Politique de confidentialité
Dernière mise à jour 2026-07-17
Cette politique de confidentialité couvre deux traitements distincts, présentés séparément :
- Le site web
usekayu.com— le site vitrine que vous consultez actuellement. C'est l'objet des sections 1 à 8. - L'application mobile Kayu — l'application iOS téléchargée depuis l'App Store. Ses traitements, plus étendus, sont décrits dans la section « L'application Kayu » plus bas.
Le responsable du traitement est le même pour les deux : Lucas Tostee (voir §1).
1. Qui nous sommes (le responsable de traitement)
Le site usekayu.com et l'application Kayu sont édités par Lucas Tostee, entrepreneur individuel (régime auto-entrepreneur / micro-entreprise), immatriculé en France.
- Responsable du traitement au sens de l'article 4(7) du RGPD : Lucas Tostee.
- Siège : 66 rue des Remparts, 33000 Bordeaux, France.
- SIRET : 830 928 412 00014 (SIREN 830 928 412).
- Contact confidentialité :
app.kayu@gmail.com. - Aucun Délégué à la Protection des Données (DPO) n'est désigné. Les traitements décrits ne l'exigent pas au titre de l'article 37 du RGPD : Kayu n'effectue ni surveillance systématique à grande échelle, ni traitement à grande échelle de données sensibles.
- Kayu est établi dans l'Union européenne ; aucun représentant UE au titre de l'article 27 du RGPD n'est requis.
2. Ce que le site web collecte
Le site usekayu.com est un site vitrine. Il ne comporte aucun formulaire, aucune inscription, aucune capture d'e-mail, aucune liste d'attente. Il ne dépose aucun cookie publicitaire et n'effectue aucun suivi entre sites (cross-site tracking).
Le site utilise uniquement les éléments suivants :
- Un vote-pays stocké localement (
kayu-site-vote). Si vous indiquez le pays que vous aimeriez voir couvert par Kayu, votre choix est enregistré dans lelocalStoragede votre navigateur, sur votre appareil. Cette donnée ne contient aucune information personnelle, n'est associée à aucun identifiant et n'est jamais transmise à un serveur : elle sert seulement à se souvenir que vous avez déjà voté. Vous pouvez l'effacer à tout moment en vidant les données du site dans votre navigateur. - Un cookie de langue (
NEXT_LOCALE). Cookie strictement fonctionnel qui mémorise votre préférence de langue (français ou anglais) afin d'afficher le site dans la bonne langue. Il est exempté de consentement au titre de l'article 82 de la loi Informatique et Libertés (cookie strictement nécessaire au service que vous demandez). - Mesure d'audience sans cookie (Vercel Web Analytics). Voir §3.
3. Mesure d'audience du site (Vercel Web Analytics)
Le site utilise Vercel Web Analytics, un outil de mesure d'audience sans cookie.
- Finalité : mesurer de façon agrégée la fréquentation du site (pages vues, pages populaires, provenance approximative), afin de comprendre ce qui intéresse les visiteurs et d'améliorer le site.
- Fonctionnement : l'outil ne dépose aucun cookie, ne génère aucun identifiant persistant et ne suit pas les visiteurs d'un site à l'autre. Les mesures sont agrégées ; aucune fiche individuelle réutilisable n'est constituée.
- Base légale : intérêt légitime (art. 6(1)(f) du RGPD) — connaître la fréquentation de notre propre site vitrine, un intérêt classique dont l'impact sur vous est minime puisqu'aucun profil n'est construit et aucune donnée n'est vendue.
- Rétention : les données d'audience agrégées sont conservées par Vercel pour la durée de notre abonnement analytics (au plus 24 mois) puis supprimées ou consolidées en statistiques anonymes.
- Pourquoi il n'y a pas de bandeau cookies : conformément aux recommandations de la CNIL sur la mesure d'audience, un outil de mesure d'audience est exempté de consentement dès lors qu'il est strictement limité à la mesure d'audience du site, ne dépose pas de cookie ou traceur au sens de l'article 82, ne recoupe pas les données avec d'autres traitements, ne suit pas la navigation entre sites et ne sert pas la publicité. Vercel Web Analytics remplit ces conditions : il est sans cookie, sans suivi inter-sites et sans finalité publicitaire. Aucun bandeau de consentement n'est donc requis.
Vous conservez un droit d'opposition à ce traitement fondé sur l'intérêt légitime (art. 21 du RGPD) : écrivez-nous à app.kayu@gmail.com.
