🔐 Politique de confidentialité de Luna
Mise à jour : juin 2026

📋 RESPONSABLE DU TRAITEMENT
icoso Consulting SL (« Luna FemTech »)
Représentée par : Daniel Osorio Fernandez
Calle Juan de Herrera 18, 4e et 5e étage
ES-39002 Santander (Cantabrie), Espagne (UE)
Contact confidentialité : privacy@icoso.es

🎯 BREF ET HONNÊTE
Luna chiffre tes données de santé sur ton appareil (AES-256) avant qu'elles n'atteignent nos serveurs — nous ne recevons que du code illisible. En mode standard, la récupération du mot de passe est possible (la clé est conservée côté serveur) ; seul le mode Confidentialité maximale réserve l'accès à ta clé de récupération.

🔒 CHIFFREMENT (KEK/DEK)
• Toutes les données de santé (cycle, symptômes, humeurs, TBC, journal) sont chiffrées avec une clé de données aléatoire (DEK) AES-256
• La DEK est protégée par ton mot de passe (KEK)
• Mode standard : récupération du mot de passe possible (DEK conservée côté serveur)
• Mode Confidentialité maximale : toi seule détiens la clé (clé de récupération) — aucune récupération côté serveur

📊 QUELLES DONNÉES NOUS TRAITONS
Stockées chiffrées :
• Nom, avatar, données de profil
• Données de cycle, symptômes, humeurs, TBC
• Entrées de journal
• Prédictions de cycle (calculées de façon déterministe dans l'app)

Stockées non chiffrées :
• Adresse e-mail (pour la connexion ; authentification via notre service auto-hébergé sur des serveurs UE)
• Réglages de l'app (langue, thème de couleurs)
• Métadonnées opérationnelles des rappels : fréquences, horaires, catégorie de médicament, mode contraceptif. Les valeurs (taux hormonaux, noms de médicaments, notes) sont chiffrées — les champs opérationnels restent en clair car le planificateur local doit les lire pour déclencher les rappels.

🤖 SERVICES D'IA ET APIS EXTERNES
• Claude AI (Anthropic via AWS Bedrock, région eu-central-1 Francfort) : conseils nutrition et lifestyle. Les données sont anonymisées avant l'envoi — ni noms, ni identifiants, ni dates exactes. De plus, notre serveur supprime avant l'envoi les identifiants que tu pourrais taper toi-même dans le chat (adresses e-mail, numéros de téléphone, IBAN). Par requête, nous journalisons des métadonnées anonymisées pour l'assurance qualité (langue, phase du cycle, longueur de la réponse, un hash pseudonyme de ton identifiant) — AUCUN contenu de chat, conservation max. 180 jours. Le traitement de texte par IA reste intégralement dans l'UE.
• Images de recettes et illustrations : gpt-image-1 (OpenAI). La génération d'images est traitée aux États-Unis (OpenAI, USA, encadrée par les clauses contractuelles types de l'UE). Seul un terme de recherche en anglais décrivant le motif est transmis (p. ex. salmon bowl) — aucune donnée de santé, aucun identifiant.
• Recherche par code-barres : lors du scan d'une boîte de médicament, l'EAN est envoyé à des bases de produits publiques (OpenFoodFacts) pour suggérer le nom. La requête passe par notre backend UE — les services externes ne voient ni ton identité ni ton IP. Les EAN mis en cache dans notre base ne portent aucun identifiant utilisateur.
• Autocomplétion de localité : lors de la saisie facultative de ton lieu de résidence, le nom que tu tapes est envoyé via notre backend UE à OpenStreetMap Nominatim pour afficher des suggestions. Le service externe ne voit ni ton identité ni ton IP ; la localité choisie n'est enregistrée que dans ton profil (chiffré).
• Envoi d'e-mails : les e-mails d'inscription et de confirmation sont envoyés via Scaleway Transactional Email (Paris, UE). Ton adresse e-mail est transmise ; le traitement reste dans l'UE.
• Diagnostic des pannes : les rapports de plantage et d'erreur sont collectés via Sentry (région UE) pour garantir stabilité et sécurité. Les contenus personnels sont automatiquement supprimés (scrubbing) avant l'envoi. Tu peux désactiver les rapports de plantage à tout moment dans Réglages (Confidentialité) — le changement prend effet au prochain démarrage de l'app.
• Gestion des abonnements : les achats et abonnements sont gérés via RevenueCat (USA, encadré par les clauses contractuelles types de l'UE). Seuls le statut d'abonnement et un identifiant anonymisé (un hash sha256 de ton identifiant de compte, pas l'identifiant lui-même — RevenueCat ne peut pas le relier à toi) sont transmis — aucune donnée de santé.

