Bienvenue. Tu lis la politique de confidentialité de PhysioKuest, le service de jeu et de formation continue pour les kinésithérapeutes du sport édité par KUEST SAS. On a essayé d'écrire ce document en français normal — pas en langue juridique — pour que tu comprennes vraiment ce qu'il se passe avec tes données.
Si tu repères une formulation qui te paraît floue, écris-nous à privacy@physiokuest.com. On répond sous 30 jours, c'est notre engagement.
1. Qui est responsable de tes données
Le responsable de traitement au sens du Règlement européen (UE) 2016/679 (« RGPD ») est :
Société par actions simplifiée
Adresse postale : (à compléter dans les mentions légales)
Immatriculée au RCS de Paris
Email DPO / vie privée : privacy@physiokuest.com
On édite la marque PhysioKuest, l'application iOS PhysioKuest distribuée sur l'App Store, le site physiokuest.com, et toute interface de services liés.
2. Quelles données on collecte
Quand tu rejoins la waitlist depuis le site
- Adresse email · ce que tu nous communiques explicitement dans le formulaire.
- Date et heure de l'inscription · pour gérer le séquencement de la beta.
- Statut de confirmation (double opt-in) · pour vérifier que tu as bien validé ton inscription.
Quand tu utilises l'application PhysioKuest
- Données de compte · adresse email, pseudo (optionnel), classe Identity RPG choisie, niveau, XP, signatures débloquées.
- Données de jeu · sessions jouées, cas cliniques complétés, scores, réponses aux quiz, niveaux HyKuest atteints.
- Conversations Dr Kuest IA · textes que tu envoies dans les anamnèses libres en mode jeu. Ces textes décrivent des cas cliniques fictifs et ne contiennent aucune donnée réelle de patients.
- Données techniques · type d'appareil iOS, version d'OS, langue, adresse IP tronquée, identifiant Firebase anonyme, plantages éventuels.
- Données d'usage agrégées · fréquence de connexion, durée de sessions, écrans visités — utilisées pour améliorer l'app.
Quand tu paies un abonnement KUEST+
- Identifiant de transaction Apple · pour vérifier la validité de ton abonnement.
- Statut d'abonnement · actif, suspendu, expiré, plan choisi (mensuel / annuel / cabinet).
Important · on ne reçoit ni n'enregistre aucune information bancaire (numéro de carte, IBAN, etc.). Tous les paiements sont gérés par Apple via l'In-App Purchase et soumis à la politique de confidentialité d'Apple.
3. Pourquoi on les collecte
Pour chaque donnée, on s'appuie sur une base légale RGPD claire :
| Finalité | Données concernées | Base légale |
|---|---|---|
| Tenir la waitlist et t'envoyer le lien d'accès beta | Email + statut confirmation | Consentement (article 6.1.a RGPD) |
| Faire fonctionner ton compte et l'application | Compte + données de jeu | Exécution du contrat (article 6.1.b) |
| Faire fonctionner Dr Kuest IA | Textes d'anamnèse libre | Exécution du contrat (article 6.1.b) |
| Améliorer le produit (analytics agrégées) | Usage agrégé anonymisé | Intérêt légitime (article 6.1.f) |
| Gérer les abonnements et la facturation | Statut d'abonnement Apple | Exécution du contrat (article 6.1.b) |
| Sécurité, prévention de la fraude, logs | IP tronquée, plantages | Intérêt légitime (article 6.1.f) |
| Communications marketing (newsletter beta, App Store launch) | Consentement (article 6.1.a) — révocable à tout moment via un lien de désinscription | |
| Respect des obligations comptables | Données d'abonnement | Obligation légale (article 6.1.c) — code de commerce |
4. Avec qui on les partage
On ne vend jamais tes données. On ne les loue pas. On ne les échange pas avec des annonceurs.
En revanche, pour faire fonctionner le service, on s'appuie sur quelques prestataires techniques (« sous-traitants » au sens RGPD), chacun avec un contrat de protection des données :
| Sous-traitant | Pays | Service rendu |
|---|---|---|
| Brevo SAS (ex-Sendinblue) | France 🇫🇷 | Hébergement de la waitlist et envoi des emails marketing (confirmation double opt-in, newsletter beta). |
| Google Cloud / Firebase (Google Ireland Ltd) | Irlande 🇮🇪 (zone europe-west1) avec maison-mère US 🇺🇸 | Authentification, base de données utilisateur, fonctions cloud, analytics agrégées, distribution de notifications. |
| Anthropic PBC | États-Unis 🇺🇸 | Fournit le modèle d'IA Claude Haiku qui anime Dr Kuest. Reçoit uniquement les textes d'anamnèse que tu écris en mode jeu, traités en mode no-training (Anthropic ne les utilise pas pour entraîner ses modèles). |
| Apple Inc. | États-Unis 🇺🇸 | Distribution de l'app sur l'App Store, paiements In-App, TestFlight pour la beta. |
| Newfold Digital (HostMonster / Bluehost) | États-Unis 🇺🇸 | Hébergement du site web physiokuest.com. |
5. Transferts hors Union européenne
Comme tu le vois dans la table ci-dessus, certains de nos sous-traitants (Anthropic, Apple, Newfold) ont leur siège aux États-Unis. Quand tes données quittent l'Union européenne, on s'appuie sur les clauses contractuelles types de la Commission européenne (Standard Contractual Clauses, ou SCC), complétées par des mesures techniques supplémentaires (chiffrement en transit et au repos).
