Politiques

Notre avis sur la protection de la vie privée

Le respect de la vie privée, la sécurité et la sûreté avant tout.

Jean-Francois Legourd
18 février 2026

Date d'entrée en vigueur : 01 janvier 2021
Dernière mise à jour : 18 février 2026

‍1. Introduction et responsable du traitement des données

Dans la présente déclaration de confidentialité, les termes «nous », «notre » ou «Elfie » font référence à l'entité Elfie Pte. Ltd. Notre siège social est situé à Wishart Road, #05-27, The Foresta @ Mount Faber, Singapour 098752, et nous sommes enregistrés à Singapour sous le numéro 202035381C.

Elfie est l'entité responsable désignée et le responsable du traitement des données en vertu des réglementations en matière de protection des données. En d'autres termes, nous sommes la société qui décide de la finalité et des moyens de traitement de vos données personnelles (ci-après dénommées « Données utilisateur »). À ce titre, nous sommes légalement responsables de leur sécurité, de leur intégrité et du strict respect des lois applicables.

Les sections suivantes de la présente Déclaration de confidentialité contiennent des informations détaillées sur le traitement de vos données personnelles, ainsi que sur vos droits étendus. Si votre pays de résidence prévoit des exigences supplémentaires ou spécifiques (comme c'est le cas pour la France, l'Allemagne, Singapour ou le Brésil), vous trouverez des informations détaillées et localisées à ce sujet dans la section 12 de la présente déclaration.

La présente déclaration de confidentialité s'applique de manière exhaustive à toutes les données utilisateur traitées dans le cadre de nos produits et services. En tant qu'entité responsable, nous sommes soumis à des obligations strictes en matière d'information, que nous souhaitons remplir pleinement et en toute transparence à travers le présent document.

En plus de cette déclaration, nous fournissons également des informations supplémentaires et contextuelles directement dans nos produits. Par exemple, nous pouvons vous demander un nouveau consentement spécifique lors d'un processus de couplage d'appareils ou vous expliquer les conséquences précises d'une révocation de consentement au moment opportun. Les informations fournies dans nos produits ne contredisent pas cette déclaration générale de confidentialité, mais la complètent par des détails concis, ciblés et faciles à lire afin de faciliter votre prise de décision.

La présente déclaration de confidentialité, ainsi que toutes les informations supplémentaires associées, sont accessibles à tout moment à partir de nos produits et sur notre site Web.

2. Glossaire et définitions

Afin de garantir une transparence totale et d'éviter toute confusion dans l'interprétation de la présente déclaration de confidentialité, les termes suivants sont définis comme suit :

  • Données utilisateur (ou données personnelles) : désignent toute information relative à une personne physique identifiée ou identifiable. Une personne physique est considérée comme « identifiable » dès lors qu'elle peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation ou un identifiant en ligne.
  • Données relatives à la santé : désigne les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne. Chez Elfie, cela comprend notamment les mesures de glycémie, la tension artérielle, les registres de médicaments et les antécédents médicaux.
  • Traitement : désigne toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, que ce soit par des moyens automatisés ou non, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation ou la communication par transmission.
  • Responsable du traitement des données : désigne la société (Elfie Pte. Ltd.) qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de vos données à caractère personnel.
  • Sous-traitant : désigne la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte et selon les instructions spécifiques d'Elfie (par exemple, nos fournisseurs de services d'hébergement cloud ou d'analyse).
  • Pseudonymisation : désigne le traitement des données à caractère personnel de telle sorte qu'elles ne puissent plus être attribuées à une personne concernée spécifique sans avoir recours à des informations supplémentaires. Ces informations supplémentaires sont conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir la non-attribution.
  • Anonymisation : désigne le résultat du traitement des données à caractère personnel visant à empêcher, de manière irréversible, toute identification de la personne concernée par quelque moyen que ce soit. Les données anonymisées ne sont plus considérées comme des données à caractère personnel au sens de la loi.
  • Héritage ancestral : désigne les informations relatives à l'origine ancestrale fournies par l'utilisateur. Ces données sont traitées comme des données de santé sensibles et sont utilisées exclusivement pour appliquer des seuils de référence médicaux appropriés (notamment pour l'indice de masse corporelle - IMC) et ajuster les recommandations cliniques selon les normes scientifiques établies.
  • Consentement : désigne toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

3. Structure du consentement et bases juridiques

3.1 Traitement nécessaire à l'exécution du contrat

Cette catégorie concerne le traitement de vos Données Utilisateur indispensables à l'établissement de la relation contractuelle et à la fourniture de nos services.

  • Objectif : permettre l'accès technique à l'application, la sécurisation de votre compte et la fourniture des services de base définis dans nos Conditions générales d'utilisation (éléments 1 et 2 de notre interface d'inscription).
  • Nécessité : sans ce traitement, l'utilisation de nos produits n'est pas possible d'un point de vue juridique et factuel, car l'infrastructure technique et la gestion de votre compte en dépendent directement.

3.2 Traitement des données relatives à la santé

En raison du caractère sensible des informations traitées, Elfie applique un protocole de consentement renforcé pour toutes les données médicales.

