Politique de confidentialité

1. Responsable de traitement

Cyclezen SAS
Siège social : 1010 avenue de l'Europe, 33260 La Teste de Buch
SIRET : 94289626700013
Représentée par Samia Dahmouni, Présidente
Email général : contact@cyclezen.ai
DPO : dpo@cyclezen.ai

2. Délégué à la Protection des Données (DPO)

Cyclezen a désigné un Délégué à la Protection des Données externe, certifié et spécialisé dans les données de santé. Le DPO est votre point de contact pour toute question relative au traitement de vos données et à l'exercice de vos droits.

• Email : dpo@cyclezen.ai
• Délai de réponse : 30 jours maximum (Art. 12 RGPD).

3. Données collectées

3.1 Données d'identification (Art. 6 RGPD)

• Adresse email
• Mot de passe (stocké uniquement sous forme hashée — bcrypt/Argon2, jamais en clair)
• Prénom (ou pseudonyme)
• Date de création du compte
• Date de naissance ou tranche d'âge (utilisée comme extension.ageRange FHIR pour la pseudonymisation)
• Identifiant Apple Sign-In ou Auth0 — pas l'adresse email Apple relais en clair

3.2 Données de santé (Art. 9 RGPD — consentement explicite requis)

Données saisies volontairement par l'Utilisatrice :

• Date et durée des menstruations, intensité des saignements
• Symptômes physiques (douleurs, ballonnements, céphalées, fatigue, etc.)
• Symptômes émotionnels et humeur
• Méthode de contraception utilisée (le cas échéant)
• Objectifs de bien-être
• Notes personnelles dans le journal
• Conditions de santé déclarées (endométriose, SMOP, périménopause)
• Protocoles hormonaux suivis (le cas échéant — MedicationStatement FHIR)

Toutes ces données sont stockées au format HL7 FHIR R4.

3.3 Données techniques

• Type d'appareil (modèle, OS, version)
• Version de l'Application
• Identifiant technique de session (UUID — non rattaché à l'identité réelle)
• Logs d'erreur anonymisés (PII filtrée par middleware Sentry before_send)

3.4 Données d'usage

Événements pseudonymisés d'utilisation : écrans consultés, durée des sessions, interactions principales. Aucune donnée comportementale n'est croisée à des fins publicitaires.

3.5 Ce que nous ne collectons pas

• Aucun cookie publicitaire ni traceur tiers.
• Aucune donnée de localisation précise (GPS).
• Aucun accès aux contacts, photos, calendrier en dehors des permissions strictement nécessaires (HealthKit en lecture seule, sur consentement explicite).
• Aucune donnée biométrique en dehors de Face ID / Touch ID — usage strictement local sur l'appareil (Apple Secure Enclave).

4. Finalités, bases légales et durées de conservation

5. Hébergement des données

5.1 Hébergement HDS France

L'ensemble des données de santé est hébergé exclusivement en France, chez un hébergeur certifié HDS au sens de l'article L. 1111-8 du Code de la santé publique. Cyclezen n'est pas hébergeur HDS. Cyclezen est responsable de traitement et utilise OVH en tant que sous-traitant hébergeur certifié.

5.2 Aucun transfert hors UE pour les données de santé

Les données de santé (Art. 9 RGPD) ne quittent jamais le territoire de l'Union européenne.

5.3 Pseudonymisation systématique avant tout appel externe

Aucune donnée de santé n'est transmise à un service tiers ou à un modèle de langage externe sans pseudonymisation préalable. La pseudonymisation est documentée et auditable.

5.4 Sous-traitants

Pour fournir le Service, Cyclezen a recours à des sous-traitants techniques, tous soumis à des engagements contractuels de confidentialité et de protection des données conformes au RGPD. Les catégories de sous-traitants incluent :

• Hébergeur certifié HDS situé en France pour le stockage des données de santé
• Service d'authentification européen pour la gestion des comptes utilisateurs
• Services de monitoring et de supervision technique
• Service d'envoi d'emails transactionnels

La liste exhaustive des sous-traitants peut être communiquée sur demande à dpo@cyclezen.ai.

