Adermio © 2026
Juridique

Politique de confidentialité

Version 2.2 — Dernière mise à jour : 08/07/2026

0. Préambule

La présente politique décrit comment Adermio (éditeur : Antoine Munch, SIRET 999 319 692 00011) collecte, utilise, protège et partage les données personnelles des utilisateurs du site adermio.com et de l'application mobile Adermio, conformément au RGPD (Règlement UE 2016/679) et à la Loi Informatique et Libertés.

⚠️ Important : Adermio traite des données de santé (photos de peau, état cutané, traitements dermatologiques) — données « sensibles » au sens de l'article 9 du RGPD. Leur traitement n'est possible qu'avec votre consentement explicite, donné lors de la création de votre compte ou de votre première analyse.

1. Responsable du traitement

Antoine Munch (entrepreneur individuel — micro-entreprise)
SIRET 999 319 692 00011
67120 Ergersheim, France
Email : contact@adermio.com
Téléphone : +33 6 22 30 17 31

Le responsable du traitement assure également la fonction de point de contact RGPD. Pour exercer vos droits : contact@adermio.com — objet « RGPD ».

2. Données que nous collectons

Données fournies directement par vous :

  • Identité : prénom (optionnel), nom (optionnel), âge, sexe
  • Coordonnées : adresse email
  • Authentification : mot de passe haché (jamais accessible en clair) ou identifiants OAuth Apple/Google
  • Santé cutanée : type de peau, préoccupations, allergies, traitements en cours, grossesse/allaitement, photos faciales
  • Santé alimentaire : photos de repas, journal alimentaire, intolérances (si vous utilisez l'onglet Nutrition)
  • Routine de soins : produits utilisés (marques, références), fréquences
  • Préférences : langue, fuseau horaire, préférences de notifications
  • Feedbacks : réponses aux questionnaires, messages au chat dermato, signalements

Données collectées automatiquement :

  • Données techniques : modèle d'appareil, version OS, version de l'app, langue, IDFV iOS
  • Données d'usage : pages consultées, fonctionnalités utilisées, séquence d'actions (PostHog)
  • Données de performance : crashes, erreurs, latence (Sentry)
  • Adresse IP : temporaire, non stockée hors logs techniques
  • Identifiants de session : tokens chiffrés (Keychain iOS)
  • Token push : identifiant Expo permettant l'envoi de notifications

Données collectées par les prestataires de paiement : les données bancaires sont traitées exclusivement par Apple. Adermio ne reçoit jamais vos données bancaires — uniquement un identifiant de transaction anonyme, le statut d'abonnement, le produit acheté, la date d'achat.

3. Finalités et bases légales

FinalitéBase légaleBase santé
Créer et gérer votre compteArt. 6.1.b — Exécution du contrat
Analyse cutanée par IAArt. 6.1.b — Exécution du contratArt. 9.2.a — Consentement explicite
Personnalisation routine + recommandationsArt. 6.1.b — Exécution du contratArt. 9.2.a
Notifications utilesArt. 6.1.a — Consentement
Gestion abonnement PremiumArt. 6.1.b — Exécution du contrat
Améliorer l'application (analyses produit anonymes)Art. 6.1.f — Intérêt légitime
Détecter et corriger les bugsArt. 6.1.f — Intérêt légitime
Obligations comptablesArt. 6.1.c — Obligation légale

Pas d'usage publicitaire. Adermio ne pratique pas le ciblage publicitaire, ne vend pas vos données, et n'envoie pas de communications marketing sans votre consentement explicite.

Analyse et conservation de vos photos. Vos photos sont analysées par un modèle d'intelligence artificielle opéré par Google (API Gemini), agissant en qualité de sous-traitant d'Adermio, dans le seul but de générer votre diagnostic et vos recommandations. Elles sont stockées de manière sécurisée dans l'Union européenne (Supabase, Francfort) et conservées tant que votre compte est actif, afin de permettre le fonctionnement du service (historique, suivi, comparaisons). Elles sont supprimées immédiatement et définitivement lorsque vous supprimez votre compte. Les photos d'un scan qui n'est jamais rattaché à un compte sont automatiquement supprimées sous 7 jours.

Détection de visage locale. Le cadrage du scan (distance, lumière, stabilité) repose sur une détection de visage exécutée localement sur votre appareil. Ces données de géométrie faciale sont éphémères : elles ne sont jamais stockées, jamais transmises à nos serveurs, et ne constituent pas un gabarit biométrique d'identification.

Aucun entraînement d'IA. Vos photos et vos données ne sont jamais utilisées pour entraîner des modèles d'intelligence artificielle — ni les nôtres, ni ceux de nos sous-traitants, qui s'y engagent contractuellement. Toute évolution future à cette fin ferait l'objet d'une demande de consentement explicite et préalable, conformément aux articles 6 et 9 du RGPD, avec possibilité de retrait à tout moment.