4. Qui reçoit les données du site (sous-traitants)
- Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, États-Unis) — hébergeur du site et fournisseur de la mesure d'audience sans cookie. Agit comme sous-traitant sous accord de traitement de données (DPA). Les transferts éventuels vers les États-Unis sont encadrés (voir §6).
Le site vitrine lui-même ne partage aucune donnée avec les autres prestataires listés ci-dessous : ceux-ci n'interviennent que pour l'application mobile (voir la section « L'application Kayu »).
5. Vos droits (site et application)
En vertu du RGPD (articles 15 à 22) et de la Loi 25 du Québec (articles 27 et suivants), vous avez le droit :
- D'accès (art. 15) — obtenir une copie des données que nous détenons sur vous.
- De rectification (art. 16) — corriger une donnée inexacte.
- À l'effacement (art. 17) — supprimer vos données (pour l'application, via Réglages → Compte → Supprimer le compte).
- À la limitation (art. 18) — suspendre un traitement.
- À la portabilité (art. 20) — recevoir vos données dans un format structuré et lisible par machine.
- D'opposition (art. 21) — vous opposer aux traitements fondés sur l'intérêt légitime, y compris la mesure d'audience du site.
- De retirer votre consentement à tout moment lorsque le consentement est la base (art. 7(3)).
Pour exercer ces droits, écrivez à app.kayu@gmail.com. Nous répondons sous un mois (art. 12(3) du RGPD).
6. Transferts internationaux
Les données de mesure d'audience et d'hébergement du site peuvent être traitées par Vercel Inc. aux États-Unis. Ce transfert est encadré par les clauses contractuelles types de la Commission européenne (art. 46 du RGPD) intégrées à l'accord de traitement de Vercel, et le cas échéant par l'adhésion de Vercel au Cadre de protection des données UE–États-Unis (Data Privacy Framework). Aucune donnée d'application contrôlée par Kayu ne quitte l'Union européenne (voir la section « L'application Kayu »).
7. Droit de réclamation
Si vous estimez que nous n'avons pas correctement traité vos données, vous pouvez saisir votre autorité de contrôle. Aucune mesure de représailles ne sera prise.
- France (CNIL) : Commission Nationale de l'Informatique et des Libertés, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
www.cnil.fr. - Québec (Commission d'accès à l'information) : 525, boulevard René-Lévesque Est, Bureau 2.36, Québec (Québec) G1R 5S9.
www.cai.gouv.qc.ca. - Autres utilisateurs EEE : votre autorité locale — liste à
https://edpb.europa.eu/about-edpb/about-edpb/members_en.
8. Modifications de cette politique
Cette politique peut évoluer à mesure que Kayu se développe. La date « Dernière mise à jour » en haut reflète le dernier changement. Les versions précédentes restent disponibles dans notre historique Git public.
L'application Kayu
La section qui suit concerne l'application mobile Kayu (iOS), distincte du site vitrine ci-dessus. L'application traite davantage de données parce qu'elle permet, en option, de créer un compte. Le responsable du traitement reste Lucas Tostee (§1) et le contact reste app.kayu@gmail.com.
A. Ce que l'application collecte
En Phase 0 (la phase actuelle, gratuite et sans abonnement), l'application collecte :
- Identifiant d'appareil (UUID). Généré localement au premier lancement, envoyé à chaque requête vers notre backend. Permet d'attribuer l'usage à une installation sans vous identifier personnellement.
- Numéro de téléphone (format E.164). Uniquement si vous vous connectez via téléphone + code SMS. Stocké dans AWS Cognito comme alias de votre compte.
- Identifiant Apple (
sub) et adresse e-mail associée. Uniquement si vous vous connectez avec Apple. Apple renvoie soit votre adresse réelle, soit une adresse relais privée (@privaterelay.appleid.com). En Phase 0, cette adresse est stockée uniquement — nous ne vous envoyons aucun e-mail. - Identifiant utilisateur Cognito (
cognitoSub). UUID généré par Cognito, qui ancre votre compte entre les sessions. - Évènements de télémétrie anonymes (via TelemetryDeck). Par exemple
app_open,first_scan,drug_detail_view. Ils ne transportent pas de noms de médicaments, de requêtes de recherche, de contenu libre, ni votre adresse IP (supprimée à l'ingestion). Vous pouvez les désactiver à tout moment dans Réglages → Confidentialité → Partager les statistiques d'usage. - Logs backend (AWS CloudWatch). Métadonnées de requête, conservées 30 jours.