  • Consentement explicite : nous traitons vos données de santé (mesures de glycémie, tension artérielle, médicaments, origine ancestrale, etc.) uniquement avec votre consentement explicite.
  • Condition d'utilisation : ce consentement est obligatoire pour l'utilisation des fonctionnalités de suivi médical de l'application Elfie. Si vous ne consentez pas à ce traitement, vous ne pourrez pas accéder aux services de gestion des pathologies fournis par l'application.

3.3 Traitement visant à améliorer les produits

Ce traitement vise à optimiser l'efficacité thérapeutique de l'application pour vous et pour l'ensemble de la communauté des utilisateurs.

  • Objectif : développer des algorithmes pour la gestion des traitements, améliorer l'interface utilisateur et valider l'efficacité clinique de nos outils.
  • Caractère facultatif : ce consentement est strictement facultatif. Vous pouvez utiliser l'ensemble des fonctions médicales d'Elfie sans donner ce consentement.
  • Mécanisme : ce consentement est recueilli via notre politique en matière de cookies. Il nous autorise à utiliser des données d'utilisation pseudonymisées (par exemple via Mixpanel) pour analyser les statistiques de navigation et de rétention.

3.4 Traitement à des fins de marketing

Cette catégorie concerne les communications promotionnelles et informatives en dehors du cadre contractuel.

  • Canaux : envoi de newsletters, notifications push ou offres personnalisées concernant de nouveaux services (ex. : couverture par votre assurance maladie).
  • Caractère facultatif : ce consentement est facultatif. Vous pouvez utiliser nos produits sans donner votre consentement et vous ne recevrez pas de communications publicitaires.

3.5 Traitement fondé sur des obligations légales

Dans certains cas, le traitement de vos données peut avoir lieu indépendamment de votre consentement, sur la base de principes juridiques obligatoires.

  • Dispositifs médicaux : conformité aux réglementations relatives aux dispositifs médicaux, y compris le système de vigilance et la surveillance après commercialisation.
  • Intérêt public : Traitement nécessaire pour des raisons d'intérêt public dans le domaine de la santé publique (ex : sécurité des patients).

3.6 Gestion et révocation des consentements

Elfie vous garantit que vous gardez à tout moment le contrôle sur vos choix en matière de confidentialité :

  • Procédures : vous pouvez donner ou modifier vos consentements lors de votre inscription, ou ultérieurement via les paramètres de votre compte.
  • Droit de révocation : vous pouvez révoquer tout consentement à tout moment, soit via les paramètres de l'application, soit par e-mail à l'adresse dpo@elfie.co.
  • Effets : en cas de révocation, nous vous informerons des conséquences fonctionnelles qui en découlent. La légalité du traitement effectué avant la révocation reste inchangée.

4. Collecte des données utilisateur

Le traitement des données ci-dessous repose sur la base juridique de l'exécution du contrat pour les données d'identification et les données relatives à la santé.

4.1 Données obligatoires pour la création d'un compte

Pour créer votre profil et garantir la sécurité de vos données, les informations suivantes sont requises :

  • Méthodes d'authentification :
    • Adresse e-mail et mot de passe : votre adresse e-mail personnelle et un mot de passe sécurisé (stocké de manière cryptographique).
    • Services tiers (connexion via les réseaux sociaux) : vous pouvez choisir de créer un compte via « Continuer avec Google » ou « Continuer avec Apple ». Dans ce cas, nous recevons l'adresse e-mail associée à ce service (ou une adresse masquée fournie par Apple) ainsi que vos identifiants de connexion tiers.
  • Identité et communication :
    • Pseudonyme (surnom) : un pseudonyme ou un nom d'utilisateur est nécessaire pour nous permettre de vous interpeller dans l'interface (par exemple : « Bonjour [Pseudonyme] »).
  • Conformité et sécurité des mineurs :
    • Date de naissance : cette information est obligatoire pour vérifier si vous avez 16 ans ou plus. Elle nous permet d'appliquer des mesures de protection spécifiques pour les mineurs ou d'interdire l'accès si les conditions de tutelle ne sont pas remplies.
  • Paramètres cliniques fondamentaux :
    • Sexe biologique à la naissance : cette donnée est obligatoire car elle est indispensable pour appliquer les directives médicales et les seuils d'analyse clinique adaptés à votre physiologie.

4.2 Données médicales et relatives à la santé (facultatif)

Une fois le compte créé, vous pouvez choisir de fournir les données suivantes afin de bénéficier d'un suivi personnalisé :

  • Origine ancestrale (ascendance) : contrairement au sexe biologique, cette donnée est facultative. Elle sert à affiner les recommandations médicales et les seuils de l'indice de masse corporelle (IMC) selon les normes scientifiques spécifiques à certaines populations.
  • Suivi des pathologies : maladies chroniques, mesures de la glycémie, de la tension artérielle, du cholestérol, du poids et de la taille.
  • Gestion du traitement : médicaments prescrits, doses prises, réglages de base et facteurs de correction.
  • Mode de vie : activités physiques (type, durée), alimentation (repas), nombre de pas et notes personnelles.

4.3 Données techniques collectées automatiquement

Lors de l'utilisation de l'application, nous collectons des données relatives au fonctionnement technique :

  • Informations système : identifiant de l'appareil, fabricant, type d'appareil, version du système d'exploitation, langue et fuseau horaire.
  • Emplacement : adresse IP utilisée pour déterminer votre région et l'emplacement du stockage des données (France, Australie ou Singapour).

