatisée (par intelligence artificielle, traitement statistique ou autre) n'est appliquée à ces notes.
- Aucune utilisation publicitaire ni commerciale.
- Aucun partage avec un tiers autre que le sous-traitant de stockage Firebase (cf. section 5).
- Avertissement à l'utilisatrice : il est recommandé de ne pas consigner d'informations qu'elle ne souhaite pas voir stockées, même de manière sécurisée. Pour partager des éléments de santé mentale, un échange avec un professionnel reste préférable.
2.3 Données de géolocalisation
| Donnée | Finalité | Quand |
|---|---|---|
| Position GPS précise | Tracé de course à pied, distance, vitesse | Uniquement pendant une session de course active, en premier plan |
GoHiit ne collecte aucune position en arrière-plan continu en dehors d'une session de course active lancée explicitement par l'utilisatrice.
2.4 Contenu utilisateur
| Donnée | Finalité |
|---|---|
| Photo de profil (si uploadée) | Personnalisation du compte |
| Photos de plats (scan de recette via IA Gemini) | Analyse nutritionnelle automatique. Les images ne sont pas conservées au-delà de l'analyse. |
2.5 Données techniques
| Donnée | Finalité |
|---|---|
| Logs de crash et erreurs (via Firebase Crashlytics) | Détection et correction de bugs |
| Métriques de performance (Firebase Performance Monitoring) | Optimisation de l'application |
| Informations sur l'appareil (modèle, OS, version de l'app) | Diagnostic technique |
Important : aucun identifiant utilisateur (UID, email) n'est associé aux logs Crashlytics tant que le consentement explicite n'a pas été obtenu. Les logs sont actuellement strictement anonymes.
2.6 Données que nous ne collectons pas
- Aucun tracking publicitaire (pas d'ATT iOS, pas d'IDFA, pas de cookies tiers)
- Aucun partage avec des régies publicitaires
- Aucune revente de données à des tiers
- Aucune analyse comportementale en dehors de l'usage strictement nécessaire au service
3. Pourquoi collectons-nous ces données ?
Conformément à l'art. 6 nLPD et art. 5-6 RGPD, chaque traitement repose sur une finalité légitime et une base légale identifiée :
| Finalité | Base légale RGPD | Base légale nLPD |
|---|---|---|
| Création et gestion du compte | Exécution du contrat (art. 6.1.b) | Exécution d'un contrat (art. 31.2.a) |
| Calcul des objectifs fitness personnalisés | Consentement explicite (art. 9.2.a) | Consentement explicite (art. 6 al. 7) |
| Affichage et historisation des entrées (poids, humeur, etc.) | Consentement explicite (art. 9.2.a) | Consentement explicite |
| Géolocalisation pendant la course | Consentement explicite, retirable à tout moment | Consentement explicite |
| Logs de crash anonymes | Intérêt légitime (qualité du service) | Intérêt prépondérant |
| Logs de crash avec identifiant (si activé) | Consentement explicite | Consentement explicite |
Le consentement aux données de santé est demandé explicitement lors de la création de compte (onboarding) et peut être retiré à tout moment en supprimant le compte.
4. Combien de temps conservons-nous les données ?
| Donnée | Durée de conservation |
|---|---|
| Compte actif | Tant que l'utilisatrice ne le supprime pas |
| Compte inactif (sans connexion depuis 36 mois) | Notification de fin de conservation, puis suppression automatique |
| Données après suppression du compte | Suppression effective sous 30 jours maximum (cascade Cloud Function onUserDeleted) |
| Logs Crashlytics anonymes | 90 jours (rétention Firebase par défaut) |
| Sauvegardes techniques | Inclus dans la cascade de suppression |
La suppression du compte depuis l'écran « Compte » de l'application déclenche automatiquement la suppression irréversible de : - Toutes les entrées de pesées, entraînements, statistiques quotidiennes - Toutes les notes d'humeur et entrées de cycle - Toutes les photos uploadées (Firebase Storage) - Le document utilisateur principal - Le compte d'authentification Firebase
5. Qui a accès à vos données ?
5.1 Aucun tiers commercial
Aucune donnée n'est vendue, louée, échangée ou cédée à des tiers commerciaux.
5.2 Sous-traitants techniques
GoHiit utilise les sous-traitants suivants, strictement nécessaires au fonctionnement de l'application :
| Sous-traitant | Rôle | Localisation des serveurs | Garanties |
|---|---|---|---|
| Google Cloud / Firebase (Google Ireland Limited) | Authentification, base de données Firestore, stockage Storage, fonctions serverless, Crashlytics, Performance Monitoring | europe-west (Belgique / Pays-Bas / Allemagne) — données hébergées dans l'UE |
Clauses contractuelles types UE, certification ISO 27001/27017/27018, conformité RGPD/nLPD |
| Google Gemini API (Google AI Studio) | Analyse nutritionnelle des photos de plats uniquement (scan recette) | Le traitement peut avoir lieu hors UE/CH selon la disponibilité de l'API ; les transferts éventuels sont couverts par les engagements contractuels Google et les clauses contractuelles types Commission UE | Les images sont transmises sans identifiant utilisateur, traitées le temps de l'analyse, et ne sont pas conservées par Google pour entraîner les modèles (paramétrage safetySettings et politique Google AI applicable) |
| Apple App Store / Google Play | Distribution de l'application et gestion des abonnements (à venir) | International | Conformément à leurs propres politiques de confidentialité |
| Hostinger (Lituanie / UE) | Hébergement du domaine gohiit-app.com et des emails |
UE | Conformité RGPD |
5.3 Transferts hors UE / Suisse
Les transferts éventuels de données vers des sous-traitants hors de l'Espace économique européen ou de la Suisse sont encadrés par : - les clauses contractuelles types approuvées par la Commission européenne et reconnues par le PFPDT suisse ; - ou la liste des pays adéquats publiée par le Préposé fédéral suisse.
6. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement TLS systématique en transit (HTTPS uniquement)
- Chiffrement au repos sur tous les serveurs Firebase
- Authentification forte : email/mot de passe avec politique stricte (8+ caractères, majuscule, chiffre), ou OAuth Apple Sign-In / Google Sign-In
- Vérification d'email obligatoire pour les comptes email/mot de passe avant accès aux fonctionnalités
- Firestore Security Rules strictes : chaque utilisatrice ne peut lire et écrire que ses propres données, vérifiées à chaque requête côté serveur
- App Check (Firebase App Attest sur iOS, Play Integrity sur Android) pour prévenir les abus
- Détection de crashs et erreurs via Crashlytics pour correction rapide
- Masquage automatique du contenu sensible (poids, humeur, calories) lors du basculement de l'application en arrière-plan (snapshot du multi-tâche iOS/Android)
6.1 Gestion des incidents de sécurité (violation de données)
En cas de violation de données personnelles (accès non autorisé, divulgation, perte, altération), GoHiit applique la procédure suivante :
- Détection et qualification : l'éditeur évalue la gravité de l'incident dès qu'il en a connaissance (nature, volume, catégories de données, risques pour les utilisatrices).
- Notification au Préposé fédéral suisse (PFPDT) : si la violation est susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, l'éditeur la notifie au PFPDT dans les meilleurs délais, conformément à l'art. 24 nLPD.
- Notification aux personnes concernées : si la protection des personnes l'exige, l'éditeur informe directement les utilisatrices concernées par email, en décrivant la nature de l'incident, les mesures prises et les recommandations à suivre.
- Documentation : chaque incident est documenté dans un registre interne.
Pour signaler un incident de sécurité ou suspecter une compromission : contact@gohiit-app.com (objet : « Incident sécurité »).
7. Vos droits
Conformément au RGPD et à la nLPD, vous disposez à tout moment des droits suivants :
| Droit | Comment l'exercer |
|---|---|
| Accès à vos données | Visualisables directement dans l'application ; sur demande écrite, copie complète sous 30 jours |
| Rectification des données inexactes | Modification directe depuis l'écran « Compte » de l'application |
| Effacement (« droit à l'oubli ») | Bouton « Supprimer mon compte » depuis l'écran « Compte » ; effet immédiat |
| Limitation du traitement | Sur demande écrite à contact@gohiit-app.com |
| Portabilité des données | Sur demande, export au format JSON sous 30 jours |
| Opposition au traitement | Sur demande, ou en supprimant simplement le compte |
| Retrait du consentement | À tout moment, sans justification, en supprimant le compte ou en demandant l'effacement partiel |
| Réclamation auprès d'une autorité de contrôle | Voir section 8 |
Pour exercer l'un de ces droits, contactez : contact@gohiit-app.com
Une réponse vous sera apportée dans un délai maximal de 30 jours à compter de la réception de votre demande, conformément à l'art. 12 RGPD et à l'art. 25 nLPD.
8. Autorité de contrôle
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente :
- Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT) Feldeggweg 1, 3003 Berne — www.edoeb.admin.ch
- France : Commission nationale de l'informatique et des libertés (CNIL) 3 Place de Fontenoy, 75007 Paris — www.cnil.fr
- Autre pays UE : voir edpb.europa.eu/about-edpb/about-edpb/members_fr
9. Cookies et traceurs
L'application mobile GoHiit n'utilise aucun cookie publicitaire ni traceur tiers.
Seuls sont utilisés : - des identifiants techniques strictement nécessaires au fonctionnement (token de session Firebase, identifiant d'installation pour Crashlytics) ; - aucun tracking inter-applications (l'application ne déclenche pas le prompt App Tracking Transparency d'iOS).
10. Mineurs
GoHiit n'est pas destinée aux personnes de moins de 16 ans. La création de compte est conditionnée à la saisie d'un âge supérieur ou égal à 16 ans.
Ce seuil a été choisi pour couvrir de manière prudente l'ensemble des juridictions où l'application est susceptible d'être téléchargée, en particulier les États membres de l'UE qui fixent l'âge du consentement aux services en ligne entre 13 et 16 ans, ainsi que la réglementation américaine COPPA (qui s'applique aux enfants de moins de 13 ans).
Si nous prenons connaissance qu'un compte a été créé par une mineure de moins de 16 ans, nous procéderons à la suppression immédiate du compte et des données associées. La déclaration d'âge inexacte par l'utilisatrice constitue une violation des CGU et engage sa propre responsabilité.
11. Modifications de la présente politique
Cette politique de confidentialité peut être modifiée pour refléter des évolutions légales, techniques ou fonctionnelles. Toute modification substantielle sera notifiée : - via une notification dans l'application ; - par email à l'adresse renseignée sur votre compte (le cas échéant).
La version en vigueur est toujours celle publiée à l'adresse gohiit-app.com/confidentialite. La date de dernière mise à jour figure en tête du document.
12. Contact
Pour toute question relative à la présente politique ou à la protection de vos données :
[Nom de l'éditeur à compléter] — [Adresse postale à compléter] Email : contact@gohiit-app.com