PRÉAMBULE

APPFACTORY, société par actions simplifiée au capital de 1 000 euros, immatriculée au RCS de Paris sous le numéro 942 134 289, dont le siège social est situé 66 Avenue des Champs-Élysées, 75008 Paris (ci-après « Luma » ou le « Responsable du traitement »), attache une importance fondamentale à la protection des données personnelles de ses utilisatrices.

La présente Politique de confidentialité a pour objet d'informer les Clients et utilisateurs de la plateforme Luma (ci-après le « Site », accessible à l'adresse https://luma.coach) sur la nature des données personnelles collectées, les finalités et bases légales de leur traitement, les destinataires, les durées de conservation, ainsi que les droits dont ils disposent.

Elle est rédigée conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après « RGPD »), et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci-après « loi Informatique et Libertés »).

Cette politique fait partie intégrante des Conditions Générales de Vente et des Modalités de souscription disponibles sur le Site.

ARTICLE 1 — RESPONSABLE DU TRAITEMENT

Le responsable du traitement des données personnelles collectées via la plateforme Luma est :

• APPFACTORY — Société par actions simplifiée (SAS)
• Capital social : 1 000 euros
• Siège social : 66 Avenue des Champs-Élysées, 75008 Paris, France
• RCS Paris — SIREN : 942 134 289
• N° TVA intracommunautaire : FR01942134289
• E-mail : contact@luma.coach

Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter le responsable du traitement à l'adresse e-mail : contact@luma.coach

ARTICLE 2 — DONNÉES COLLECTÉES

2.1 — Données collectées lors de la création du compte

Lors de la création de son compte, le Client fournit les données suivantes :

• Prénom
• Nom
• Adresse e-mail

Un mot de passe temporaire est automatiquement généré et adressé au Client à l'adresse e-mail renseignée lors de son inscription.

Le Client est invité à le modifier dès sa première connexion via la fonctionnalité de réinitialisation disponible sur le Site.

Les mots de passe sont stockés sous forme chiffrée et ne sont jamais accessibles en clair par l'équipe Luma.

2.2 — Données collectées lors du questionnaire de personnalisation

Le questionnaire de personnalisation est conçu pour adapter le programme Luma au profil du Client.

Il peut collecter des informations relatives à :

• La situation sentimentale et relationnelle du Client.
• Les objectifs personnels en matière de bien-être, de confiance en soi et d'épanouissement.
• Les difficultés ou préoccupations personnelles exprimées librement par le Client.

Ces données sont susceptibles de constituer des données sensibles au sens de l'article 9 du RGPD dans la mesure où elles peuvent révéler des informations sur la vie privée du Client.

Leur traitement est fondé sur le consentement explicite du Client, recueilli lors de la souscription.

2.3 — Données collectées lors du paiement

Les données bancaires (numéro de carte, date d'expiration, cryptogramme) sont collectées et traitées exclusivement par notre prestataire de paiement agréé, conformément aux normes PCI DSS.

Luma ne stocke aucune donnée bancaire sur ses propres serveurs.

Les données de facturation collectées par Luma sont limitées à : le montant de la transaction, la date, la durée de l'abonnement souscrit et l'adresse e-mail associée.

2.4 — Données collectées lors de l'utilisation de la plateforme

Durant l'utilisation de la plateforme, Luma collecte également :

• Les données de connexion et de navigation : adresse IP, type et version du navigateur, système d'exploitation, pages visitées, dates et heures de connexion.
• Les données de progression : modules consultés, essentiels complétés, bilan de progression, score d'avancement.
• Les contenus publiés dans la Communauté : messages, questions, commentaires postés par le Client dans les espaces d'échange.
• Les échanges avec Elia : conversations avec la coach virtuelle, conservées pour assurer la continuité et la personnalisation du coaching.
• Les données de la Glow-Up Routine : habitudes et préférences renseignées par le Client.

2.5 — Données collectées via les cookies

Des cookies et traceurs sont déposés sur le terminal du Client lors de sa navigation sur le Site, dans les conditions décrites dans la Politique de cookies.

