CarbCam – Politique de confidentialité

Le responsable du traitement au sens du Règlement général sur la protection des données (RGPD) est :

Gérant : Martin Schiftan · Registre du commerce : Amtsgericht Freiburg i. Br., HRB724192 · N° TVA : DE343662047

Pour toute demande relative à la protection des données (accès, suppression, rectification, opposition), veuillez utiliser les coordonnées indiquées ci-dessus ou le formulaire de contact.

CarbCam est une application mobile permettant aux utilisateurs de photographier leurs repas. L'application envoie ces photos pour analyse au serveur de ns.10be.de. Le serveur transmet ensuite l'image à une interface d'IA externe choisie par l'utilisateur ou l'administrateur du serveur (actuellement pris en charge : Anthropic Claude API, Google Gemini API, OpenAI API, Zhipu GLM API, Microsoft Azure OpenAI). Les estimations nutritionnelles retournées (glucides, lipides, protéines, UPF, index glycémique) sont transmises à l'application et affichées à l'utilisateur.

CarbCam ne nécessite aucune inscription avec nom ou adresse e-mail. Pour associer l'appareil au quota/abonnement, un identifiant d'installation anonyme (chaîne hexadécimale de 24 caractères) est généré localement lors du premier lancement de l'application et transmis à chaque requête.

3.1 Données collectées automatiquement à chaque requête

• Identifiant d'installation : chaîne hexadécimale de 24 caractères, générée localement lors du premier lancement de l'application. Aucune traçabilité vers une personne physique.
• Adresse IP : enregistrée par le serveur web dans les journaux standard (7 jours max., puis anonymisée).
• User-Agent/version de l'application : pour les vérifications de compatibilité et l'analyse des erreurs.
• Horodatage et code de statut HTTP de la requête.

3.2 Contenus générés par l'utilisation de l'application

• Photo du repas (temporaire) : envoyée au serveur puis transmise à l'interface d'IA. L'image originale n'est pas conservée de manière permanente après l'analyse.
• Hash de la photo & miniature réduite : un hash SHA-512 de l'image ainsi qu'une miniature fortement réduite sont stockés dans le cache d'analyse, afin de pouvoir répondre plus rapidement et à moindre coût aux photos identiques ou similaires (correspondance par hash perceptuel).
• Résultat de l'analyse : la réponse de l'IA (noms des aliments, tailles des portions, valeurs nutritionnelles) est stockée dans le cache avec le hash.
• Événements d'analyse : pour chaque requête (scan alimentaire comme analyse de la courbe glycémique), une ligne contenant l'identifiant d'installation, l'horodatage, le fournisseur, le modèle et le type de correspondance en cache est enregistrée dans une table d'événements. Cette table sert au comptage du quota (le nombre d'analyses disponibles par mois dépend du forfait choisi ; les scans et les analyses glycémiques sont comptés ensemble dans la limite mensuelle) et à la prévention de la fraude.
• Historique des photos (optionnel) : les photos réduites peuvent, à la demande de l'utilisateur, être associées à un historique personnel via l'identifiant d'installation, afin que l'utilisateur puisse retrouver son historique après une réinstallation de l'application.
• Feedback : les évaluations et commentaires soumis par l'utilisateur concernant une analyse sont associés à l'identifiant d'installation et à l'entrée de cache concernée.

3.3 Données dans le cadre des opérations de paiement

• Store Customer-ID et Subscription-ID pour associer l'installation à l'abonnement.
• Forfait, statut, durée et périodes de facturation de l'abonnement.
• Données de facturation (nom, adresse, moyen de paiement) sont traitées exclusivement par Store et ne nous sont pas communiquées.
• Factures sont mises à disposition via le compte du store (Apple / Google).

3.4 Optionnel : Bring Your Own Key (BYOK)

• Clé API propre de l'utilisateur pour Anthropic/Google est utilisée sur le serveur uniquement pour la transmission à l'IA et n'est pas conservée de manière permanente (uniquement en mémoire vive pendant la durée de la requête).
• Une adresse e-mail de contact peut être fournie de manière optionnelle pour les demandes d'assistance BYOK.
• Les requêtes BYOK (Bring-Your-Own-Key) ne sont pas décomptées du contingent du forfait choisi.