5. Finalités détaillées du traitement

Le traitement des données pour la fourniture du service repose sur l'exécution du contrat ; les améliorations apportées aux produits, les informations sur les produits et les études scientifiques reposent sur des consentements facultatifs distincts.

5.1 Fourniture et exécution du service

Nous traitons vos données afin d'assurer le bon fonctionnement technique et fonctionnel de l'application :

  • Gestion du compte : utilisation de vos identifiants pour créer votre identifiant de compte et sécuriser votre accès.
  • Configuration clinique : traitement de vos données de santé afin de configurer l'interface utilisateur et d'adapter les conseils médicaux à votre profil.
  • Localisation et stockage : utilisation de l'adresse IP uniquement pour confirmer votre région et garantir que vos données sont stockées sur le serveur approprié (France pour l'Europe/Afrique, Australie ou Singapour).

5.2 Assistance, sécurité et maintenance

Ces activités sont essentielles à la continuité du service et sont réalisées dans le cadre de l'exécution du contrat :

  • Assistance technique : Traitement des données échangées avec notre service d'assistance (support@elfie.co) à des fins de dépannage.
  • Communications essentielles : envoi de notifications push ou d'e-mails concernant les mises à jour critiques et la sécurité. Ces messages sont envoyés indépendamment de vos abonnements optionnels, car ils font partie intégrante du produit.
  • Diagnostic : collecte d'informations sur l'appareil et rapports d'erreurs afin de diagnostiquer et de résoudre les problèmes potentiels.

5.3 Informations sur les produits et études scientifiques

Ce traitement repose sur un consentement spécifique, indépendant et facultatif de la politique de confidentialité principale :

  • Formation sur le produit : vous informer sur les fonctionnalités existantes ou nouvelles d'Elfie afin de maximiser l'utilité de l'outil mis à votre disposition.
  • Accès aux services : vous informer si de nouveaux services gratuits (par exemple via votre assurance maladie) sont accessibles dans l'application.
  • Recherche : invitation à participer à des enquêtes ou à des études cliniques.

5.4 Amélioration et innovation des produits

Ce traitement est régi par une politique distincte relative aux cookies et nécessite un consentement distinct facultatif :

  • Analyse de l'utilisation : utilisation d'identifiants techniques (pseudonymisation via Mixpanel hébergé en Europe) pour comprendre comment l'application est utilisée et améliorer les algorithmes thérapeutiques.
  • Tests : Réalisation de tests d'utilisation et de sécurité pour les nouvelles versions du produit.

5.5 Intelligence artificielle (IA)

Le traitement par l'IA repose sur un processus préalable d'anonymisation :

  • Anonymisation totale : avant tout traitement par nos modèles d'IA, vos données sont soumises à une anonymisation irréversible.
  • Confidentialité : aucune donnée personnelle identifiable, ni aucun identifiant utilisateur (ID utilisateur) n'est partagé avec nos systèmes d'IA.

5.6 Recherche, obligations légales et fins commerciales

  • Recherche scientifique : utilisation de données anonymisées à des fins statistiques, conformément aux normes éthiques.
  • Conformité réglementaire : Surveillance de la fonctionnalité des produits (vigilance) conformément à la législation sur les dispositifs médicaux (le cas échéant).
  • À des fins commerciales : partage de données strictement anonymisées avec des partenaires (organismes de santé, assureurs, groupes pharmaceutiques) pour la recherche en santé publique et la gestion des performances.

6. Sécurité, cryptage et mesures techniques

Le traitement des données dans le respect de la sécurité repose sur l'obligation légale de garantir la sécurité du traitement.

6.1 Principes de sécurité et de confidentialité

Elfie garantit à tout moment la sécurité et la confidentialité adéquates de vos données personnelles. Cela comprend la protection contre tout traitement non autorisé et illégal, ainsi que contre la perte, la destruction ou les dommages involontaires, grâce à des mesures techniques et organisationnelles appropriées. Nous utilisons des processus internes stricts, des fonctionnalités de sécurité avancées et les dernières méthodes de cryptage, en tenant compte de l'état actuel de la technologie.

6.2 Cryptage des données

  • Données en transit : chaque transfert de données personnelles, sans exception et par défaut, est crypté pendant le transfert. En utilisant le protocole HTTPS (Hypertext Transfer Protocol Secure), nous garantissons que vos données ne sont pas interceptées par des tiers non autorisés.
  • Données au repos : toutes les données stockées sur nos serveurs (GCP France, Australie ou Singapour) sont soumises à un cryptage sécurisé au repos afin d'empêcher tout accès non autorisé aux supports de stockage.

6.3 Pseudonymisation et anonymisation

Nous utilisons des processus de traitement spécifiques afin de minimiser les risques :

  • Pseudonymisation : pour les activités d'analyse et d'amélioration des produits (via Mixpanel), nous utilisons la pseudonymisation. Cela garantit que les données ne peuvent plus être attribuées à une personne spécifique sans informations supplémentaires stockées séparément.
  • Anonymisation : Les données ne nécessitant pas de référence personnelle pour leur traitement, notamment à des fins de recherche, de statistiques globales ou de traitement par l'intelligence artificielle (IA), sont soumises à une anonymisation irréversible. Ce processus empêche toute connexion ou attribution à une personne spécifique dans tous les cas.