4. Sous-traitants et destinataires

Adermio fait appel aux sous-traitants suivants, conformément à l'article 28 du RGPD :

Sous-traitantRôleLocalisationTransfert
Supabase Inc.Base, auth, storage, edge fnsFrankfurt (UE)Pas de transfert hors UE
Sentry GmbHMonitoring d'erreursAllemagne (UE)Pas de transfert hors UE
PostHog Inc. (EU)Analytique produitFrankfurt (UE)Pas de transfert hors UE
Apple Inc.App Store, IAP, Sign in Apple, pushUSA + multi-régionsDPF UE-US
RevenueCat Inc.Gestion abonnements IAPUSADPF
Google LLCAPI Gemini — analyse IA des photos cutanées et des données de profil (diagnostics, routines, analyses alimentaires). Pas d'entraînement de modèles sur vos donnéesUSADPF
Amazon Web ServicesStockage temporaire des photos du scan réalisé sur le site web adermio.com (suppression sous 7 jours) — non utilisé par l'application mobileParis (UE)Pas de transfert hors UE
Vercel Inc.Hébergement adermio.comMulti-régionsDPF
Expo Inc.Notifications pushUSADPF
n8n (auto-hébergé)Orchestration des analyses IA (traitement des photos, génération des rapports)Allemagne (UE)

Les sous-traitants basés aux États-Unis bénéficient soit d'une décision d'adéquation européenne (UE-US Data Privacy Framework), soit de Clauses Contractuelles Types. Vérifiable sur dataprivacyframework.gov.

Protection équivalente garantie. Chaque sous-traitant — y compris Google (API Gemini), à qui vos photos et données de peau sont transmises pour l'analyse — est lié par un contrat de sous-traitance (article 28 du RGPD) l'obligeant à protéger vos données avec un niveau de sécurité et de confidentialité équivalent à celui garanti par Adermio, à ne les traiter que sur nos instructions documentées, et à ne pas les réutiliser à ses propres fins (notamment aucun entraînement de modèles d'IA).

Pas de tiers commerciaux. Adermio ne partage pas vos données avec des courtiers, partenaires marketing, ou réseaux publicitaires.

5. Durées de conservation

CatégorieDurée
Compte actif (email, profil)Tant que le compte est actif
Photos cutanées (diagnostic et suivi)Tant que le compte est actif — suppression immédiate et définitive avec le compte
Photos d'un scan jamais rattaché à un compte7 jours (suppression automatique)
Diagnostics, routines, bilans IATant que le compte est actif
Tracking quotidien (humeur, peau, alimentation)Tant que le compte est actif
Logs Sentry90 jours
Analytique PostHog12 mois
Authentification SupabaseCompte actif + 30 jours après suppression
Factures et données comptables10 ans (Art. L123-22 C. com.)

6. Sécurité des données

  • Chiffrement en transit : TLS 1.3 obligatoire sur tous les endpoints
  • Chiffrement au repos : AES-256 (Supabase), Keychain iOS chiffré
  • Authentification : OAuth 2.0 PKCE, bcrypt + HaveIBeenPwned
  • Contrôle d'accès : Row-Level Security PostgreSQL sur toutes les tables sensibles
  • Monitoring : alertes temps réel via Sentry
  • Sauvegardes : chiffrées Supabase quotidiennes (7 jours)

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés, Adermio notifiera la CNIL dans les 72 heures (Art. 33 RGPD) et, le cas échéant, informera les utilisateurs concernés (Art. 34).

7. Vos droits

DroitDescriptionComment l'exercer
Accès (Art. 15)Obtenir copie de vos donnéesParamètres → « Exporter mes données » (JSON complet)
Rectification (Art. 16)Corriger une donnée inexacteModifier dans votre profil, ou par email
Effacement (Art. 17)Supprimer compte + donnéesParamètres → « Supprimer mon compte » (immédiat)
Limitation (Art. 18)Suspendre temporairement le traitementDemande par email
Portabilité (Art. 20)Format réutilisableL'export JSON satisfait cette obligation
Opposition (Art. 21)S'opposer à un traitement (intérêt légitime)Demande par email avec motif
Retrait du consentement (Art. 7.3)Retirer le consentement donnéParamètres → désactiver notifications, ou email

Délai de réponse : Adermio s'engage à répondre dans le mois suivant la demande, prolongeable de 2 mois en cas de complexité (notification du report).

Recours CNIL : en cas de manquement, vous pouvez introduire une réclamation auprès de la CNIL — 3 Place de Fontenoy, 75007 Paris — www.cnil.fr.

8. Cookies et traceurs

Application mobile : pas de cookies. Stockage local sur l'appareil : jeton de session Supabase (Keychain iOS chiffré), cache React Query (MMKV chiffré), identifiant anonyme PostHog.

Site web : uniquement cookies strictement nécessaires (session, langue). Si des cookies analytiques ou marketing sont ajoutés à l'avenir, un bandeau de consentement conforme à la délibération CNIL n° 2020-091 sera mis en place.

9. Mineurs

L'application Adermio est destinée aux personnes âgées de 16 ans et plus (Art. 8 RGPD, âge du consentement numérique en France). Si vous avez moins de 16 ans, vous ne devez pas utiliser l'application sans le consentement explicite préalable d'un titulaire de l'autorité parentale. Si Adermio découvre qu'un compte appartient à un mineur sans consentement parental, le compte sera supprimé.

10. Modifications

Adermio se réserve le droit de modifier la présente politique à tout moment. Toute modification substantielle sera notifiée par email et via une bannière dans l'application au moins 15 jours avant son entrée en vigueur.

L'historique des versions est maintenu dans le dépôt code public d'Adermio.