• Fourniture de la fonctionnalité principale (analyse de photos, cache, feedback) : art. 6, par. 1, point b) du RGPD (exécution du contrat ou mesures précontractuelles).
• Mise en cache et amélioration de la qualité (p. ex. correspondance par hash perceptuel, corrections par l'administrateur contre les erreurs récurrentes de l'IA) : art. 6, par. 1, point f) du RGPD (intérêt légitime à fournir le service de manière efficace et économique ; l'intérêt des personnes concernées à une empreinte réduite des images est préservé par l'utilisation de miniatures fortement réduites et la suppression automatique au bout de 30 jours).
• Facturation et traitement des paiements : art. 6, par. 1, point b) du RGPD et art. 6, par. 1, point c) du RGPD (obligations légales de conservation).
• Prévention de la fraude et lutte contre les abus (quota, limites de débit) : art. 6, par. 1, point f) du RGPD.
• Journaux du serveur et sécurité : art. 6, par. 1, point f) du RGPD.

Aucune prise de décision automatisée au sens de l'art. 22 du RGPD ayant un effet juridique sur les personnes concernées n'a lieu. Les estimations nutritionnelles assistées par IA sont de pures indications informatives et ne constituent pas des décisions au sens juridique.

Pour fournir le service, des données sont transmises aux sous-traitants et tiers suivants :

5.1 Anthropic PBC (Claude API)

Siège : San Francisco, CA, États-Unis. Les photos et un prompt textuel sont transmis pour analyse à l' API Anthropic Claude. Anthropic s'est contractuellement engagé à ne pas utiliser les données transmises à des fins d'entraînement (politique de zéro conservation pour les clients API). Base du transfert : clauses contractuelles types de l'UE (CCT). Politique de confidentialité : anthropic.com/privacy.

5.2 Google LLC (Gemini API, optionnel)

Siège : Mountain View, CA, États-Unis. L'administrateur peut optionnellement configurer le serveur pour que les requêtes soient traitées via l'API Google Gemini. Dans ce cas, les photos et le prompt sont transmis à Google. Base : clauses contractuelles types de l'UE. Politique de confidentialité : policies.google.com/privacy.

5.3 OpenAI, L.L.C.

Siège : San Francisco, CA, États-Unis. L'utilisateur (via les paramètres) ou l'administrateur peut optionnellement envoyer des requêtes à l'API OpenAI. Dans ce cas, les photos et le prompt sont transmis à OpenAI. Base : clauses contractuelles types de l'UE. Politique de confidentialité : openai.com/policies.

5.4 Zhipu AI

Siège : Pékin, République populaire de Chine. L'utilisateur peut optionnellement envoyer des requêtes à l'API Zhipu GLM. Important : La République populaire de Chine est considérée au regard du RGPD comme un pays tiers non sûr sans décision d'adéquation. L'utilisation de ce fournisseur se fait sur choix explicite de l'utilisateur et à ses propres risques ; des clauses contractuelles types ont été conclues avec le fournisseur. Politique de confidentialité : bigmodel.cn/dev/api/security/privacy.

5.5 Microsoft Azure (OpenAI Service)

Siège de la partie contractante : Microsoft Ireland Operations Ltd., Dublin, Irlande. Traitement des données dans les régions Azure de l'UE. Base : cadre contractuel Microsoft (DPA) et clauses contractuelles types de l'UE, dans la mesure où des données sont transférées vers des pays tiers. Politique de confidentialité : privacy.microsoft.com.

5.6 Store Payments Europe, Ltd.

Siège : Dublin, Irlande. Traitement des paiements, gestion des abonnements, facturation, portail client. Lors des opérations de paiement, le nom, l'adresse, le moyen de paiement et l'adresse e-mail sont transmis directement à Store et ne nous sont pas communiqués. Politique de confidentialité : apple.com/legal/privacy / policies.google.com/privacy.