6.4 Mesures techniques et organisationnelles (MTO)

Elfie déploie un ensemble complet de mesures administratives, techniques et physiques :

  • Mesures administratives : présence d'un responsable de la sécurité et de la conformité, d'un délégué à la protection des données (DPO), gestion rigoureuse des actifs, formation régulière des employés aux questions de confidentialité et respect des principes de développement de logiciels sécurisés.
  • Mesures techniques : contrôle d'accès logique, politique de mots de passe robuste, politique de sauvegarde (sauvegardes), procédure de reprise après sinistre, mise à jour régulière des correctifs de sécurité (politique de correctifs), surveillance continue de l'infrastructure et tests de pénétration réguliers.
  • Mesures physiques : contrôle strict de l'accès physique aux infrastructures hébergeant les données.

7. Destinataires des données et sous-traitance

Le transfert de données à nos partenaires et sous-traitants repose sur la base juridique de l'exécution du contrat de fourniture technique et sur le respect des obligations contractuelles encadrant la sous-traitance.

7.1 Principes de transfert et de contrôle

Elfie transfère les données utilisateur à des sous-traitants exclusivement dans le cadre de la présente déclaration de confidentialité et uniquement dans le but d'atteindre les objectifs déclarés.

  • Instructions strictes : les sous-traitants travaillent conformément à nos spécifications et instructions.
  • Utilisation limitée : ils ne sont pas autorisés à utiliser les données personnelles de nos utilisateurs à leurs propres fins ou à d'autres fins.
  • Garanties contractuelles : nous concluons des contrats contraignants qui répondent aux exigences strictes des lois applicables en matière de protection des données personnelles.
  • Chaîne de sous-traitance : les prestataires tiers ne peuvent faire appel à d'autres sous-traitants qu'avec notre accord préalable et sous réserve du respect des mêmes obligations en matière de protection des données.

7.2 Catégories de destinataires des données

Nous fournissons les données de nos utilisateurs uniquement dans le but d'exécuter les contrats associés aux catégories suivantes :

  • Services d'hébergement et cloud : utilisés pour stocker des données de manière sécurisée et certifiée.
  • Maintenance et fiabilité technique : outils garantissant le bon fonctionnement et l'absence de bogues de l'application.
  • Authentification et sécurité : services qui protègent l'accès à votre compte.
  • Services d'assistance à la clientèle : outils permettant de gérer les demandes d'aide des utilisateurs.
  • Fournisseurs de services d'analyse [facultatif] : partenaires qui nous aident à comprendre l'utilisation afin d'améliorer l'efficacité clinique.
  • Prestataires de services marketing [facultatif] : ils nous assistent dans la création, la personnalisation et la distribution de newsletters et de messages informatifs concernant nos produits.

7.3 Liste des sous-traitants et technologies de suivi

Ces outils sont essentiels pour la prestation de services, la sécurité et l'assistance aux utilisateurs.

  • Nom : SDK de succursale
    • Description : mise en relation de deux utilisateurs (lien familial) et parrainage d'amis.
    • Type : Nécessaire.
    • Source / Fournisseur : Branch.
  • Nom : API Firebase
    • Description : Services d'authentification pour protéger votre compte et y accéder.
    • Type : Nécessaire.
    • Source / Fournisseur : Firebase.
  • Nom : API Google
    • Description : Services d'authentification de compte pour sécuriser votre accès.
    • Type : Nécessaire.
    • Source / Fournisseur : Google.
  • Nom : Connexion Facebook
    • Description : Création de compte et authentification simplifiées.
    • Type : Nécessaire.
    • Source / Fournisseur : Facebook.
  • Nom : Sentinelle
    • Description : Veiller à ce que l'application reste opérationnelle et fonctionnelle (diagnostic des bogues).
    • Type : Technique.
    • Source / Fournisseur : Sentry.
  • Nom : CDN Apple
    • Description : Garantir la disponibilité des services applicatifs.
    • Type : Technique.
    • Source / Fournisseur : Apple.

B. Technologies d'analyse et d'amélioration (base juridique : consentement explicite)

Ces technologies ne sont activées que si vous donnez votre consentement via la politique en matière de cookies.

  • Nom : SDK MixPanel
    • Description : outil d'analyse des sessions et des événements (hébergé en Europe).
    • Type : analytique.
    • Source / Fournisseur : MixPanel.
  • Nom : Ajuster le SDK
    • Description : Analyse des références et des campagnes.
    • Type : analytique.
    • Source / Fournisseur : Adjust.
  • Nom : app.mesure.com
    • Description : Outil d'analyse des sessions et des événements pour l'optimisation des applications.
    • Type : analytique.
    • Source / Fournisseur : Firebase.
  • Nom : Kit de développement logiciel Facebook
    • Description : Suivi des sessions techniques.
    • Type : Publicité.
    • Source / Fournisseur : Facebook.

7.4 Partage sous la responsabilité de l'utilisateur

Certaines fonctionnalités de notre application, telles que le coach Elfie ou le rapport de santé, vous permettent de partager directement certaines Données utilisateur avec un tiers à partir de nos produits.

  • Discrétion de l'utilisateur : vous décidez, à votre seule discrétion, quelles données vous partagez, avec quelle partie et à quel moment.
  • Responsabilité : Ces transferts de données relèvent de votre seule responsabilité.

