Aller au contenu principal
Retour à l'accueil

Politique de Confidentialité

Application milou (« l'Application »)

Dernière mise à jour : 7 mars 2026

La présente Politique de Confidentialité a pour objet de vous informer de manière claire et transparente sur la manière dont vos données personnelles sont collectées, traitées et protégées dans le cadre de votre utilisation de l'application mobile milou (ci-après « l'Application »), conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après « RGPD »), à la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés » et aux recommandations de la Commission Nationale de l'Informatique et des Libertés (CNIL).

1. Identité du responsable de traitement

Le responsable du traitement des données personnelles collectées via l'Application est :

  • Raison sociale : milou studio
  • Forme juridique : Micro-entreprise
  • SIRET : En cours d'immatriculation
  • Siège social : 7 rue saint vincent de paul, 75010 Paris
  • Représentant légal : Nicolas Pérez, en qualité de Fondateur
  • Nom commercial : milou
  • Email de contact : hello@milou.studio

Aucun Délégué à la Protection des Données (DPO) n'a été désigné à ce jour, l'obligation de désignation prévue à l'article 37 du RGPD n'étant pas applicable au regard de la nature et de l'échelle actuelle des traitements. Cette situation sera réévaluée régulièrement en fonction de l'évolution de l'activité.

2. Données personnelles collectées

Nous collectons les catégories de données personnelles suivantes dans le cadre de votre utilisation de l'Application :

2.1. Données d'identification et de profil

  • Prénom et nom
  • Adresse e-mail
  • Numéro de téléphone
  • Rôle dans l'Application (coach ou client)
  • Photo de profil (facultative)

2.2. Données d'authentification

  • Identifiants de connexion (e-mail et mot de passe haché)
  • Données d'authentification sociale (Apple ID ou compte Google), le cas échéant

2.3. Données relatives aux séances et réservations

  • Historique des séances (dates, horaires, lieux, type de séance)
  • Statut des réservations (confirmée, annulée, etc.)
  • Notes associées aux séances

2.4. Données de suivi sportif

  • Programmes d'entraînement (exercices, séries, répétitions, charges)
  • Mesures corporelles : poids, mensurations (ci-après « données corporelles » — voir Section 10)

2.5. Données relatives aux crédits et à la facturation

  • Solde de crédits par type de séance
  • Historique des transactions de crédits (achats, déductions, remboursements, ajustements)
  • Montants en euros associés aux transactions

Note : les paiements sont actuellement effectués en dehors de l'Application (espèces, virement, etc.). L'Application enregistre uniquement les crédits et montants à des fins de suivi.

2.6. Données relatives à la relation coach-client

  • Identité du coach associé à chaque client
  • Statut de la relation (active, archivée)

2.7. Données techniques

  • Jetons de notification push (Expo Push Token)
  • Jetons d'authentification stockés de manière sécurisée sur l'appareil

2.8. Données que nous ne collectons pas

L'Application ne collecte pas :

  • d'identifiants publicitaires (IDFA / GAID) ;
  • de données de géolocalisation en temps réel ;
  • de données issues de cookies ou de traceurs ;
  • de données provenant de SDK d'analytics, de crash reporting ou de suivi comportemental.

3. Finalités et bases légales des traitements

Conformément aux articles 6 et 9 du RGPD, chaque traitement de données repose sur une base légale déterminée :

Finalité du traitementDonnées concernéesBase légale
Création et gestion de votre compte utilisateurDonnées d'identification, d'authentificationExécution du contrat (Art. 6.1.b RGPD)
Gestion des séances et des réservationsDonnées de séances et réservationsExécution du contrat (Art. 6.1.b RGPD)
Suivi des programmes d'entraînementExercices, séries, répétitions, chargesExécution du contrat (Art. 6.1.b RGPD)
Collecte et traitement des mesures corporellesPoids, mensurationsConsentement explicite (Art. 9.2.a RGPD) — voir Section 10
Gestion des crédits et suivi de facturationCrédits, transactions, montantsExécution du contrat (Art. 6.1.b RGPD) et obligation légale comptable (Art. 6.1.c RGPD)
Envoi de notifications pushJetons de notification, contenu des notificationsConsentement (Art. 6.1.a RGPD)
Authentification via Apple ou GoogleDonnées d'authentification socialeExécution du contrat (Art. 6.1.b RGPD)
Mise en relation coach-client et partage de donnéesDonnées de profil, de séances, de suivi sportif, de créditsExécution du contrat (Art. 6.1.b RGPD) — voir Section 4