5.7 Open Food Facts & USDA FoodData Central

Pour un contrôle de qualité supplémentaire (Refine-Cross-Check), le serveur peut, après une analyse par IA, effectuer une comparaison textuelle avec les bases de données publiques d'Open Food Facts (France) et de l'USDA FoodData Central (États-Unis). À cette occasion, aucune photo n'est transmise, mais uniquement des noms d'aliments sous forme de requête textuelle.

5.8 Hébergement et serveurs

Les serveurs de ns.10be.de sont situés en Allemagne, en Finlande et en France. Les données CarbCam sont traitées et stockées sur les serveurs en Allemagne.

• Cache d'analyse (hash, miniature, réponse de l'IA) : 30 jours, puis suppression automatique.
• Index de hash perceptuel : 30 jours (lié au cache).
• Événements d'analyse (comptage du quota) : au minimum pendant la période de facturation/quota en cours (30 jours pour le forfait Free), au-delà agrégés à des fins statistiques.
• Historique des photos (optionnel, lié à l'identifiant d'installation) : jusqu'à la suppression par l'utilisateur ou jusqu'à l'arrêt du service.
• Feedback : jusqu'au traitement par l'administrateur, plus un délai raisonnable pour le contrôle qualité.
• Données d'abonnement/paiement : pendant la durée de la relation contractuelle et au-delà pendant les délais légaux de conservation (en général 10 ans conformément au droit commercial et fiscal).
• Journaux du serveur web : 7 jours max., puis anonymisation automatique.
• Clé BYOK : non persistée, uniquement en mémoire vive pendant la durée de chaque requête.

En vertu du RGPD, vous disposez notamment des droits suivants :

• Droit d'accès (art. 15 du RGPD) aux données stockées relatives à votre identifiant d'installation.
• Droit de rectification des données inexactes (art. 16 du RGPD).
• Droit à l'effacement (art. 17 du RGPD), dans la mesure où aucune obligation légale de conservation ne s'y oppose.
• Droit à la limitation du traitement : CarbCam ne propose pas de restriction granulaire des différentes finalités de traitement. Vous pouvez soit accepter le traitement des données dans son intégralité, soit y mettre fin en supprimant l'application ou en réinitialisant votre identifiant d'installation.
• Droit à la portabilité des données (art. 20 du RGPD) : les données de repas (glucides, valeurs nutritionnelles, horodatages) sont synchronisées via Nightscout et disponibles dans les sauvegardes ns.10be.de. Les photos ne sont pas archivées sur le serveur – activez « Enregistrer les photos dans la galerie » dans les paramètres de l'application pour conserver des copies locales.
• Droit d'opposition aux traitements fondés sur l'intérêt légitime (art. 21 du RGPD).
• Droit de réclamation auprès d'une autorité de contrôle (art. 77 du RGPD). L'autorité compétente est p. ex. le Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

Pour exercer vos droits ou pour toute question relative à la protection des données, vous pouvez nous contacter à tout moment à l'adresse support@carbcam.app ou via le formulaire de contact. En cas de demande de suppression sans connexion, veuillez indiquer l'identifiant d'installation de 24 caractères afin que les enregistrements concernés puissent être identifiés.

• La transmission des données entre l'application et le serveur s'effectue exclusivement via HTTPS (TLS).
• L'accès aux serveurs est réservé au fournisseur et s'effectue via SSH avec authentification par clé publique.
• Les bases de données ne sont pas directement accessibles de l'extérieur.
• Les sauvegardes sont créées de manière chiffrée et écrasées après trois jours maximum, sauf pour la base de données principale.
• Les clés BYOK sont conservées exclusivement en mémoire vive pendant la durée d'une requête et ne sont jamais persistées sur disque ni journalisées.

CarbCam étant en phase de développement BÊTA actif, cette politique de confidentialité peut être adaptée lorsque de nouvelles fonctionnalités sont ajoutées, que des sous-traitants changent ou que des exigences légales le nécessitent. La version en vigueur est disponible à l'adresse carbcam.app/fr/privacy.html. Les modifications importantes seront communiquées dans l'application ou par la newsletter.