Politique de confidentialité
Cette politique explique quelles données personnelles Brunt collecte lorsque vous utilisez le service sur brunt.care, pourquoi nous les collectons, combien de temps nous les conservons et quels choix vous gardez. Nous essayons d'utiliser un français lisible. Si une formulation reste floue, écrivez-nous à hello@brunt.care.
1. Qui est le responsable du traitement ?
Le responsable du traitement est la personne physique qui exploite Brunt en tant que contributeur unique au moment de la rédaction (voir la page Mentions légales pour les coordonnées complètes). Contact pour toute question liée à la vie privée : hello@brunt.care.
2. Ce que nous collectons
2.1 Données de compte
- Votre adresse e-mail (pour vous connecter et recevoir les avis liés au service).
- Un hash de votre mot de passe (le mot de passe lui-même n'est jamais stocké).
- Le pays que vous indiquez à l'inscription (pour adapter unités et ingrédients).
2.2 Profils familiaux
Pour chaque membre que vous créez, vous pouvez indiquer :
- Un prénom ou un surnom.
- Une tranche d'âge, le sexe, la taille et le poids.
- Un objectif nutritionnel (maintien, perte, prise) et un niveau d'activité.
- Des préférences ou restrictions alimentaires (végétarien, sans porc, etc.).
Ces données servent à calculer des besoins énergétiques indicatifs (formule de Mifflin-St Jeor) et à adapter les plats proposés. Elles sont saisies par vous, à titre volontaire. Brunt n'enregistre ni ne stocke aucun diagnostic médical, aucune pathologie ni aucun traitement.
2.3 Données de planification et d'activité
- Les ingrédients que vous déclarez avoir dans vos placards.
- Les menus générés, les listes de courses, les recettes.
- Les séances d'activité que vous enregistrez (type, durée, ressenti).
2.4 Données techniques
- Journaux serveur standards (adresse IP, chemin de requête, user agent) conservés au maximum 30 jours pour la sécurité.
- Un cookie de session (signé par HMAC, aucun traqueur tiers).
2.5 Inscription à la liste d'attente
Si vous vous inscrivez sur la liste d'attente publique à brunt.care, nous stockons votre adresse e-mail, la langue choisie pour le formulaire, un éventuel code pays, et un horodatage. Ces données nous servent à vous inviter dans la bêta privée et à vous envoyer une réponse personnalisée. Vous pouvez demander la suppression de votre adresse à tout moment en écrivant à hello@brunt.care.
2.6 Données de paiement
Brunt ne collecte aucune donnée de paiement à ce jour. Le service est offert gratuitement pendant la bêta privée. Lorsque des offres payantes seront introduites, cette section sera mise à jour et les utilisateurs existants en seront informés avant tout changement.
3. Pourquoi nous les utilisons (bases légales RGPD)
| Finalité | Données utilisées | Base légale |
|---|---|---|
| Fournir le service (compte, planification, historique) | Compte + profils + données de planification | Exécution du contrat (art. 6.1.b) |
| Calculer des estimations énergétiques et adapter les suggestions | Données de profil que vous avez saisies | Contrat + votre saisie |
| Gérer la liste d'attente et organiser l'entrée dans la bêta privée | Adresse e-mail (+ pays / langue éventuels) | Consentement (art. 6.1.a) |
| Sécurité du service (rate limits, journaux) | IP, métadonnées de requête | Intérêt légitime (art. 6.1.f) |
| E-mails de service (bienvenue, réinitialisation) | Adresse e-mail | Contrat |
| Gestion des abonnements Premium et facturation (via Lemon Squeezy) | Adresse e-mail, statut d'abonnement, pays de facturation | Contrat (art. 6.1.b) + obligation légale (comptabilité) |
4. Partage avec des tiers
Brunt fait appel à une liste fixe et restreinte de sous-traitants :
- Fly.io (US / UE) — hébergement applicatif. Région utilisée :
fra(Francfort). - OVH (France) — nom de domaine, envoi d'e-mails transactionnels (Zimbra SMTP) et DNS.
- OpenRouter / Anthropic (US) — routage des prompts LLM pour générer les menus. Le prompt contient les données de profil et de placard. Les prompts ne sont pas utilisés pour entraîner un modèle au titre de notre contrat de routage.
- Neon (région UE, prévu) — base de données PostgreSQL managée. En attendant, les données sont stockées sur un volume persistant Fly.
- Plausible Analytics (UE) — statistiques de fréquentation respectueuses de la vie privée, uniquement sur la landing marketing (jamais sur l'app). Aucun cookie, aucun traçage inter-site, aucune donnée personnelle collectée. Seulement des compteurs agrégés de pages, référents et pays approximatifs.
- Lemon Squeezy, LLC (US) — traitement des paiements des abonnements Premium, en tant que revendeur et Merchant of Record. Il reçoit votre adresse e-mail et vos informations de facturation lors de la souscription ; vos données de carte bancaire sont traitées exclusivement par Lemon Squeezy et ses prestataires de paiement et n'atteignent jamais nos serveurs. Voir la politique de confidentialité de Lemon Squeezy.
Vos données ne sont jamais partagées avec des annonceurs. Elles ne sont jamais vendues. Aucun pixel publicitaire, aucun réseau d'ads, aucune solution d'analytics tierce ne tourne sur la surface applicative au-delà du strictement nécessaire au fonctionnement du service.
5. Transferts hors UE
OpenRouter, Anthropic, Fly.io et Lemon Squeezy sont basés aux États-Unis. Lorsque des données sortent de l'UE, c'est encadré par les Clauses contractuelles types de la Commission européenne (ou le Data Privacy Framework équivalent le cas échéant). Vous pouvez demander une copie des clauses à hello@brunt.care.
6. Combien de temps nous gardons les données
- Compte et profils : tant que le compte est actif. Supprimées dans les 30 jours suivant la suppression du compte.
- Menus et listes générés : durée de vie du compte (ou jusqu'à suppression individuelle).
- E-mail de liste d'attente : jusqu'à demande de suppression, ou 24 mois sans invitation envoyée (le plus court).
- Journaux serveur : 30 jours maximum.
7. Vos droits
Au titre du RGPD, vous disposez du droit :
- D'accéder aux données que nous détenons sur vous.
- De les corriger ou mettre à jour.
- De supprimer votre compte et vos données personnelles.
- D'exporter vos données dans un format portable (JSON).
- De limiter ou de vous opposer à certains traitements.
- De déposer une réclamation auprès de votre autorité de protection des données (en France : la CNIL).
Pour exercer l'un de ces droits, écrivez à hello@brunt.care. Nous répondons sous 30 jours.
8. Mineurs
Brunt n'est pas destiné aux enfants de moins de 16 ans. Un parent peut ajouter le profil d'un enfant à un compte familial, mais c'est le parent qui est responsable de ce profil et reste seul juge des informations sensibles éventuellement renseignées.
9. Sécurité
Brunt utilise HTTPS partout (Let's Encrypt), des cookies de session signés par HMAC, une limitation de débit sur l'authentification et un hébergement en région UE. Les sauvegardes de base de données sont chiffrées au repos. Aucun service ne peut garantir une sécurité parfaite ; nous vous recommandons un mot de passe long et unique.
10. Évolution de cette politique
Cette politique peut évoluer avec le service. Les changements substantiels sont annoncés par e-mail ou par un bandeau dans l'application. La date en haut de page reflète toujours la dernière révision.
11. Contact
Pour toute question de confidentialité, un seul e-mail : hello@brunt.care.