4. Partage des données entre coach et client

L'Application est conçue pour permettre une collaboration entre un coach sportif et ses clients. Dans ce cadre, lorsqu'un client rejoint un coach via l'Application, les données suivantes du client sont accessibles au coach :

  • Profil : prénom, nom, numéro de téléphone, adresse e-mail, photo de profil
  • Mesures corporelles : poids et mensurations (sous réserve du consentement explicite du client — voir Section 10)
  • Séances : historique complet des réservations et séances réalisées
  • Entraînements : programmes, exercices, performances
  • Crédits : solde et historique des transactions de crédits

Ce partage de données est inhérent au fonctionnement du service de coaching personnalisé et repose sur l'exécution du contrat de service. Le client est informé de l'étendue de ce partage avant de rejoindre un coach.

Le coach s'engage, en qualité d'utilisateur de l'Application, à ne pas utiliser ces données à des fins autres que la prestation de coaching et à respecter la confidentialité des informations de ses clients.

En cas de fin de la relation coach-client, les modalités de conservation des données historiques par le coach seront précisées dans les Conditions Générales d'Utilisation.

5. Sous-traitants et destinataires des données

Nous faisons appel aux sous-traitants suivants pour le fonctionnement de l'Application. Ces prestataires agissent uniquement sur nos instructions et dans le cadre de contrats conformes à l'article 28 du RGPD :

Sous-traitantRôleLocalisation des données
Supabase, Inc.Hébergement de la base de données, authentification des utilisateursUnion Européenne (infrastructure AWS, région EU)
Expo (Expo, Inc.)Envoi de notifications pushÉtats-Unis (voir Section 6)
Apple Inc.Authentification via Sign in with AppleÉtats-Unis (voir Section 6)
Google LLCAuthentification via Google Sign-InÉtats-Unis (voir Section 6)

Vos données personnelles ne sont transmises à aucun autre tiers, sauf :

  • en cas d'obligation légale (demande d'une autorité judiciaire ou administrative compétente) ;
  • dans le cadre de la défense de nos droits en justice.

6. Transferts de données hors de l'Union Européenne

6.1. Hébergement principal

Votre base de données est hébergée par Supabase sur une infrastructure AWS située dans l'Union Européenne. Vos données principales (profil, séances, crédits, mesures corporelles) ne font l'objet d'aucun transfert hors de l'UE.

6.2. Transferts encadrés

Certains sous-traitants étant établis aux États-Unis, des transferts de données peuvent intervenir dans les cas suivants :

  • Expo (notifications push) : les jetons de notification push et le contenu des notifications transitent par les serveurs d'Expo situés aux États-Unis. Ce transfert est encadré par le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) et, le cas échéant, par les Clauses Contractuelles Types de la Commission européenne.

  • Apple et Google (authentification sociale) : lors de l'utilisation de Sign in with Apple ou Google Sign-In, des données d'authentification limitées (identifiant unique, nom, adresse e-mail) sont échangées avec les serveurs d'Apple Inc. ou de Google LLC. Ces transferts sont encadrés par les engagements respectifs de ces sociétés au titre du EU-US Data Privacy Framework et de leurs Data Processing Agreements.

Aucun autre transfert de données hors de l'Union Européenne n'est effectué.