6. Vos droits (RGPD)

• Droit d'accès (Art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.
• Droit de rectification (Art. 16).
• Droit à l'effacement (Art. 17), notamment lorsque vous retirez votre consentement.
• Droit à la limitation (Art. 18).
• Droit à la portabilité (Art. 20) : Cyclezen fournit un export FHIR R4 (JSON Bundle) nativement réutilisable par tout système de santé compatible FHIR.
• Droit d'opposition (Art. 21).
• Droit de retirer son consentement (Art. 7) : à tout moment.
• Droit de définir des directives post-mortem (article 85 Loi Informatique et Libertés).

Pour exercer vos droits : dpo@cyclezen.ai ou depuis l'Application (« Réglages → Vie privée → Mes droits »).

Réclamation auprès de la CNIL : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 · cnil.fr.

7. Consentement — granularité et retrait

Le traitement de vos données de santé requiert votre consentement explicite, libre, spécifique, éclairé et univoque. Vous pouvez accepter ou refuser chaque finalité indépendamment. Aucune case n'est pré-cochée.

Chaque consentement est :

• horodaté ;
• enregistré sous forme de ressource Consent FHIR R4 ;
• versionné avec le numéro de la Politique de confidentialité acceptée ;
• consultable et exportable par l'Utilisatrice.

Le retrait du consentement est possible à tout moment depuis « Réglages → Vie privée → Mes consentements » et est aussi simple à exercer que le consentement initial (Art. 7.3 RGPD).

8. Sécurité des données

Cyclezen met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité des Données. Ces mesures incluent notamment le chiffrement des données sensibles, l'authentification renforcée des accès, et des audits de sécurité réguliers. Le détail des mesures peut être communiqué sur demande motivée à security@cyclezen.ai.

9. Cookies, traceurs, analytics

L'Application mobile Cyclezen ne dépose aucun cookie publicitaire, ne contient aucun SDK publicitaire, aucun pixel de tracking tiers.

Le site web cyclezen.ai utilise uniquement des cookies fonctionnels strictement nécessaires à son fonctionnement. Une bannière conforme aux recommandations CNIL s'affiche au premier accès, avec un refus aussi simple que l'acceptation.

10. Profilage et décision automatisée

L'Application produit des estimations probabilistes (cycle, ovulation, fenêtre fertile) à partir des données saisies par l'Utilisatrice. Ces estimations :

• ne constituent pas une décision automatisée produisant des effets juridiques au sens de l'article 22 RGPD ;
• ne sont pas utilisées comme méthode de contraception ni de procréation assistée ;
• peuvent être désactivées à tout moment.

Aucun profilage à des fins publicitaires ou commerciales n'est réalisé.

11. Violation de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, Cyclezen notifiera la CNIL dans les 72 heures (Art. 33 RGPD).

Si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, vous serez personnellement informée dans les meilleurs délais (Art. 34 RGPD), par email et notification in-app.

12. Mineurs

Conformément à l'article 8 RGPD et à l'article 7-1 de la Loi Informatique et Libertés, l'Application est accessible aux mineures de 15 ans et plus avec l'accord d'un titulaire de l'autorité parentale. L'Application n'est pas accessible aux moins de 15 ans.

L'accompagnement parental dans l'application est en cours d'étude pour une version future (post-MVP 1.2).

13. Modifications de la politique

Toute modification substantielle de la présente Politique sera notifiée via l'Application et par email, au moins 30 jours avant son entrée en vigueur.

14. Contact

• DPO et exercice des droits : dpo@cyclezen.ai
• Sécurité : security@cyclezen.ai
• Question générale : contact@cyclezen.ai
• CNIL : cnil.fr

Version 1.0 — 30 avril 2026