Privacy Policy

Last updated: March 18, 2026 (GDPR-compliant version)

1. Data Controller

Publisher: Elevio

Contact email: mail@app-elevio.com

Domain: app-elevio.com

Data Protection Officer (DPO): mail@app-elevio.com

2. Personal Data Collected

A) Registration and authentication

Elevio only collects data strictly necessary for its operation:

Email address — used for authentication via Supabase (account creation, login, password recovery).
User identifier — unique technical ID automatically generated by Supabase to associate your data with your account.
Daily tracking data — energy, mood, sleep, stress, physical activity, diet, expenses. This data is entered manually by you alone.
Network data — personal contacts, private notes associated with your contacts, messages exchanged in your private groups.
Directory data — places, books, movies, with your personal notes and impressions.

We do not collect any geolocation data, advertising identifiers, usage data for analytical purposes, or any data from other applications or sensors on your device.

B) Wellness and health data

Daily entries: mood, energy, sleep, physical/mental health
Trends: analysis of behavioral patterns over time
Personal history: data accumulated since account creation

C) Network and contact data

Trust network: identifiers of other added users (emails)
Data sharing: data voluntarily shared with the network

D) Technical and usage data

IP address (via Supabase server logs)
Device type (iOS)
App version
Error logs (to improve stability)

3. Legal Basis for Processing

GDPR Article 6(1)(a) - Consent:

The user explicitly consents to the collection and processing of their data upon registration
This consent can be withdrawn at any time via the app settings

Processing of health data (Article 9 GDPR):

Explicit user consent for processing sensitive data
No automatic sharing with third parties (voluntary sharing only via trust network)

4. Purposes of Processing

Account authentication and security
Daily tracking functionality
Trend analysis (algorithms on personal data)
Trust network management (connections between users)
User communication (support, important notifications)
Service improvement (data anonymization for stability analysis)
Legal compliance (retention for legal obligations)

5. Data Retention

Active account — Duration of subscription — Necessary for service
Email & password — Until account deletion — Authentication
Daily entries — Until account deletion — User history
Network data — Until account deletion — Trust network management
Technical logs — 30 days max — Troubleshooting only
Deleted data — Permanently deleted — Right to be forgotten

6. Data Recipients

No sharing with commercial third parties

No sales to advertisers
No sharing with marketing partners
No data brokers

Technical partners (infrastructure only)

Supabase (PostgreSQL) — Cloud database — All accounts & data — EU servers, encrypted
Supabase Auth — Authentication — Email, password hash — Secure OAuth2
AWS SES — Transactional emails — Email only — EU-North-1 servers

Data processing agreement: All providers have a DPA (Data Processing Agreement) in place.

7. Data Transfers Outside the EU

No transfers outside the EU

Supabase: Servers in Europe
AWS SES: Region eu-north-1 (Sweden)
Data stored and processed in the EU only

8. Where is Your Data Stored?

Supabase (infrastructure host, servers located in the European Union) — stores your email address, user identifier and synchronized data (network, directory).
Local storage on your device (AsyncStorage / native iOS storage) — some daily tracking data is kept locally for quick offline access.

No data is transferred outside the European Economic Area.

9. Data Security

Technical measures:

Encryption in transit: TLS 1.2+ (HTTPS)
Encryption at rest: PostgreSQL encryption
Authentication: OAuth2, secure JWT tokens
Passwords: bcrypt hashing
Local AsyncStorage: Minimal sensitive data

Organizational measures:

Limited data access
No logging of sensitive data
Access audit logs
Incident response plan

10. Your Rights

Right of access (Article 15 GDPR)

Request a complete copy of your personal data.

Procedure: Send request to mail@app-elevio.com

Right to rectification (Article 16 GDPR)

Correct your incomplete or inaccurate data.

Procedure: Use in-app settings or contact the DPO

Right to erasure (Article 17 GDPR)

Request permanent deletion of your account and data.

Via app: Settings > Delete account
Or written request to the DPO (mail@app-elevio.com)
Permanent deletion within 30 days

Right to restriction of processing (Article 18 GDPR)

Request a temporary freeze on processing of your data.

Right to data portability (Article 20 GDPR)

Receive your data in a structured format and transfer it.

Format: JSON via user export

Right to object (Article 21 GDPR)

Object to the processing of personal data.