Toutes les requêtes passent par notre backend UE — ton appareil ne contacte jamais directement des services externes. Le traitement de texte par IA (Claude) reste dans l'UE.

⚖️ BASES JURIDIQUES (RGPD)
• Art. 6(1)(a) : Consentement — pour le coaching IA et les suggestions de recettes
• Art. 6(1)(b) : Exécution du contrat — pour le suivi du cycle et les fonctions essentielles
• Art. 6(1)(f) : Intérêt légitime — pour le diagnostic des pannes (Sentry) et pour l'assurance qualité anonymisée des réponses IA (métadonnées uniquement, sans contenu de chat ; voir « Services IA »). Tu peux t'y opposer à tout moment (art. 21), le plus simple étant l'interrupteur des rapports de plantage dans les Réglages ou par e-mail à privacy@icoso.es.
• Art. 9(2)(a) : Consentement explicite — pour les données de santé (catégorie particulière)

🌍 INFRASTRUCTURE ET TRANSFERTS HORS UE
• Backend : Hetzner Cloud (UE)
• Base de données : exploitée par nos soins sur des serveurs de Hetzner Online GmbH (UE)
• Sauvegardes chiffrées : Scaleway Object Storage (Paris, UE) - uniquement du texte chiffré, illisible en clair pour nous comme pour Scaleway
• Tes données de santé restent dans l'UE.

Sont transférés aux États-Unis exclusivement :
• Génération d'images (OpenAI) : uniquement des termes de recherche en anglais — aucune donnée de santé, aucune identité (clauses contractuelles types de l'UE).
• Gestion des abonnements (RevenueCat) : uniquement le statut d'abonnement et un identifiant anonymisé (un hash sha256 de ton identifiant de compte, pas l'identifiant lui-même — RevenueCat ne peut pas le relier à toi) — aucune donnée de santé (clauses contractuelles types de l'UE).
Apple (App Store) et Google (Play) traitent les données de paiement et de boutique en tant que responsables indépendants selon leurs propres politiques de confidentialité.

🍎 APPLE SANTÉ ET GOOGLE HEALTH CONNECT
Avec ton consentement explicite, Luna importe des données de santé depuis Apple HealthKit ou Google Health Connect (p. ex. sommeil, fréquence cardiaque au repos, température corporelle) pour améliorer tes analyses de cycle.
Ces données servent exclusivement aux fonctions de l'app — PAS à la publicité, elles ne sont NI vendues NI partagées avec des tiers.
Comme toutes tes données de santé, elles sont stockées chiffrées de bout en bout. Tu peux révoquer l'accès à tout moment dans les réglages de l'appareil.

🛡️ DONNÉES BIOMÉTRIQUES
• Face ID / Touch ID sont traités uniquement en local sur ton appareil
• Nous ne stockons aucune donnée biométrique
• Le mot de passe enregistré réside dans le trousseau iOS / Keystore Android (protection matérielle)

❌ CE QUE NOUS NE FAISONS PAS
• Pas de publicité, pas de traceurs, pas d'analytics
• Pas de vente ni de partage de données
• Pas d'algorithmes de profilage

✅ TES DROITS (RGPD)
• Art. 15 : Accès → Réglages > Télécharger les données
• Art. 16 : Rectification → profil modifiable à tout moment
• Art. 17 : Effacement → Réglages > Supprimer le compte (immédiat, irréversible)
• Art. 20 : Portabilité → export JSON de toutes les données
• Art. 21 : Opposition au traitement fondé sur l'intérêt légitime (rapports de plantage) → interrupteur dans les Réglages ou privacy@icoso.es
• Art. 7(3) : Retrait du consentement → possible à tout moment
• Art. 77 : Droit de réclamation auprès d'une autorité de protection des données — p. ex. l'AEPD espagnole (www.aepd.es) ou l'autorité de ton lieu de résidence

🔄 CONSERVATION DES DONNÉES
• Si tu supprimes ton compte, tes données sont immédiatement retirées de nos systèmes actifs
• Les copies résiduelles dans les sauvegardes techniques chiffrées sont supprimées sous 7 jours au fil du cycle quotidien de sauvegarde ; si une sauvegarde devait exceptionnellement être restaurée, une procédure journalisée supprime à nouveau les comptes déjà effacés
• Les rapports d'erreur (Sentry) sont supprimés automatiquement après la rétention standard du fournisseur (90 jours) ; à la suppression du compte, tes événements sont activement purgés

📧 Contact : privacy@icoso.es

🌙 Made with ❤️ in the EU