Politique de confidentialité
Dernière mise à jour : Mai 2026
La présente politique de confidentialité décrit comment NomNom (« nous ») collecte, utilise, partage et protège vos données personnelles lorsque vous utilisez notre application mobile et notre site trynomnom.com. Nous nous engageons à respecter le Règlement Général sur la Protection des Données (RGPD) et la loi française Informatique et Libertés.
1. Responsable du traitement
Le responsable du traitement de vos données est l'éditeur de NomNom, dont les coordonnées complètes figurent dans les Mentions légales.
Pour toute question relative à vos données personnelles, vous pouvez nous contacter à : support@trynomnom.com.
2. Données collectées
Nous collectons uniquement les données nécessaires au fonctionnement du service. Aucune donnée n'est collectée à votre insu.
Données de compte
- Adresse email et mot de passe (stocké sous forme hachée et salée — nous ne le voyons jamais en clair)
- Identifiant unique (UUID v7) généré par notre serveur
- Langue préférée (fr / en)
- Profil alimentaire optionnel : objectifs, restrictions, préférences (uniquement si vous choisissez de les renseigner)
- Si vous utilisez « Se connecter avec Google » : votre adresse email Google et votre nom public, transmis par Google après votre consentement
Contenu que vous créez
- Photographies de repas que vous téléversez
- Résultats des analyses IA : score nutritionnel, valeurs estimées (calories, protéines, glucides, lipides), points positifs, axes d'amélioration, tags (type de repas, ingrédients détectés)
- Historique des repas, statistiques, streaks, suivi de poids éventuel
- Conversations avec le coach IA (offre Premium Coach)
Données d'abonnement
- Statut d'abonnement (gratuit / Premium / Premium Coach), produit acheté, dates de période
- Identifiant RevenueCat, qui correspond à votre UUID interne
- Aucune donnée bancaire n'est collectée ni stockée par NomNom. Les paiements sont gérés exclusivement par Apple App Store ou Google Play.
Données techniques
- Logs serveur : adresse IP, user-agent, horodatage, endpoint appelé — strictement nécessaires à la sécurité, au débogage et à la prévention des abus
- Cookies de session (authentification, préférence de langue) — aucun cookie publicitaire ni de tracking
3. Finalités et bases légales
Chaque traitement repose sur une base légale conforme à l'article 6 du RGPD.
| Finalité | Données concernées | Base légale |
|---|---|---|
| Création et gestion de votre compte | Email, mot de passe haché, UUID, langue | Exécution du contrat |
| Analyse nutritionnelle de vos photos par IA | Photos, profil alimentaire | Exécution du contrat |
| Historique, statistiques, insights personnalisés | Résultats d'analyse, historique | Exécution du contrat |
| Coach IA conversationnel (Premium Coach) | Conversations, contexte alimentaire | Exécution du contrat |
| Gestion des abonnements Premium | Statut abonnement, identifiant RevenueCat | Exécution du contrat |
| Sécurité, prévention de la fraude et des abus | Logs serveur, IP, user-agent | Intérêt légitime |
| Réponse aux demandes de support | Email, contenu de la demande | Intérêt légitime |
| Respect d'obligations légales (conservation comptable, demandes des autorités) | Données nécessaires | Obligation légale |
4. Partage avec des tiers
Nous ne vendons jamais vos données. Nous les partageons uniquement avec les sous-traitants techniques strictement nécessaires à la fourniture du service, listés ci-dessous.
| Sous-traitant | Rôle | Données transmises | Localisation |
|---|---|---|---|
| Contabo GmbH | Hébergement applicatif et base de données | Toutes les données du compte et d'usage | Allemagne (UE) |
| OVHcloud | Stockage des photographies (S3) | Photos de repas | France (UE) |
| OVHcloud AI Endpoints | Inférence IA (vision + texte) | Photos de repas, extraits d'historique nécessaires aux conseils | France (UE) |
| Apple Distribution International Ltd | Distribution iOS, paiements in-app | Données de paiement (gérées par Apple) | Irlande (UE) |
| Google Ireland Ltd | Distribution Android, paiements in-app | Données de paiement (gérées par Google) | Irlande (UE) |
| RevenueCat, Inc. | Gestion technique des abonnements (entitlements) | UUID, événements d'achat, statut abonnement, modèle d'appareil, OS | États-Unis |
| Google LLC (Sign-In) | Authentification Google, si vous l'utilisez | Email Google, nom public, token OAuth | États-Unis |
| Google LLC (Google Fonts) | Téléchargement des polices web sur le site | Adresse IP, user-agent | États-Unis |
5. Transferts de données hors Union européenne
La plupart de nos sous-traitants sont situés dans l'Union européenne. Trois prestataires sont basés aux États-Unis :
- RevenueCat, Inc. pour la gestion des entitlements d'abonnement
- Google LLC si vous utilisez « Se connecter avec Google » (facultatif)
- Google LLC pour la fourniture des Google Fonts sur le site web
Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et, le cas échéant, par la certification de ces sociétés au EU-US Data Privacy Framework, conformément aux articles 45 et 46 du RGPD.