8. Hébergement et transferts internationaux

Le traitement et l'hébergement de vos données reposent sur la base juridique de l'exécution du contrat afin de fournir le service dans votre zone géographique, ainsi que sur l'intérêt légitime d'Elfie à garantir la sécurité et la conformité des flux de données.

8.1 Choix manuel de la région d'hébergement

Afin de garantir le respect des réglementations locales et de répondre aux exigences en matière de souveraineté des données, Elfie permet à l'utilisateur de sélectionner manuellement sa région de résidence lors de la création de son compte.

  • Sélection lors de l'inscription : ce choix est effectué au moment de la création du compte utilisateur.
  • Caractère final : une fois la région sélectionnée, ce paramètre n'est plus modifiable pour des raisons de conformité et de sécurité.
  • Utilisation de l'adresse IP : nous utilisons votre adresse IP uniquement pour évaluer depuis quel pays ou quelle région vous accédez à nos services et pour vous aider à sélectionner l'emplacement de stockage approprié pour votre compte.

8.2 Emplacement des serveurs et certification HDS

Vos données utilisateur sont stockées à la fois sur votre appareil mobile et sur nos serveurs sécurisés fournis par Google Cloud Platform (GCP). L'emplacement physique des serveurs dépend strictement de la région choisie lors de votre inscription :

  • Europe et Afrique : pour les utilisateurs de ces régions, l'intégralité des données est hébergée sur les serveurs Google Cloud Platform (GCP) situés en France.
  • Conformité sanitaire (France) : Afin de répondre aux exigences du Code de la santé publique français, Elfie utilise des infrastructures certifiées HDS (Health Data Host) pour le stockage des données de santé des résidents européens. Cet hébergement repose sur des protocoles de sécurité avancés conformes aux normes ISO 27001 et aux exigences spécifiques de la CNIL.
  • Australie : les données des utilisateurs australiens sont hébergées sur GCP Australie.
  • Reste du monde : les données relatives aux autres régions sont actuellement hébergées sur GCP Singapour.

8.3 Garanties de protection pendant les transferts

Bien que nous privilégions les sous-traitants basés dans la région de l'utilisateur, des transferts vers des pays tiers peuvent exceptionnellement avoir lieu pour des opérations d'assistance technique.

  • Haut niveau de protection : quel que soit le lieu de stockage ou de traitement, Elfie garantit à tout moment un niveau de protection équivalent à celui du RGPD.
  • Instruments juridiques : ces transferts sont encadrés soit par une décision d'adéquation de l'UE, soit par les clauses contractuelles types (SCC) approuvées par la Commission européenne.
  • Services d'analyse : les données d'analyse d'utilisation sont hébergées exclusivement sur les serveurs de notre fournisseur situés au sein de l'Union européenne.
  • Transfert à distance : bien que l'hébergement des données soit localisé en France, l'accès à distance aux données peut être effectué par le personnel autorisé d'Elfie Pte. Ltd., basé à Singapour, à des fins d'assistance technique et de maintenance. Ces transferts à distance sont strictement régis par les clauses contractuelles types (SCC) de la Commission européenne afin de garantir un niveau de protection équivalent à celui du RGPD.

8.4 Sécurité des données au repos et en transit

Indépendamment du lieu de stockage, nous garantissons la sécurité de vos informations à chaque étape :

  • Données au repos : les informations stockées sur les serveurs régionaux font l'objet d'un cryptage systématique.
  • Données en transit : tout transfert temporaire nécessaire au traitement est protégé par des protocoles de cryptage de pointe (HTTPS).
  • Accès à l'assistance : dans des cas exceptionnels de dépannage, Elfie peut désigner des prestataires tiers situés en dehors de votre zone géographique, mais ceux-ci sont soumis aux mêmes exigences strictes en matière de sécurité.

9. Politique de conservation et de suppression

Le traitement des données relatives à la conservation et à la suppression repose sur la base juridique de l'exécution du contrat, sur l'intérêt légitime d'assurer une gestion responsable du cycle de vie des données, ainsi que sur le respect des obligations légales de conservation.

9.1 Principes généraux de stockage

Vos données utilisateur sont stockées de manière sécurisée à la fois localement sur votre appareil mobile et sur nos serveurs distants. Elfie ne conserve vos données personnelles que pendant la durée nécessaire à l'exécution du contrat et à la fourniture des services.

9.2 Cycle de vie et politique d'inactivité

Afin de garantir le respect du droit à l'oubli et la minimisation des données, Elfie applique la procédure suivante en cas d'inactivité prolongée :

  • Alerte d'inactivité : après une période d'un (1) an sans connexion ni activité enregistrée sur votre compte, Elfie vous enverra une notification par e-mail. Ce message a pour but de vous informer que votre compte est considéré comme inactif et qu'il sera automatiquement supprimé si aucune action n'est entreprise.
  • Suppression automatique : si aucune activité n'est enregistrée pendant une période totale de trois (3) ans, l'ensemble de vos données utilisateur et données de santé seront supprimées de nos serveurs de manière définitive et irréversible.

9.3 Conservation légale et archivage

Dans certains cas spécifiques, un stockage plus long que la durée de vie du compte peut être nécessaire pour les raisons suivantes :

  • Obligations légales : Respecter les obligations de conservation, de divulgation ou les réglementations spécifiques (notamment en matière de dispositifs médicaux).
  • Défense des droits : faire valoir, exercer ou défendre des droits légaux dans le cadre d'un litige potentiel.
  • Traitement des archives : Les données devant être conservées pour ces motifs juridiques sont transférées vers un lieu d'archivage distinct et sécurisé. Elles ne sont alors plus utilisées à d'autres fins que celle de la conservation, sauf si la loi l'exige expressément.