Rights related to automated decisions (Article 22 GDPR)

No fully automated decisions are made about your data.

11. Complaints to a Supervisory Authority

If you believe your rights are not being respected:

CNIL (France)

3 Place de Fontenoy, 75007 Paris
www.cnil.fr
plainte@cnil.fr

Local authority: Depending on your EU country of residence

12. Cookies and Tracking Technologies

No third-party cookies for tracking/advertising
Technical cookies only (session authentication)
Local AsyncStorage for user preferences

13. Minimum Age Requirement

Elevio is intended for users aged 16 and over
For users aged 16-17: parental consent strongly recommended
We do not intentionally collect data from minors without parental consent
Immediate deletion if violation detected

14. Changes to This Policy

We may modify this policy to comply with legal developments or improve protection.

Major change = email notification
Minor change = in-app notification
New version = archiving of the previous one

Effective: 15 days after notification

15. Contact and Exercise of Rights

Data Protection Officer

Email: mail@app-elevio.com

Guaranteed response: 30 days (GDPR legal deadline)

16. Effective Date

Effective: March 18, 2026

Last updated: March 18, 2026

Politique de confidentialité

Dernière mise à jour : 18 Mars 2026 (Version RGPD compliant)

1. Identification du Responsable de Traitement

Éditeur : Elevio

Email de contact : mail@app-elevio.com

Domaine : app-elevio.com

Délégué à la Protection des Données (DPO) : mail@app-elevio.com

2. Données Personnelles Collectées

A) À l'inscription et authentification

Elevio collecte uniquement les données strictement nécessaires à son fonctionnement :

Adresse e-mail — utilisée pour l'authentification via Supabase (création de compte, connexion, récupération de mot de passe).
Identifiant utilisateur — identifiant technique unique généré automatiquement par Supabase pour associer vos données à votre compte.
Données de suivi quotidien — énergie, humeur, sommeil, stress, activité physique, alimentation, dépenses. Ces données sont saisies manuellement par vous et vous seul.
Données réseau — contacts personnels, notes privées associées à vos contacts, messages échangés dans vos groupes privés.
Données répertoire — lieux, livres, films, avec vos notes et impressions personnelles.

Nous ne collectons aucune donnée de géolocalisation, aucun identifiant publicitaire, aucune donnée d'usage à des fins analytiques, et aucune donnée provenant d'autres applications ou capteurs de votre appareil.

B) Données de bien-être et santé

Entrées quotidiennes : humeur, énergie, sommeil, santé physique/mentale
Tendances : analyse des patterns comportementaux sur la durée
Historique personnel : données accumulées depuis la création du compte

C) Données de réseau et contacts

Réseau de confiance : identifiants des autres utilisateurs ajoutés (emails)
Partage de données : données volontairement partagées avec le réseau

D) Données techniques et d'utilisation

Adresse IP (via logs serveur Supabase)
Type d'appareil (iOS)
Version de l'app
Logs d'erreur (pour améliorer la stabilité)

3. Base Légale du Traitement

Article RGPD 6(1)(a) - Consentement :

L'utilisateur consent explicitement à la collecte et traitement de ses données lors de l'inscription
Ce consentement peut être retiré à tout moment via les paramètres de l'app

Traitement des données de santé (Article 9 RGPD) :

Consentement explicite de l'utilisateur pour traitement de données sensibles
Pas de partage automatique avec tiers (partage volontaire uniquement via réseau de confiance)

4. Finalités du Traitement

Authentification et sécurité du compte
Fonctionnalité de suivi quotidien
Analyse de tendances (algorithmes sur données personnelles)
Gestion du réseau de confiance (connexions entre utilisateurs)
Communication avec l'utilisateur (support, notifications importantes)
Amélioration du service (anonymisation de données pour analyser stabilité)
Conformité légale (conservation pour obligations légales)

5. Durée de Conservation

Compte actif — Durée de l'abonnement — Nécessaire au service
Email & mot de passe — Jusqu'à suppression du compte — Authentification
Entrées quotidiennes — Jusqu'à suppression du compte — Historique utilisateur
Données réseau — Jusqu'à suppression du compte — Gestion réseau de confiance
Logs techniques — 30 jours max — Troubleshooting uniquement
Données supprimées — Suppression définitive — Respect du droit à l'oubli