6. Durée de conservation
- Données de compte : conservées tant que votre compte est actif
- Photographies : conservées jusqu'à votre suppression manuelle, ou à la suppression de votre compte. Aucune copie n'est conservée par nos sous-traitants IA : les images ne sont pas utilisées pour ré-entraîner les modèles
- Historique d'analyses : conservé tant que votre compte est actif
- Logs serveur : 30 jours, puis suppression automatique
- Après suppression du compte : vos données personnelles sont effacées dans un délai maximum de 30 jours. Les logs techniques contenant votre IP peuvent subsister jusqu'à expiration de leur durée de rétention de 30 jours. Les données conservées au titre d'obligations légales (facturation par exemple) sont archivées séparément pendant la durée légale requise
7. Sécurité
Nous mettons en œuvre les mesures suivantes pour protéger vos données :
- Chiffrement TLS 1.2+ de l'ensemble des communications (HTTPS)
- Mots de passe hachés avec un algorithme moderne (bcrypt) et salés
- Authentification par JSON Web Tokens (JWT) à courte durée de vie, avec rotation des refresh tokens
- Accès aux serveurs restreint par clé SSH, journalisé
- Bucket de stockage des images privé, accessible uniquement via URLs signées
- Sauvegardes régulières de la base de données
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures et vous en informerons sans délai indu, conformément à l'article 33 du RGPD.
8. Données des mineurs
NomNom est réservé aux personnes âgées de 16 ans ou plus. Nous ne collectons pas sciemment de données concernant des mineurs de moins de 16 ans. Si vous constatez qu'un mineur de moins de 16 ans nous a transmis des données, contactez-nous à support@trynomnom.com : nous procéderons à leur suppression dans les meilleurs délais.
9. SDK tiers et absence de tracking publicitaire
Nous tenons à être transparents sur les bibliothèques tierces intégrées dans nos applications.
Intégrés dans l'application mobile
- RevenueCat : gestion des abonnements (cf. tableau ci-dessus)
- Google Sign-In : authentification via Google, uniquement si vous choisissez ce mode
- Bibliothèques locales uniquement (stockage chiffré, cache d'images, notifications locales, accès caméra) — aucune donnée n'est transmise à un tiers via ces bibliothèques
Non utilisés
Nous n'utilisons aucun des SDK suivants :
- Pas de Firebase (ni Analytics, ni Crashlytics, ni Cloud Messaging, ni Performance)
- Pas de Sentry, Bugsnag ou autre outil de crash reporting tiers
- Pas de Mixpanel, Amplitude, PostHog, Segment ou autre outil d'analytics produit
- Pas de Meta SDK, TikTok SDK, AppsFlyer, Adjust ou autre SDK marketing / attribution
- Pas de notifications push distantes (les notifications sont planifiées localement par l'application)
Cookies sur le site web
Le site trynomnom.com n'utilise que des cookies strictement nécessaires (session, préférence de langue). Aucun cookie publicitaire ni de tracking n'est déposé, et aucune bannière de consentement n'est donc requise.
10. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine
- Droit à la limitation du traitement
- Droit d'opposition aux traitements fondés sur l'intérêt légitime
- Droit de définir des directives relatives au sort de vos données après votre décès
Vous pouvez exercer ces droits :
- Directement dans l'application, depuis l'écran « Mon compte » (suppression du compte, modification du profil)
- Par email à support@trynomnom.com — nous nous engageons à répondre dans un délai d'un mois
Pour la procédure détaillée de suppression de votre compte et la liste des données effacées ou conservées, consultez notre page dédiée : Suppression de compte.
Si vous estimez que vos droits n'ont pas été respectés, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
11. Décisions automatisées
L'analyse nutritionnelle de vos photos repose sur un modèle d'intelligence artificielle. Les résultats produits (score, conseils, valeurs nutritionnelles estimées) sont indicatifs et ne produisent pas d'effet juridique vous concernant. Ils ne constituent en aucun cas un avis médical ou diététique.
12. Modifications de la politique
Nous pouvons être amenés à modifier la présente politique pour refléter des évolutions du service, de la réglementation ou de nos sous-traitants. Toute modification substantielle vous sera notifiée par email ou via une notification dans l'application au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en haut de cette page.
13. Contact
Pour toute question relative à cette politique ou à vos données personnelles :
- Email : support@trynomnom.com
- Coordonnées postales : voir Mentions légales