9.4 Méthodes de suppression et de destruction

Elfie garantit que la suppression des données est totale et sécurisée :

  • Données électroniques : Les données personnelles stockées sous forme de fichiers électroniques sont supprimées à l'aide d'une méthode technique rigoureuse qui ne permet pas de reproduire ou de restaurer le fichier.
  • Documents physiques : bien que nos processus soient principalement numériques, toutes les données personnelles enregistrées sur des documents papier sont détruites par déchiquetage.

10. Protection des mineurs

Le traitement des données relatives aux mineurs repose sur la base juridique du consentement des titulaires de l'autorité parentale, ainsi que sur le respect de nos obligations légales en matière de protection de la vie privée des enfants.

10.1 Âge de la majorité numérique et inscription en autonomie

  • Pour vous inscrire et utiliser les produits Elfie de manière autonome, vous devez être âgé d'au moins 16 ans.
  • À partir de 16 ans, nous considérons que vous avez la capacité juridique de consentir seul au traitement de vos données personnelles et de santé dans le cadre de l'utilisation de nos services.
  • Lors de la création d'un compte, la validation de la date de naissance est un mécanisme obligatoire visant à empêcher l'accès non supervisé des mineurs de moins de 16 ans.

10.2 Conformité spécifique pour les États-Unis (COPPA)

  • Conformément à la loi américaine sur la protection de la vie privée des enfants en ligne (COPPA), Elfie ne collecte sciemment aucune information personnelle auprès d'enfants de moins de 13 ans résidant aux États-Unis sans le consentement préalable et vérifiable de leurs parents.
  • Si nous apprenons que des données concernant un enfant de moins de 13 ans ont été collectées sans contrôle légal, nous procéderons à leur suppression immédiate.

10.3 Utilisation par des mineurs de moins de 16 ans

  • Les mineurs de moins de 16 ans peuvent bénéficier du suivi de santé Elfie, mais le compte doit être créé et géré exclusivement par le parent ou le tuteur légal.
  • Le traitement des données du mineur n'est licite que si le consentement est donné par le titulaire de l'autorité parentale au nom de l'enfant.

10.4 Droits des parents et tuteurs

  • Les parents ou tuteurs légaux ont un droit permanent de contrôle sur les données de leurs enfants traitées via leur compte.
  • Vous avez le droit de demander l'accès, la modification ou la suppression des données personnelles de votre enfant à tout moment en nous contactant à l'adresse dpo@elfie.co.
  • Tout signalement d'inscription non autorisée d'un mineur sera traité en priorité absolue.

11. Vos droits en tant que personne concernée

Le traitement lié à l'exercice de vos droits repose sur l'obligation légale du responsable du traitement de répondre aux demandes des personnes concernées.

11.1 Droit d'accès et d'information

Vous avez le droit d'obtenir la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées. Si elles le sont, vous avez le droit d'accéder à ces données et de recevoir des informations détaillées sur :

  • Les finalités du traitement.
  • Les catégories de données concernées.
  • Les destinataires ou catégories de destinataires.
  • La durée de conservation ou les critères permettant de la déterminer.

11.2 Droit de rectification

Vous avez le droit d'exiger que nous corrigions sans délai toute donnée personnelle inexacte vous concernant. Compte tenu des finalités du traitement, vous avez également le droit de demander que les données incomplètes soient complétées.

11.3 Droit à l'effacement (« droit à l'oubli »)

Vous avez le droit de demander la suppression de vos données personnelles dans les meilleurs délais, notamment lorsque :

  • Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
  • Vous révoquez votre consentement et il n'existe aucune autre base juridique pour le traitement.
  • Vous vous opposez au traitement (voir section 11.6).
  • Les données ont fait l'objet d'un traitement illégal.

Remarque : ce droit peut être limité si le traitement est nécessaire pour respecter une obligation légale (ex : vigilance médicale) ou pour la constatation, l'exercice ou la défense d'un droit en justice.

11.4 Droit à la limitation du traitement

Vous pouvez demander la limitation du traitement si :

  • Vous contestez l'exactitude des données (pendant la durée de la vérification).
  • Le traitement est illégal, mais vous vous opposez à l'effacement.
  • Nous n'avons plus besoin de ces données, mais elles vous sont nécessaires pour défendre vos droits devant les tribunaux.

11.5 Droit à la portabilité des données

Vous avez le droit de recevoir les données personnelles que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine. Vous avez également le droit de transmettre ces données à un autre responsable du traitement sans que nous y fassions obstacle.

11.6 Droit d'opposition

Vous avez le droit de vous opposer à tout moment, pour des raisons liées à votre situation particulière, au traitement de vos données fondé sur notre intérêt légitime. Nous cesserons alors le traitement, sauf si nous démontrons qu'il existe des raisons légitimes et impérieuses qui prévalent sur vos intérêts.