6. Destinataires des Données

Pas de partage avec tiers commerciaux

Pas de vente à des annonceurs
Pas de partage avec des partenaires marketing
Pas de data brokers

Partenaires techniques (infrastructure uniquement)

Supabase (PostgreSQL) — Base de données cloud — Tous les comptes & données — Serveurs UE, chiffrement
Supabase Auth — Authentification — Email, hash mot de passe — OAuth2 sécurisé
AWS SES — Envoi emails transactionnels — Email uniquement — Serveurs EU-North-1

Contrat de traitement des données : Tous les fournisseurs ont un DPA (Data Processing Agreement) en place.

7. Transferts de Données Hors UE

Aucun transfert hors UE

Supabase : Serveurs en Europe
AWS SES : Région eu-north-1 (Suède)
Données stockées et traitées en UE uniquement

8. Où sont stockées vos données ?

Supabase (hébergeur d'infrastructure, serveurs situés dans l'Union européenne) — stocke votre adresse e-mail, votre identifiant utilisateur et vos données synchronisées (réseau, répertoire).
Stockage local sur votre appareil (AsyncStorage / stockage natif iOS) — certaines données de suivi quotidien sont conservées localement pour un accès hors ligne rapide.

Aucune donnée n'est transférée en dehors de l'Espace économique européen.

9. Sécurité des Données

Mesures techniques :

Chiffrement en transit : TLS 1.2+ (HTTPS)
Chiffrement au repos : PostgreSQL encryption
Authentification : OAuth2, tokens JWT sécurisés
Mots de passe : Hashage bcrypt
AsyncStorage local : Données sensibles minimales

Mesures organisationnelles :

Accès limité aux données
Pas de logs de données sensibles
Logs d'audit des accès
Plan de réaction aux incidents

10. Vos Droits

Droit d'accès (Article 15 RGPD)

Demander une copie complète de vos données personnelles.

Procédure : Envoyer demande à mail@app-elevio.com

Droit de rectification (Article 16 RGPD)

Corriger vos données incomplètes ou inexactes.

Procédure : Utiliser les paramètres in-app ou contacter le DPO

Droit à l'oubli / Suppression (Article 17 RGPD)

Demander la suppression définitive de votre compte et données.

Via app : Paramètres > Supprimer le compte
Ou demande écrite au DPO (mail@app-elevio.com)
Suppression définitive sous 30 jours

Droit à la limitation du traitement (Article 18 RGPD)

Demander un gel temporaire du traitement de vos données.

Droit à la portabilité (Article 20 RGPD)

Recevoir vos données dans un format structuré et les transférer.

Format : JSON via export utilisateur

Droit d'opposition (Article 21 RGPD)

S'opposer au traitement de données à caractère personnel.

Droits liés aux décisions automatisées (Article 22 RGPD)

Aucune décision entièrement automatisée n'est prise sur vos données.

11. Plainte Auprès d'une Autorité de Contrôle

Si vous estimez que vos droits ne sont pas respectés :

CNIL (France)

3 Place de Fontenoy, 75007 Paris
www.cnil.fr
plainte@cnil.fr

Autorité locale : Selon votre lieu de résidence UE

12. Cookies et Technologies de Suivi

Pas de cookies tiers pour tracking/publicités
Cookies techniques uniquement (session authentication)
Local AsyncStorage pour préférences utilisateur

13. Âge Minimum Requis

Elevio est destiné aux utilisateurs 16 ans et plus
Pour les utilisateurs 16-17 ans : consentement parental fortement recommandé
Nous ne collectons pas intentionnellement de données d'utilisateurs mineurs sans consentement parental
Suppression immédiate si détection de violation

14. Modification de cette Politique

Nous pouvons modifier cette politique pour nous conformer aux évolutions légales ou améliorer la protection.

Modification majeure = notification email
Modification mineure = notification dans l'app
Nouvelle version = archivage de l'ancienne

Entrée en vigueur : 15 jours après notification

15. Contact et Exercice des Droits

Délégué à la Protection des Données

Email : mail@app-elevio.com

Réponse garantie : 30 jours (délai légal RGPD)

16. Date de Mise en Vigueur

Effective : 18 Mars 2026

Dernière mise à jour : 18 Mars 2026