💉 Version 1.1 · Entrée en vigueur : 1er juin 2025 · Mise à jour : 12 mai 2026

Politique de Confidentialité

🔒 Résumé en deux phrases : Vos données de santé restent exclusivement sur votre appareil, chiffrées si vous activez le code PIN. Les échanges réseau existent uniquement pour les achats et restaurations Premium via Apple (StoreKit) et RevenueCat.

1. Identité du responsable de traitement

Vaxelia est une application mobile de suivi vaccinal personnel développée et éditée par :

Mohammed Chahed
3, rue Massabo — 13002 Marseille, France
E-mail : contact@vaxelia.fr

L'application est disponible sur l'App Store d'Apple (iOS/iPadOS) et distribuée via cette plateforme. En tant que responsable de traitement au sens du RGPD, nous déterminons les finalités et les moyens du traitement des données personnelles décrit dans cette politique.

2. Principe fondamental : Privacy by Design

Vaxelia a été conçue dès l'origine selon le principe du Privacy by Design (Art. 25 RGPD). L'application :

Fonctionne hors ligne pour le suivi vaccinal (hors fonctionnalités Premium)
Ne nécessite aucun compte utilisateur ni inscription
Ne communique avec aucun serveur nous appartenant
Ne collecte aucune donnée d'analytique ou de comportement
N'intègre aucun SDK publicitaire

Toutes vos données médicales restent exclusivement stockées sur votre appareil. Ces données ne nous sont jamais transmises et nous n'y avons aucun accès.

3. Données traitées et finalités

3.1 Données que vous saisissez (stockées localement)

Type de donnée	Exemples	Finalité	Stockage
Profil patient	Prénom (optionnel), date de naissance, sexe	Calcul des recommandations vaccinales	Appareil uniquement
Historique vaccinal	Nom du vaccin, date, marque, numéro de lot	Suivi et statut de conformité	Appareil uniquement
Code PIN (optionnel)	Code 4–6 chiffres (hash PBKDF2 uniquement)	Dérivation clé AES-256	Appareil uniquement
Préférences	Mode sombre, heure de notification	Personnalisation UI	Appareil uniquement

3.2 Données que nous ne collectons pas

Aucune donnée d'utilisation, de navigation ou de comportement
Aucun identifiant publicitaire (IDFA, GAID)
Aucune donnée de géolocalisation
Aucun identifiant d'appareil
Aucune adresse e-mail ni donnée de contact
Aucun cookie, aucun log de crash envoyé à nos serveurs

4. Base légale des traitements (Art. 6 et 9 RGPD)

Traitement	Base légale
Stockage local des données de santé	Art. 9(2)(a) — Consentement explicite
Calcul du statut vaccinal	Art. 6(1)(b) — Exécution du contrat
Gestion des achats in-app	Art. 6(1)(b) — Exécution du contrat
Notifications de rappel	Art. 6(1)(a) — Consentement
Export et partage de données	Art. 6(1)(a) — Consentement / Art. 20 — Portabilité

5. Chiffrement et sécurité technique

5.1 Chiffrement activé via code PIN

Algorithme : AES-256-GCM
Dérivation de clé : PBKDF2-SHA-256 avec 600 000 itérations (OWASP 2023) et sel 128 bits
Hash du PIN : PBKDF2-SHA-256 — le code PIN n'est jamais stocké en clair
Implémentation : Web Crypto API (natif WebKit) — aucune bibliothèque tierce

5.2 Sans PIN

Les données sont stockées dans le localStorage de l'application, protégé par le sandboxing iOS. Nous recommandons d'activer le PIN si vous partagez votre appareil.

6. Partage de données — Fonctionnalité de partage sécurisé

La fonctionnalité de partage de carnet :

Chiffre le carnet avec une clé AES-256 générée aléatoirement et un code de déverrouillage à 6 chiffres
Encode les données dans un fragment d'URL (partie après le #, jamais envoyée au serveur)
N'utilise aucun serveur intermédiaire

Nous n'avons aucun accès aux données partagées. Aucune copie n'est conservée sur un serveur.

7. Tiers et sous-traitants

Vaxelia ne partage aucune donnée médicale avec des tiers. Les échanges réseau sont limités aux achats Premium via Apple (StoreKit) et RevenueCat.

Sous-traitant	Données traitées	Localisation	Garantie RGPD
Apple Inc.	Reçu d'achat, paiement	États-Unis	DPF EU–US, SCCs
RevenueCat Inc.	ID anonyme, reçu d'achat	États-Unis	SCCs

8. Transferts internationaux de données

Les données liées aux achats in-app uniquement peuvent être transférées vers les États-Unis via Apple et RevenueCat, encadrées par le DPF EU–US et les SCCs. Vos données médicales ne sont jamais transférées hors de votre appareil.