11.7 Droits spécifiques des résidents américains (CCPA/CPRA)

Si vous résidez aux États-Unis, notamment en Californie, vous disposez de droits supplémentaires :

  • Droit de savoir : savoir quelles données personnelles nous avons collectées, utilisées ou partagées au cours des 12 derniers mois.
  • Droit de refuser la vente ou le partage (désinscription) : Elfie ne vend pas vos données personnelles identifiables. Cependant, vous pouvez exercer votre droit de refus concernant le partage de certaines données d'utilisation (Analytics) via nos paramètres de cookies.
  • Droit à la non-discrimination : nous ne ferons aucune discrimination à votre égard (prix, service) pour avoir exercé l'un de vos droits à la vie privée.

11.8 Procédures d'exercice et de contact

Pour exercer l'un de ces droits, vous pouvez :

  1. Utilisez les fonctions de gestion des profils directement dans l'application Elfie.
  2. Contactez notre délégué à la protection des données (DPO) par e-mail : dpo@elfie.co.
  3. Envoyez une lettre postale au siège social d'Elfie Pte. Ltd. à Singapour.

Nous répondrons à votre demande dans un délai d'un mois (pouvant être prolongé de deux mois en cas de complexité, conformément aux lois applicables). Pour des raisons de sécurité, nous pourrons vous demander une preuve d'identité avant de traiter certaines demandes.

12. Dispositions spécifiques par pays

Le traitement des données dans le cadre de cette section repose sur l'obligation légale de se conformer à des réglementations locales spécifiques.

12.1 Union européenne et Espace économique européen (RGPD)

  • Représentant de l'UE : Conformément à l'article 27 du RGPD, Elfie (établie en dehors de l'UE) a désigné Prighter Group comme son représentant pour la protection des données dans l'Union européenne. Vous pouvez les contacter pour toute question relative à la confidentialité via leur portail dédié : https://prighter.com/q/18718275968.
  • Hébergement : pour tous les résidents de l'UE, vos données sont hébergées exclusivement sur les serveurs Google Cloud Platform (GCP) situés en France.
  • Conformité IA : Elfie s'engage à respecter les exigences du règlement sur l'intelligence artificielle (loi IA) de l'UE, notamment en garantissant une transparence totale sur l'utilisation des modèles d'IA pour l'analyse des données de santé.

12.2 France (Mon Espace Santé, CNIL et HDS)

  • Hébergement certifié (HDS) : Conformément à l'article L. 1111-8 du Code de la santé publique, vos données de santé bénéficient d'un niveau de protection renforcé grâce à un hébergement certifié HDS situé en France. Ce cadre garantit la confidentialité, l'intégrité et la disponibilité de vos données médicales sous la surveillance des autorités françaises.
  • Interopérabilité : Elfie s'efforce de maintenir la compatibilité technique avec Mon Espace Santé (MES) afin de permettre, à votre demande, l'exportation ou la synchronisation de vos mesures de santé.
  • Suppression et droit à l'oubli : conformément aux recommandations de la CNIL pour les applications de santé, nous appliquons une règle de purge stricte : votre compte et vos données sont supprimés après 3 ans d'inactivité, suite à une alerte envoyée après 1 an d'inactivité.
  • Consentement spécifique pour les données relatives à la santé : conformément à l'article 9, nous vous demandons votre consentement explicite pour la gestion des données relatives à la santé.
  • Directives post-mortem : Conformément à la loi Informatique et Libertés, vous avez le droit de définir des directives relatives au sort de vos données personnelles après votre décès en contactant notre délégué à la protection des données.

12.3 Allemagne (DiGA et SGB V)

  • Remboursement et performance : pour les versions certifiées DiGA, Elfie respecte les nouvelles obligations de la réglementation DiGAV 2026, notamment la mesure du succès du traitement (basée sur la performance) et l'interopérabilité obligatoire avec le dossier électronique du patient (ePA).
  • Résidence des données : conformément au § 4 (3) DiGAV, le traitement des données des utilisateurs allemands s'effectue strictement au sein de l'UE ou dans des pays ayant fait l'objet d'une décision d'adéquation.

12.3 Royaume-Uni (RGPD britannique et loi de 2018 sur la protection des données)

  • Cadre juridique : pour les résidents du Royaume-Uni, le traitement est régi par le RGPD britannique et la loi de 2018 sur la protection des données.
  • Représentant au Royaume-Uni : Elfie utilise également les services de Prighter pour assurer sa représentation auprès du Bureau du commissaire à l'information (ICO).
  • Transferts : Les données des utilisateurs britanniques sont hébergées en France. Ce transfert repose sur des décisions d'adéquation mutuelles entre le Royaume-Uni et l'Union européenne.

12.4 Singapour (PDPA 2012)

  • Garanties PDPA : En tant qu'entreprise basée à Singapour, Elfie respecte les dix obligations de la loi sur la protection des données personnelles (PDPA), notamment l'obligation de protection (cryptage AES-256) et l'obligation de notification en cas de violation des données.
  • Hébergement local : les utilisateurs qui choisissent la région de Singapour voient leurs données hébergées localement sur GCP Singapour.

12.5 Turquie (KVKK)

  • Consentement granulaire : conformément à la loi KVKK n° 6698, nous recueillons un consentement explicite, spécifique et éclairé pour le traitement des données de santé et les transferts transfrontaliers.
  • Registre VERBİS : Elfie remplit ses obligations de déclaration auprès du registre turc des responsables du traitement des données si cela s'applique à son volume d'activité.

