Dernière mise à jour : 21 avril 2026.
Le responsable du traitement de tes données est la société Weigel Consulting SAS. Notre délégué à la protection des données (DPO) est Igor Weigel, joignable à l'adresse contact@mylongpath.com.
MyLongPath collecte les catégories de données suivantes : • Données d'identification : ton adresse e-mail, qui est la seule donnée personnelle obligatoire (elle sert à la création de compte, à la vérification anti-bot et à garantir l'unicité de ton compte), et ton mot de passe, qui est stocké sous forme hachée. Nous ne te demandons pas ton vrai nom : le champ s'intitule « nom ou pseudo ». • Données de profil : ton âge, ton sexe, ton pays, ta date de diagnostic et tes conditions médicales. • Données de santé : tes scores quotidiens (énergie, sommeil, humeur, anxiété, douleur), les traitements que tu suis et tes symptômes. • Données wearable, uniquement si tu actives cette option : ta fréquence cardiaque, ta variabilité de fréquence cardiaque (HRV), ton sommeil et tes pas. Ces données proviennent d'Apple Health (iOS) ou de Health Connect (Android). • Données d'utilisation : des journaux d'activité internes, que nous n'échangeons avec aucun tiers.
Les traitements de données reposent sur les bases légales suivantes : • Ton consentement explicite pour le traitement de tes données de santé, conformément à l'article 9.2.a du Règlement général sur la protection des données (RGPD). • L'exécution du contrat qui nous lie, conformément à l'article 6.1.b du RGPD, pour que le service puisse fonctionner. • Notre intérêt légitime, conformément à l'article 6.1.f du RGPD, pour améliorer la plateforme et garantir sa sécurité.
Nous utilisons tes données pour : • te proposer un suivi de santé personnalisé ; • calculer les similitudes entre profils, toujours de manière anonyme ; • générer des insights par intelligence artificielle via Vertex AI ; • t'envoyer les notifications nécessaires au service, via notre prestataire Resend ; • améliorer la plateforme grâce à des analyses d'usage, effectuées avec Plausible, sans cookies.
Toutes tes données sont hébergées sur Google Cloud Platform, dans la région europe-west9 (Paris, France), sur une infrastructure certifiée HDS (Hébergeur de Données de Santé). Nous appliquons les mesures de sécurité suivantes : • Tes données sont chiffrées en transit, via TLS 1.3, et au repos sur nos serveurs. • L'authentification repose sur des jetons JWT stockés dans un cookie httpOnly, inaccessible au JavaScript du navigateur. • Les jetons d'accès aux wearables sont chiffrés en AES-256-GCM avant d'être stockés. • L'accès aux bases de données est restreint à un réseau privé, non exposé sur internet. • Notre supervision repose sur Sentry pour les erreurs et sur Plausible pour les analyses d'usage, sans cookies.
Pour faire fonctionner MyLongPath, nous nous appuyons sur les sous-traitants suivants, tous situés dans l'Union européenne : • Google Cloud Platform, pour l'hébergement, les bases de données et l'exécution de nos services applicatifs (Cloud Run). • Vertex AI et le modèle Gemini, pour les analyses par intelligence artificielle appliquées à tes données de santé. • Resend, pour l'envoi de nos e-mails transactionnels, dans un cadre conforme au RGPD. • Plausible, pour nos analyses d'usage sur le web, sans cookies et conforme au RGPD. Aucune donnée personnelle n'est vendue ni transmise à des fins publicitaires.
La connexion aux plateformes wearable (Apple Health sur iOS, Health Connect sur Android) est entièrement optionnelle et se fait à ton initiative. • Les jetons d'authentification sont chiffrés en AES-256-GCM avant d'être stockés côté serveur. • Tu peux déconnecter une plateforme et supprimer les données wearable associées à tout moment, depuis ton profil. • Les données synchronisées et leurs finalités sont les suivantes : - Sommeil : affiché sur ton tableau de bord pour te permettre de comparer le sommeil mesuré à ton ressenti. - Pas : utilisés pour détecter les journées d'activité intense et ajuster ton budget énergétique dans le module pacing. - Fréquence cardiaque et variabilité de la fréquence cardiaque (HRV) : utilisées pour détecter les corrélations entre journées intenses et crashs PEM (Post-Exertional Malaise, ou malaise post-effort). • Aucune donnée wearable n'est partagée avec d'autres utilisateurs.
Tes données personnelles et de santé sont conservées tant que ton compte reste actif. Lorsque tu supprimes ton compte, toutes tes données sont effacées de manière définitive et irréversible dans un délai maximum de 30 jours.
Conformément au Règlement général sur la protection des données (RGPD), tu disposes des droits suivants : • Droit d'accès : tu peux consulter l'ensemble de tes données personnelles. • Droit de rectification : tu peux corriger toute donnée inexacte. • Droit à l'effacement : tu peux supprimer ton compte et toutes tes données. • Droit à la portabilité : tu peux exporter tes données dans un rapport PDF. • Droit d'opposition : tu peux t'opposer à tout traitement de tes données. • Droit à la limitation : tu peux demander que le traitement de tes données soit restreint. La suppression du compte est accessible directement depuis l'application, via Profil > Supprimer mon compte. Pour exercer tes autres droits, écris-nous à contact@mylongpath.com.