7. Durée de conservation des données

Nous conservons vos données personnelles selon les durées suivantes :

Catégorie de donnéesDurée de conservation
Données de profil et d'identificationDurée de vie du compte, puis suppression à la clôture du compte
Données d'authentificationDurée de vie du compte
Données de séances et réservationsDurée de vie du compte, puis suppression à la clôture du compte
Données de suivi sportif (workouts, body metrics)Durée de vie du compte, puis suppression à la clôture du compte
Données de crédits et de facturationDurée de vie du compte, puis archivage pendant 10 ans après clôture (obligation légale comptable — Art. L.123-22 du Code de commerce)
Jetons de notification pushDurée de vie du compte ou jusqu'à retrait du consentement
Comptes inactifsConservation pendant 3 ans à compter de la dernière activité, puis suppression (conformément aux recommandations de la CNIL)

Suppression du compte

Vous pouvez demander la suppression de votre compte directement depuis l'Application (section Profil). La suppression entraîne l'effacement de l'ensemble de vos données personnelles, à l'exception des données soumises à une obligation légale de conservation (données comptables conservées pendant 10 ans sous forme archivée avec accès restreint).

8. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre l'accès non autorisé, la perte, l'altération ou la divulgation, conformément à l'article 32 du RGPD :

  • Chiffrement en transit : toutes les communications entre l'Application et nos serveurs sont chiffrées via le protocole HTTPS/TLS.
  • Chiffrement au repos : les données stockées sont chiffrées au repos sur l'infrastructure AWS.
  • Stockage sécurisé sur l'appareil : les jetons d'authentification sont stockés dans le coffre-fort sécurisé du système d'exploitation (Keychain sur iOS, Keystore sur Android).
  • Contrôle d'accès granulaire : des politiques de sécurité au niveau des lignes de la base de données (Row Level Security) garantissent que chaque utilisateur n'accède qu'à ses propres données et aux données autorisées.
  • Mots de passe : les mots de passe ne sont jamais stockés en clair ; ils sont hachés via les mécanismes de sécurité de notre prestataire d'authentification.

Notification de violation

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :

  • notifier la CNIL dans un délai de 72 heures suivant la prise de connaissance de la violation (Art. 33 RGPD) ;
  • vous informer dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés (Art. 34 RGPD).

9. Vos droits

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

DroitDescription
Droit d'accès (Art. 15)Obtenir la confirmation que vos données sont traitées et en recevoir une copie
Droit de rectification (Art. 16)Faire corriger des données inexactes ou incomplètes
Droit à l'effacement (Art. 17)Demander la suppression de vos données (sous réserve des obligations légales de conservation)
Droit à la limitation du traitement (Art. 18)Demander la suspension du traitement de vos données dans certains cas
Droit à la portabilité (Art. 20)Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
Droit d'opposition (Art. 21)Vous opposer au traitement de vos données pour des motifs légitimes
Droit de retirer votre consentementRetirer à tout moment votre consentement pour les traitements fondés sur celui-ci (données corporelles, notifications push), sans que cela ne remette en cause la licéité du traitement effectué avant le retrait

Comment exercer vos droits

Vous pouvez exercer vos droits par courrier électronique à l'adresse suivante :

hello@milou.studio

Merci de préciser dans votre demande votre identité (nom, prénom, adresse e-mail associée à votre compte) ainsi que le droit que vous souhaitez exercer.

Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe ou de nombre élevé de demandes, auquel cas vous en serez informé.

La suppression de votre compte peut être effectuée directement depuis l'Application, sans nécessité de nous contacter.

Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données personnelles n'est pas conforme à la réglementation, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • En ligne : www.cnil.fr/fr/plaintes
  • Par courrier : CNIL — 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07

10. Données sensibles — Mesures corporelles

Les mesures corporelles que vous pouvez renseigner dans l'Application (poids, mensurations) sont susceptibles de constituer des données relatives à la santé au sens de l'article 9 du RGPD, notamment lorsqu'elles sont utilisées par votre coach dans le cadre de l'élaboration de programmes d'entraînement personnalisés.

À ce titre :

  • Consentement explicite requis : la collecte de vos données corporelles repose sur votre consentement explicite (Art. 9.2.a RGPD), recueilli de manière distincte lors de la première saisie de ces données dans l'Application.