Concrètement :
- Anthropic est certifié EU-US Data Privacy Framework et l'usage de l'API Claude est encadré par leur Data Processing Addendum. Les conversations Dr Kuest ne servent pas à entraîner leurs modèles.
- Firebase stocke tes données en région europe-west1 (Belgique) par défaut, et seuls les logs techniques transitent éventuellement vers les États-Unis pour le support, sous SCC.
- Apple opère sous son propre cadre conforme RGPD, accessible dans la politique de confidentialité Apple.
6. Combien de temps on les garde
| Donnée | Durée de conservation |
|---|---|
| Email waitlist non-confirmé | 30 jours, puis suppression automatique |
| Email waitlist confirmé | 3 ans à compter du dernier contact (recommandation CNIL marketing) |
| Compte actif PhysioKuest | Tant que ton compte existe |
| Compte inactif (aucune connexion) | Anonymisation au-delà de 3 ans d'inactivité, suppression complète à 5 ans |
| Conversations Dr Kuest IA | 30 jours sur nos serveurs, puis suppression. Anthropic ne stocke pas au-delà du traitement immédiat. |
| Logs techniques (IP tronquée, plantages) | 12 mois |
| Données d'abonnement / facturation | 10 ans (obligation comptable légale) |
7. Tes droits sur tes données
Le RGPD te donne plusieurs droits que tu peux exercer à tout moment, gratuitement, simplement en nous écrivant à privacy@physiokuest.com. On répond sous 30 jours maximum.
- Droit d'accès (article 15) · savoir quelles données on a sur toi et en recevoir une copie.
- Droit de rectification (article 16) · corriger une donnée inexacte ou incomplète.
- Droit à l'effacement (article 17) · supprimer ton compte et toutes les données associées (« droit à l'oubli »).
- Droit à la limitation (article 18) · suspendre l'usage de tes données dans certains cas.
- Droit à la portabilité (article 20) · recevoir tes données dans un format structuré pour les réutiliser ailleurs.
- Droit d'opposition (article 21) · t'opposer à un traitement basé sur l'intérêt légitime (analytics par exemple).
- Droit de retirer ton consentement · à tout moment, notamment via le lien de désinscription présent dans chaque email marketing.
Pour exercer un de ces droits, écris-nous depuis l'adresse email associée à ton compte. Si on a un doute, on pourra te demander une pièce d'identité (qu'on supprimera immédiatement après vérification).
8. Comment on les protège
On prend la sécurité au sérieux. Concrètement :
- Chiffrement · toutes les connexions vers nos serveurs sont chiffrées en HTTPS / TLS 1.2+. Les données au repos sont chiffrées par les services managés (Firebase, Brevo).
- Authentification · login via Apple, Google ou email/mot de passe avec hash bcrypt côté Firebase.
- Accès restreint · seuls les membres de l'équipe ayant besoin d'accéder à un sous-ensemble précis de données peuvent le faire, sous principe du moindre privilège.
- Sous-traitants évalués · chaque prestataire signe un contrat de sous-traitance (« DPA ») conforme au RGPD avant d'être intégré.
- Notification · en cas de violation de données qui pourrait te concerner, on te notifie sous 72 heures conformément à l'article 33 RGPD.
9. Mineurs
PhysioKuest est conçu pour des professionnels de santé diplômés, donc majeurs. On ne collecte pas sciemment de données de personnes de moins de 18 ans. Si tu penses qu'un mineur s'est inscrit, écris-nous à privacy@physiokuest.com et nous supprimerons le compte immédiatement.
10. Cookies et traceurs
Le site physiokuest.com n'utilise aucun cookie publicitaire ni traceur tiers. On n'a pas Google Analytics, pas Facebook Pixel, pas TikTok Pixel.
Seuls peuvent apparaître :
- Un cookie technique posé par le formulaire Brevo au moment où tu valides ton inscription waitlist (gestion de session anti-spam). Pas de finalité publicitaire.
- Des cookies fonctionnels nécessaires au bon fonctionnement de notre hébergeur (HostMonster) sans collecte de comportement utilisateur.
Si on installe un jour des outils d'analyse, on te demandera ton consentement explicite via un bandeau dédié conforme aux recommandations CNIL.
11. Modifications de cette politique
On peut être amenés à modifier cette politique pour refléter une évolution du service, l'ajout d'un sous-traitant, ou un changement réglementaire. Quand on le fera :
- On modifiera la date d'entrée en vigueur et la version en haut de page.
- Si la modification est substantielle (nouveau type de données, nouveau sous-traitant, nouvelle finalité), on t'en informera par email au moins 30 jours avant l'entrée en vigueur.
12. Nous contacter · CNIL
Pour toute question concernant tes données ou pour exercer un de tes droits :
Email : privacy@physiokuest.com
Délai de réponse : 30 jours maximum
Si tu estimes qu'on n'a pas répondu correctement à ta demande, tu as le droit de déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), l'autorité de contrôle française :
3 Place de Fontenoy — TSA 80715
75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Site : www.cnil.fr
Document rédigé en bon français par l'équipe PhysioKuest. Si tu remarques une ambiguïté ou une erreur, écris-nous, on corrigera.