Privacy policy
Last updated: April 22, 2026
La présente politique décrit comment Innoflow SAS traite les données personnelles des utilisateurs du site horeb.app et de l'application Horeb (iOS, Android, web), conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi Informatique et Libertés.
1. Responsable du traitement
Innoflow SAS, capital 1 000 €, 75 allée du Talus, 13540 Aix‑en‑Provence, RCS Aix‑en‑Provence 913 632 808.
Contact : via le formulaire de contact du site, en précisant « RGPD » en objet, ou depuis l'application via le menu « Profil → Aide & Support ».
2. Données traitées
Nous traitons les données suivantes :
- Compte: email, mot de passe (stocké haché), langue, date d'inscription.
- Contenus saisis dans l'app : objectifs, habitudes, priorités et grâces du jour, réflexions, sessions (prière, respiration, froid, étirements, sport), favoris, routines et postures personnalisées.
- Formulaire de contact du site : nom, e‑mail, objet et message ; utilisés uniquement pour traiter votre demande.
- Abonnement Premium: identifiants client Stripe (web) ou RevenueCat (iOS/Android), statut et dates d'abonnement. Aucune donnée bancaire n'est stockée — les paiements transitent uniquement par Stripe, Apple ou Google.
- Techniques: adresse IP, type d'appareil, journaux d'événements, token de notification push (si activé).
Le site et l'application ne collectent pasde géolocalisation, de contacts, de photos (hors celles que vous ajoutez volontairement à une posture), ni de données de santé au sens médical. Aucun compte n'est autorisé pour les mineurs de moins de 15 ans.
Les contenus que vous saisissez peuvent refléter vos convictions religieuses (article 9 RGPD). Leur traitement repose sur votre consentement explicite, matérialisé par leur saisie volontaire, et peut être retiré à tout moment par suppression des données ou du compte.
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion du compte, fourniture des fonctionnalités | Exécution du contrat (art. 6.1.b RGPD) |
| Traitement des convictions religieuses reflétées par vos contenus | Consentement explicite (art. 9.2.a RGPD) |
| Réponse aux demandes reçues via le formulaire de contact | Intérêt légitime / consentement |
| Abonnement Premium, paiement, facturation | Exécution du contrat + obligation légale (comptabilité) |
| Emails transactionnels (bienvenue, reset mot de passe, reçus) | Exécution du contrat |
| Mesure d'audience du site (Matomo, avec consentement) | Consentement (art. 6.1.a RGPD) |
| Sécurité, prévention de la fraude | Intérêt légitime (art. 6.1.f RGPD) |
| Obligations comptables et légales | Obligation légale (art. 6.1.c RGPD) |
4. Sous‑traitants et transferts
Vos données ne sont ni vendues ni louées. Elles sont communiquées uniquement aux sous‑traitants nécessaires à la fourniture du service, encadrés par des contrats conformes à l'article 28 du RGPD :
| Sous‑traitant | Rôle | Localisation |
|---|---|---|
| Supabase Inc. | Hébergement, base de données, authentification | UE (Francfort) |
| Vercel Inc. | Hébergement du site et de l'application web | UE / US |
| Matomo Cloud | Mesure d'audience du site (avec consentement) | UE |
| Stripe Payments Europe Ltd | Paiement web | Irlande / UE |
| RevenueCat Inc. | Abonnements mobiles | US |
| Apple / Google | Distribution et paiements mobiles | UE / Monde |
| Sendinblue SA (Brevo) | Emails transactionnels et formulaire contact | France |
Les transferts éventuels hors Union européenne sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et, le cas échéant, par le EU‑US Data Privacy Framework.
5. Durées de conservation
- Compte actif et contenus : pendant toute la durée du compte.
- Compte inactif : suppression ou anonymisation après 3 ans et 6 mois sans connexion.
- Compte supprimé : suppression immédiate des données identifiantes ; archivage technique (sauvegardes) pendant 30 jours maximum.
- Messages envoyés via le formulaire de contact du site : 3 ans à compter du dernier échange.
- Factures et pièces comptables : 10 ans (article L.123‑22 du Code de commerce).
- Logs techniques : 12 mois maximum.
- Messages de support : 3 ans après le dernier contact.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants : accès, rectification, effacement, portabilité, limitation, opposition, retrait du consentement, et directives post‑mortem.
Exercer vos droits directement dans l'application
- Modifier votre profil et votre mot de passe : écran « Profil ».
- Exporter vos données au format JSON : « Profil → Exporter mes données ».
- Supprimer votre compte et toutes vos données : « Profil → Supprimer mon compte ».
Nous contacter
Toute autre demande peut être adressée via le formulaire de contact du site(objet : « RGPD ») ou, depuis l'application, via le menu « Profil → Aide & Support ». Une réponse vous est apportée dans un délai maximal d'un (1) mois.
Réclamation CNIL
Si vous estimez que le traitement ne respecte pas la réglementation, vous pouvez saisir la CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — cnil.fr.
7. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement en transit (HTTPS/TLS), chiffrement au repos, mots de passe hachés, Row Level Security stricte sur chaque table (auth.uid() = user_id), gestion des accès par rôles, sauvegardes régulières.
En cas de violation de données présentant un risque élevé pour vos droits et libertés, vous en serez informé sans délai, conformément à l'article 34 du RGPD.
8. Cookies et stockage local
L'application mobilen'utilise pas de cookies : elle stocke localement un jeton de session sécurisé pour vous maintenir connecté.
Le site marketing (horeb.app)et l'application web (app.horeb.app) utilisent :
- des cookies strictement nécessaires(session, préférences de langue et de thème, protection CSRF), exemptés de consentement au titre de l'article 82 de la loi Informatique et Libertés ;
- un outil de mesure d'audience respectueux de la vie privée (Matomo Analytics, hébergé en Europe), chargé uniquement après votre consentement explicitevia notre bannière. Les données collectées (pages consultées, durée de visite, source de trafic, appareil, pays) sont strictement limitées à la mesure d'audience. Aucune donnée n'est partagée à des fins publicitaires, et aucun cookie tiers de marketing n'est déposé.
Vous pouvez accepter, refuser ou modifier votre choix à tout moment depuis la bannière de consentement ou depuis les préférences ci‑dessous.
Manage preferences
Update your choice about Matomo analytics at any time.
Current status
No choice saved
9. Prise de décision automatisée
Nous n'effectuons aucune décision entièrement automatisée produisant des effets juridiques à votre égard au sens de l'article 22 du RGPD.
10. Modifications
La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou fonctionnelles. Toute modification substantielle vous sera notifiée au moins quinze (15) joursavant son entrée en vigueur, par email ou par une notification dans l'application.