ARTICLE 3 — FINALITÉS ET BASES LÉGALES DES TRAITEMENTS

Luma traite les données personnelles du Client pour les finalités suivantes :

• Gestion de la relation contractuelle (création et gestion du compte, accès aux Services, facturation, renouvellement, résiliation) — Base légale : exécution du contrat (article 6.1.b du RGPD).
• Personnalisation du programme et des recommandations selon le profil et les objectifs du Client — Base légale : consentement explicite (article 6.1.a et article 9.2.a du RGPD pour les données sensibles).
• Fonctionnement de la coach virtuelle Elia et continuité des échanges — Base légale : exécution du contrat (article 6.1.b du RGPD).
• Envoi des e-mails transactionnels (confirmation de commande, factures, avis de renouvellement, confirmation de résiliation) — Base légale : exécution du contrat (article 6.1.b du RGPD).
• Envoi de communications marketing et d'offres promotionnelles — Base légale : consentement (article 6.1.a du RGPD) ou intérêt légitime pour les clients existants (article 6.1.f du RGPD), avec possibilité de désinscription à tout moment.
• Amélioration de la plateforme, analyse des usages et mesure d'audience — Base légale : intérêt légitime (article 6.1.f du RGPD).
• Modération de la Communauté et prévention des comportements abusifs — Base légale : intérêt légitime (article 6.1.f du RGPD).
• Respect des obligations légales (conservation des données comptables, réponse aux réquisitions judiciaires) — Base légale : obligation légale (article 6.1.c du RGPD).

ARTICLE 4 — DURÉES DE CONSERVATION

Les données personnelles du Client sont conservées pour les durées suivantes :

• Données de compte (prénom, e-mail) : pendant toute la durée de l'abonnement actif, puis supprimées dans un délai de 30 jours suivant la résiliation ou l'expiration du dernier abonnement.
• Données du questionnaire de personnalisation et de progression : pendant toute la durée de l'abonnement actif, puis supprimées dans un délai de 30 jours suivant la résiliation.
• Échanges avec Elia : pendant toute la durée de l'abonnement actif, puis supprimés dans un délai de 30 jours suivant la résiliation.
• Contenus publiés dans la Communauté : supprimés à la résiliation du compte, sauf obligation légale de conservation.
• Données de facturation et comptables : conservées pendant 10 ans conformément à l'article L. 123-22 du Code de commerce.
• Données de connexion et logs techniques : conservées pendant 12 mois conformément à l'article L. 34-1 du Code des postes et des communications électroniques.
• Données relatives au consentement : conservées pendant 3 ans à compter de leur collecte, à titre de preuve.

À l'expiration de ces délais, les données sont supprimées de manière sécurisée et définitive ou anonymisées à des fins statistiques.

ARTICLE 5 — DESTINATAIRES DES DONNÉES

5.1 — Accès interne

Les données personnelles du Client sont accessibles uniquement aux membres de l'équipe Luma habilités, dans la stricte limite de leurs attributions et des finalités décrites à l'article 3.

5.2 — Sous-traitants

Luma fait appel à des prestataires techniques agissant en qualité de sous-traitants au sens du RGPD, liés par des contrats garantissant un niveau de protection adéquat des données.

Ces prestataires interviennent notamment pour :

• L'hébergement de la plateforme : Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg.
• Le traitement des paiements : prestataire de paiement agréé (PCI DSS), dont les coordonnées sont disponibles sur demande.
• L'envoi des e-mails transactionnels et marketing : prestataire d'envoi d'e-mails, dont les coordonnées sont disponibles sur demande.
• L'analyse d'audience et l'amélioration du service : outils d'analyse web, utilisés dans les conditions décrites dans la Politique de cookies.

5.3 — Transferts hors Union Européenne

Certains de nos sous-traitants, dont Amazon Web Services, peuvent traiter des données dans des pays situés hors de l'Union Européenne.

Dans ce cas, Luma s'assure que ces transferts sont encadrés par des garanties appropriées conformément au chapitre V du RGPD, notamment par le recours aux clauses contractuelles types adoptées par la Commission européenne ou par le biais de l'accord UE-États-Unis sur la protection des données (Data Privacy Framework).

5.4 — Absence de cession à des tiers commerciaux

Luma ne vend, ne loue et ne cède jamais les données personnelles de ses Clients à des tiers à des fins commerciales ou publicitaires.

Les données ne sont communiquées à des tiers qu'en cas d'obligation légale ou de réquisition judiciaire.