12.6 États-Unis (CCPA/CPRA et COPPA)

  • Californie : les résidents californiens bénéficient de droits étendus, notamment le droit de limiter l'utilisation de leurs « informations personnelles sensibles » (données relatives à la santé) et le droit de demander que leurs données ne soient pas partagées à des fins de publicité comportementale inter-contextuelle.
  • COPPA : Nous appliquons une protection renforcée pour les enfants de moins de 13 ans, interdisant toute collecte de données sans le consentement vérifiable des parents.

12.7 Australie (loi sur la protection de la vie privée de 1988)

  • Principes australiens en matière de protection de la vie privée (APP) : Elfie traite les informations personnelles et médicales conformément aux 13 principes APP de la loi australienne sur la protection de la vie privée.
  • Hébergement local : pour les utilisateurs résidant en Australie, les données sont hébergées exclusivement sur les serveurs Google Cloud Platform (GCP) en Australie.
  • Données sensibles : les informations relatives à la santé ne sont collectées qu'avec un consentement explicite et à des fins directement liées aux fonctions de l'application.

12.8 Égypte (loi n° 151 de 2020)

  • Protection des données personnelles : Elfie respecte les dispositions de la loi égyptienne relative à la protection des données personnelles, notamment en ce qui concerne les « données sensibles » (santé).
  • Transfert transfrontalier : en choisissant la région Europe/Afrique, vos données sont stockées en France (GCP) ; ce transfert est effectué en garantissant un niveau de protection au moins équivalent à celui requis par la législation égyptienne.

12.9 Brésil (LGPD - Loi n° 13.709/2018)

  • Lei Geral de Proteção de Dados (LGPD) : Elfie garantit aux résidents brésiliens l'exercice de leurs droits, notamment l'accès, la correction, l'anonymisation ou la suppression des données.
  • Relations avec les partenaires : bien qu'Elfie collabore avec des entités locales dans le domaine de l'innovation, aucune donnée identifiable n'est partagée avec la Sociedade Beneficente Israelita Brasileira Hospital Albert Einstein sans consentement spécifique supplémentaire.

12.10 Vietnam (Décret n° 13/2023/ND-CP - PDPD)

  • Données personnelles sensibles : conformément au décret sur la protection des données personnelles (PDPD), Elfie traite les données relatives à la santé comme des « données sensibles ».
  • Consentement : nous recueillons un consentement explicite et éclairé pour la collecte, le traitement et le transfert transfrontalier de ces données.
  • Droits des utilisateurs : les résidents vietnamiens ont le droit de consulter, modifier, supprimer leurs données et de demander l'arrêt de tout traitement à des fins marketing.

12.11 Mexique (LFPDPPP)

  • Droits ARCO : Conformément à la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (loi fédérale sur la protection des données personnelles détenues par des particuliers), les utilisateurs mexicains peuvent exercer leurs droits ARCO (accès, rectification, annulation et opposition).
  • Données sensibles : le consentement au traitement des données relatives à la santé est recueilli de manière expresse et écrite (via une signature électronique dans l'application).

13. Modifications et contact avec le DPD

Le traitement lié à la mise à jour de la présente notice et à la gestion de vos demandes de contact repose sur l'obligation légale de transparence et d'information du responsable du traitement.

13.1 Modifications apportées à la déclaration de confidentialité

Elfie se réserve le droit de modifier la présente déclaration de confidentialité afin de refléter les évolutions technologiques de nos produits, les changements dans nos pratiques de traitement ou les nouvelles exigences législatives mondiales.

  • Notification : en cas de modifications importantes (par exemple, un changement de lieu d'hébergement ou d'objectif du traitement), nous vous en informerons par le biais d'une notification dans l'application ou par e-mail avant que les modifications n'entrent en vigueur.
  • Consultation : La version la plus récente de cet avis est accessible à tout moment dans les paramètres de l'application Elfie ou sur notre site web officiel.
  • Date d'entrée en vigueur : La date de la dernière mise à jour est systématiquement indiquée en haut du document. Toute nouvelle version remplace de plein droit les versions précédentes.

13.2 Responsable de la protection des données (RPD)

Pour toute question, préoccupation ou pour exercer vos droits en tant que personne concernée (tels que décrits à la section 11), vous pouvez contacter directement notre délégué à la protection des données :

  • Courriel : dpo@elfie.co ou contact@elfie.co.
  • Adresse postale : Elfie Pte. Ltd. À l'attention du responsable de la protection des données Wishart Road, #05-27, The Foresta @ Mount Faber Singapour 098752.

13.3 Représentants régionaux

Afin de faciliter la communication avec les autorités réglementaires locales et les utilisateurs, nous avons désigné des représentants :

  • Union européenne / Royaume-Uni : comme indiqué à la section 12, vous pouvez contacter Prighter Group via son portail de conformité (https://prighter.com/q/18718275968) pour toute demande relative au RGPD ou au RGPD britannique.
  • Autres régions : pour toute autre juridiction (Vietnam, Mexique, Brésil, etc.), veuillez utiliser l'adresse e-mail centrale du DPD afin d'obtenir une assistance localisée.

Postes connexes

Parcourir tous les messages
Publications médicales
21 décembre 2025

Âge biologique

Lire la suite
Domaines thérapeutiques
19 août 2025

Médicaments

Lire la suite
Domaines thérapeutiques
17 août 2025

Obésité

Lire la suite