9. Notifications push

Les notifications de rappel sont des notifications locales, calculées et planifiées entièrement sur votre appareil, sans serveur push externe. Aucun token APNs n'est transmis à nos serveurs.

10. Export et portabilité des données

Exports disponibles, tous générés localement : JSON (réimportable), CSV (Excel), PDF (impression). Leur transmission à un tiers est effectuée exclusivement par vos soins.

11. Conservation des données

Données	Durée	Suppression
Données médicales	Tant que l'app est installée	Via l'app ou désinstallation
Code PIN (hash)	Jusqu'à désactivation	Paramètres > PIN
Préférences	Tant que l'app est installée	« Effacer toutes mes données »
Données d'achat (RevenueCat)	Jusqu'à 5 ans (conformité comptable)	Demande à RevenueCat

En cas de changement d'appareil, effectuez un export JSON avant de désinstaller. Nous ne pouvons pas récupérer des données perdues.

12. Mineurs

Les données des mineurs sont saisies par leurs parents ou représentants légaux et restent exclusivement stockées en local. L'application ne collecte aucune donnée directement auprès de mineurs et n'est pas destinée à être utilisée de manière autonome par des enfants de moins de 13 ans.

13. Vos droits RGPD

Droit	Comment l'exercer
Accès (Art. 15)	Toutes vos données sont visibles dans l'app. Export JSON dans Paramètres > Exporter.
Rectification (Art. 16)	Modifiez directement dans l'app (onglet Historique).
Effacement (Art. 17)	Paramètres > Supprimer toutes mes données (irréversible).
Portabilité (Art. 20)	Export JSON dans Paramètres > Exporter.
Retrait du consentement	Désactivez les notifications dans les réglages système.

Réclamation possible auprès de la CNIL : www.cnil.fr — 01 53 73 22 22 — 3, place de Fontenoy, 75334 Paris Cedex 07.

14. Avertissement médical

⚠️ Vaxelia est un outil d'information personnelle. Les recommandations affichées sont basées sur le calendrier vaccinal officiel 2026 de la Haute Autorité de Santé (HAS). Elles ne constituent pas un avis médical. Consultez un médecin pour toute décision relative à la vaccination.

15. Modifications de cette politique

En cas de modification substantielle, une notification sera publiée via une mise à jour de l'application. La version en vigueur est toujours accessible à l'adresse vaxelia.fr/confidentialite.html.

16. Contact

Mohammed Chahed
E-mail : contact@vaxelia.fr
3, rue Massabo — 13002 Marseille, France

Réponse sous 30 jours (Art. 12(3) RGPD).

💉 Version 1.1 · Effective: 1 June 2025 · Updated: 12 May 2026

Privacy Policy

🔒 Summary in two sentences: Your health data stays exclusively on your device, encrypted if you enable the PIN lock. Network exchanges exist only for Premium purchase and restore flows via Apple (StoreKit) and RevenueCat.

1. Identity of the Data Controller

Mohammed Chahed
3, rue Massabo — 13002 Marseille, France
E-mail: contact@vaxelia.fr

2. Core Principle: Privacy by Design

Operates offline for vaccination tracking
Requires no user account or registration
Does not communicate with any server we own
Collects no analytics or behavioral data
Contains no advertising SDK

All your medical data remains stored exclusively on your device. This data is never transmitted to us.

3. Data Processed

Data type	Purpose	Storage
Patient profile (name, DOB, sex)	Vaccination recommendations	Device only
Vaccination history	Record tracking & compliance	Device only
PIN code (PBKDF2 hash only)	AES-256 key derivation	Device only
Display preferences	UI personalisation	Device only

4. Third Parties

Sub-processor	Data	Location	GDPR safeguard
Apple Inc.	Purchase receipt	United States	EU–US DPF, SCCs
RevenueCat Inc.	Anonymous ID, receipt	United States	SCCs

5. Medical Disclaimer

⚠️ Vaxelia is a personal information tool. Recommendations are based on the official 2026 French vaccination calendar (HAS). They do not constitute medical advice. Always consult a qualified healthcare professional.

6. Your GDPR Rights

Access, rectification, erasure, portability — all exercisable directly within the app. Complaints: CNIL (France) or your local data protection authority.

7. Contact

Mohammed Chahed · contact@vaxelia.fr
3, rue Massabo — 13002 Marseille, France. Response within 30 days (Art. 12(3) GDPR).