- Avis, votes-pays, demandes de documents. Stockés dans notre base Postgres, ancrés à votre identifiant.
- Médicaments épinglés, historique, préférences. Stockés localement sur votre appareil ; non transmis en Phase 0.
Nous ne collectons pas : nom, adresse postale, informations de paiement, données de santé, données biométriques, géolocalisation précise, photos, contacts.
B. Finalités et bases légales (application)
| Donnée | Finalité | Base légale (RGPD art. 6) |
|---|---|---|
| Numéro de téléphone, identifiant Cognito | Créer et authentifier votre compte ; envoyer les codes SMS | Exécution d'un contrat (art. 6(1)(b)) |
| Identifiant Apple | Vous authentifier via Sign in with Apple | Exécution d'un contrat (art. 6(1)(b)) |
| Adresse e-mail (Connexion avec Apple) | Ancrer votre identité Apple à votre compte ; réservée au marketing en Phase 1, uniquement après opt-in explicite | (a) Contrat (art. 6(1)(b)) pour le stockage ; (b) Consentement (art. 6(1)(a)) pour le marketing, non activé à ce jour |
| Identifiant d'appareil | Attribuer les requêtes à une installation | Intérêt légitime (art. 6(1)(f)) |
| Évènements de télémétrie | Comprendre l'usage pour améliorer l'application | Intérêt légitime (art. 6(1)(f)) — opt-out disponible |
| Logs backend | Diagnostic, sécurité, prévention des abus | Intérêt légitime (art. 6(1)(f)) |
| Avis, votes, demandes de documents | Roadmap et qualité produit | Intérêt légitime (art. 6(1)(f)) |
Un test d'intérêt légitime (LIA) est documenté pour chaque base d'intérêt légitime, disponible sur demande.
C. Destinataires (application)
- AWS (Amazon Web Services EMEA SARL, Luxembourg). Tous les services backend s'exécutent en région eu-west-3 (Paris, France). AWS agit comme sous-traitant.
- Apple Inc. (Cupertino, Californie, États-Unis). Pour Sign in with Apple, Apple intervient comme responsable de traitement indépendant, sous adéquation du Cadre de protection des données UE–États-Unis.
- TelemetryDeck (TelemetryDeck GmbH, Allemagne). Sous-traitant de télémétrie anonyme.
- Vercel Inc. (États-Unis). Hébergeur du site vitrine (voir §4) ; ne reçoit pas les données de compte de l'application.
Nous ne partageons pas vos données avec des annonceurs ou des courtiers en données.
D. Rétention (application)
| Donnée | Rétention |
|---|---|
| Compte Cognito (téléphone, identifiants) | Jusqu'à suppression du compte ; jetons expirés 30 jours après la dernière connexion |
| Adresse e-mail (Apple) | Jusqu'à suppression du compte ou invalidation de l'adresse relais côté Apple |
| Logs backend (CloudWatch) | 30 jours, purge automatique |
Évènements auth.signin (suppression) | 1 an, purge automatique |
| Évènements de télémétrie anonymes | 90 jours (défaut TelemetryDeck) |
| Avis, votes, demandes de documents | Tant que le compte existe ; anonymisés à la suppression |
| Épingles / préférences (sur l'appareil) | Jusqu'à désinstallation ou nettoyage des données |
E. Suppression de compte
Vous pouvez supprimer votre compte à tout moment depuis l'application : Réglages → Compte → Supprimer le compte. La suppression s'exécute immédiatement sur l'appareil et est propagée à tous nos systèmes sous 30 jours (enregistrement Cognito, données Postgres anonymisées, évènements de liaison). Les données locales sont effacées à la déconnexion.
F. Décision automatisée et mineurs
L'application ne procède à aucune décision automatisée produisant des effets juridiques ou similaires significatifs (art. 22 du RGPD) et n'effectue aucun profilage. L'application n'est pas destinée aux mineurs de moins de 15 ans (âge numérique du consentement transposant l'art. 8 du RGPD en France) ; la classification App Store est 17+. Si vous pensez qu'un mineur a créé un compte, écrivez à app.kayu@gmail.com.
Ce document a été rédigé avec l'assistance d'une IA et reflète les exigences réglementaires comprises au 17 juillet 2026. Il ne remplace pas l'examen par un avocat. Avant toute évolution majeure, il convient de le vérifier au regard du texte en vigueur des réglementations citées.