  • Caractère facultatif : la saisie de vos données corporelles est entièrement facultative. Vous pouvez utiliser l'ensemble des autres fonctionnalités de l'Application sans renseigner ces informations.

  • Retrait du consentement : vous pouvez retirer votre consentement à tout moment depuis les paramètres de l'Application ou en nous contactant. Le retrait du consentement entraîne la suppression de vos données corporelles et n'affecte pas la licéité du traitement effectué avant le retrait.

  • Accès restreint : vos données corporelles ne sont accessibles qu'à vous-même et au coach auquel vous êtes rattaché dans l'Application.

  • Mesures de sécurité renforcées : ces données bénéficient des mêmes protections techniques que l'ensemble des données stockées (chiffrement en transit et au repos, contrôle d'accès par Row Level Security).

11. Mineurs

L'Application est destinée à un public majeur (18 ans et plus). Nous ne collectons pas sciemment de données personnelles de personnes âgées de moins de 18 ans.

Lors de la création d'un compte, l'utilisateur déclare être âgé d'au moins 18 ans. Si nous découvrons qu'un mineur a créé un compte sans autorisation, nous procéderons à la suppression de ses données personnelles dans les meilleurs délais.

Si vous êtes parent ou tuteur légal et pensez que votre enfant mineur a fourni des données personnelles via l'Application, veuillez nous contacter à hello@milou.studio afin que nous puissions prendre les mesures nécessaires.

12. Notifications push

L'Application utilise le service Expo Push Notifications pour vous envoyer des notifications sur votre appareil mobile.

Types de notifications

Les notifications envoyées sont exclusivement des notifications de service :

  • rappels de séances à venir ;
  • confirmations de réservation ;
  • notifications relatives à vos crédits ;
  • messages de votre coach.

Aucune notification à caractère publicitaire ou marketing n'est envoyée.

Consentement

L'envoi de notifications push nécessite votre autorisation, recueillie via la demande de permission native de votre système d'exploitation (iOS ou Android). Vous êtes libre de refuser cette autorisation sans que cela n'affecte l'utilisation des autres fonctionnalités de l'Application.

Désactivation

Vous pouvez désactiver les notifications push à tout moment via les réglages de votre appareil (Réglages > Notifications > milou sur iOS, ou Paramètres > Applications > milou > Notifications sur Android).

13. Cookies et traceurs

L'Application étant une application mobile native, elle n'utilise pas de cookies.

L'Application n'intègre aucun :

  • traceur publicitaire ou analytique ;
  • SDK de suivi comportemental ;
  • identifiant publicitaire de l'appareil (IDFA sur iOS, GAID sur Android) ;
  • outil de crash reporting tiers.

Aucun consentement au titre de la directive ePrivacy n'est donc requis à ce stade.

14. Modification de la présente politique

Nous nous réservons le droit de modifier la présente Politique de Confidentialité à tout moment pour l'adapter aux évolutions légales, réglementaires ou fonctionnelles de l'Application.

En cas de modification substantielle :

  • vous serez informé via une notification dans l'Application et/ou par e-mail ;
  • votre consentement sera à nouveau recueilli si la modification porte sur un traitement fondé sur le consentement (notamment les données corporelles ou les notifications push) ;
  • la date de dernière mise à jour sera actualisée en tête du présent document.

Nous vous invitons à consulter régulièrement cette page pour prendre connaissance de toute modification.

15. Contact

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits, vous pouvez nous contacter :

  • Par e-mail : hello@milou.studio
  • Par courrier : milou studio — 7 rue saint vincent de paul, 75010 Paris

Nous nous engageons à traiter votre demande avec diligence et dans le respect des délais légaux.

16. Droit applicable et juridiction compétente

La présente Politique de Confidentialité est régie par le droit français. En cas de litige relatif à l'interprétation ou à l'exécution de la présente politique, et à défaut de résolution amiable, les tribunaux compétents seront ceux du ressort du siège social du responsable de traitement.

Politique de Confidentialité — milou — Version 1.0