MyLongPath n'utilise que les cookies strictement nécessaires au bon fonctionnement du service : • mlp-token : cookie d'authentification, marqué httpOnly et sécurisé. • mlp-locale : cookie de préférence de langue. Nous n'utilisons aucun cookie de traçage publicitaire. Nos analyses d'usage sont effectuées via Plausible, qui ne dépose aucun cookie.
Cette politique de confidentialité peut être modifiée à tout moment. En cas de modification substantielle, nous t'en informerons de manière claire avant toute entrée en vigueur. La date de la dernière mise à jour est toujours indiquée en haut de cette page.
MyLongPath utilise Vertex AI (Google Cloud Platform) avec le modèle Gemini, hébergés dans le même datacenter parisien (europe-west9) que les données applicatives. • Nous ne réalisons aucun entraînement spécialisé : nous utilisons le modèle Gemini générique, et la qualité des réponses repose entièrement sur notre travail d'ingénierie des prompts. • Aucune donnée personnelle n'est envoyée à l'IA, ni ton nom, ni ton e-mail, ni ta localisation, ni aucun identifiant direct. • Seules les données strictement utiles à chaque tâche sont transmises, par exemple l'évolution de tes traitements et de tes symptômes lorsque nous générons un insight personnel. • Pour les insights communautaires portant sur un traitement, déclenchés uniquement lorsqu'un nombre suffisant d'utilisateurs ont partagé leur expérience, seules des statistiques agrégées sont envoyées ; aucune donnée individuelle n'est transmise. • Conformément à notre contrat Vertex AI, Google ne réutilise pas les données que nous lui envoyons pour entraîner ses modèles.
Le suivi du cycle menstruel est un module entièrement optionnel, désactivé par défaut. Il ne devient actif qu'après une activation explicite de ta part depuis tes réglages. Cadre juridique • Les données de cycle menstruel constituent des données de santé sensibles au sens de l'article 9 du Règlement général sur la protection des données (RGPD). Leur traitement repose exclusivement sur ton consentement explicite et distinct, conformément à l'article 9.2.a du RGPD. • Tu peux retirer ce consentement à tout moment, sans avoir à te justifier et sans aucune conséquence sur le reste du service. Double opt-in • Un premier consentement active le suivi local, c'est-à-dire le stockage chiffré de tes cycles dans ton compte. • Un second consentement, séparé et facultatif, autorise l'inclusion de tes données dans les parcours anonymisés prévus par l'article 26 du RGPD. Par défaut, même si tu as activé le suivi, tes données de cycle sont exclues de ces parcours anonymisés. Ce qui est collecté (uniquement si tu actives le module) • Le type de suivi (cycle naturel, contraception cyclique, aménorrhée, périménopause, ménopause) et le type de contraception utilisé. • Les dates et l'intensité de tes règles, les épisodes de spotting et la longueur moyenne de ton cycle. • Ces champs sont sérialisés en JSON puis chiffrés au niveau applicatif en AES-256-GCM avant d'être écrits en base, en complément du chiffrement au repos assuré par Cloud SQL. • La clé de chiffrement est dérivée par utilisateur·rice via HKDF, à partir d'un secret maître stocké dans Google Secret Manager (région europe-west9, Paris, HDS). • Aucune clé de chiffrement, aucune donnée déchiffrée et aucune valeur de champ sensible ne transite dans nos journaux applicatifs ou nos outils de supervision. Ce que MyLongPath ne fait PAS • Nous ne faisons aucune prédiction d'ovulation, nous n'affichons aucune fenêtre de fertilité et nous ne suivons pas tes rapports sexuels. • Nous ne partageons aucune donnée avec des applications tierces : Apple Health et Health Connect restent en lecture seule. • Nous n'envoyons aucune notification push qui mentionnerait explicitement ton cycle sans ton opt-in dédié. • Aucun administrateur n'a accès à tes données déchiffrées : elles ne peuvent être lues qu'à travers l'application et uniquement pour ton propre compte. Hébergement exclusivement en UE : garanties post-Roe • Tes données de cycle sont hébergées et chiffrées exclusivement sur Google Cloud Platform, région europe-west9 (Paris, France, HDS). • La clé maîtresse est stockée dans Google Secret Manager, uniquement dans la région europe-west9. • Aucune donnée de cycle, qu'elle soit en clair ou chiffrée, n'est transférée vers une infrastructure située aux États-Unis ou dans une juridiction étrangère. • En cas d'injonction légale étrangère visant tes données de cycle, MyLongPath s'engage à refuser toute divulgation et à t'en informer, dans les limites autorisées par la loi française. Suppression en un geste, indépendante de la suppression de compte • Tu peux supprimer l'ensemble de tes données de cycle en un seul geste depuis tes réglages, sans supprimer ton compte et sans perdre tes autres données (journal, traitements, symptômes, rapports PDF). • Cette suppression est définitive et s'applique aux profils, à l'historique, aux événements et aux artefacts de chiffrement correspondants. Journal d'audit • Chaque action (création, lecture, modification, suppression, export) est journalisée avec uniquement les métadonnées techniques nécessaires : identifiant interne, horodatage et type d'action. Aucune valeur sensible n'y est inscrite. Référent interne • Pour toute question spécifique à ce module, écris-nous à contact@mylongpath.com avec l'objet « Module cycle menstruel ».
Pour toute question, écris-nous à contact@mylongpath.com.