ARTICLE 6 — DROITS DES PERSONNES CONCERNÉES

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, le Client dispose des droits suivants sur ses données personnelles :

• Droit d'accès (art. 15 RGPD) : obtenir la confirmation que des données le concernant sont traitées et en obtenir une copie.
• Droit de rectification (art. 16 RGPD) : faire corriger toute donnée inexacte ou incomplète.
• Droit à l'effacement (art. 17 RGPD) : demander la suppression de ses données, sous réserve des obligations légales de conservation.
• Droit à la limitation du traitement (art. 18 RGPD) : demander la suspension temporaire du traitement de ses données.
• Droit à la portabilité (art. 20 RGPD) : recevoir ses données dans un format structuré, couramment utilisé et lisible par machine.
• Droit d'opposition (art. 21 RGPD) : s'opposer à tout moment au traitement de ses données fondé sur l'intérêt légitime, notamment à des fins de prospection commerciale.
• Droit de retirer son consentement à tout moment, sans que cela remette en cause la licéité du traitement effectué avant ce retrait.
• Droit de définir des directives relatives au sort de ses données après son décès (art. 85 de la loi Informatique et Libertés).

6.1 — Modalités d'exercice des droits

Le Client peut exercer ses droits à tout moment en adressant une demande :

• Par e-mail à : contact@luma.coach
• Via le formulaire de contact disponible à la page Contact

Le Prestataire s'engage à répondre à toute demande dans un délai d'un (1) mois à compter de sa réception.

Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe ou multiple, après en avoir informé le Client.

Une pièce d'identité pourra être demandée afin de vérifier l'identité du demandeur et prévenir toute demande frauduleuse.

6.2 — Droit de réclamation auprès de la CNIL

Si le Client estime que le traitement de ses données personnelles n'est pas conforme à la réglementation applicable, il dispose du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• Site internet : https://www.cnil.fr
• Adresse postale : CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

ARTICLE 7 — SÉCURITÉ DES DONNÉES

Luma met en œuvre toutes les mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données personnelles du Client, conformément à l'article 32 du RGPD.

Ces mesures incluent notamment :

• Le chiffrement des données sensibles (mots de passe, données bancaires) en transit et au repos.
• L'hébergement des données sur des serveurs sécurisés Amazon Web Services, bénéficiant de certifications ISO 27001 et SOC 2.
• La restriction des accès aux données au seul personnel habilité, sur la base du principe du moindre privilège.
• La mise en place de procédures de sauvegarde régulières et de plans de continuité d'activité.
• La surveillance continue des systèmes pour détecter toute intrusion ou incident de sécurité.

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés du Client, Luma s'engage à en informer la CNIL dans les 72 heures suivant sa découverte, conformément à l'article 33 du RGPD, et à notifier les personnes concernées dans les meilleurs délais si le risque est élevé.

ARTICLE 8 — DONNÉES DES MINEURS

La plateforme Luma est exclusivement destinée aux personnes physiques majeures (âgées de 18 ans ou plus).

Luma ne collecte sciemment aucune donnée personnelle de personnes mineures.

Si un mineur venait à s'inscrire en contournant cette restriction, ses données seraient supprimées dès que Luma en aurait connaissance.

Tout parent ou tuteur légal ayant connaissance d'une telle situation est invité à contacter Luma à l'adresse contact@luma.coach.

ARTICLE 9 — COOKIES ET TRACEURS

La présente Politique de confidentialité doit être lue conjointement avec la Politique de cookies de Luma, disponible sur le Site à la page Politique de cookies, qui détaille les types de cookies utilisés, leurs finalités, leur durée de vie et les modalités pour les accepter ou les refuser.

ARTICLE 10 — TRAITEMENT DES DONNÉES PAR ELIA

La coach virtuelle Elia est propulsée par une technologie d'intelligence artificielle.

Les échanges du Client avec Elia sont traités et conservés afin d'assurer la continuité, la cohérence et la personnalisation du coaching.

Ces données ne sont utilisées qu'à des fins d'amélioration de l'expérience du Client sur la plateforme et ne sont jamais utilisées pour entraîner des modèles d'IA tiers sans consentement explicite préalable du Client.

Le Client est informé que les réponses d'Elia sont générées de manière automatisée et ne constituent pas des avis médicaux, psychologiques ou thérapeutiques.

En cas de détresse émotionnelle sérieuse, le Client est invité à consulter un professionnel de santé qualifié.

ARTICLE 11 — MODIFICATIONS DE LA POLITIQUE

Luma se réserve le droit de modifier la présente Politique de confidentialité à tout moment, notamment pour se conformer à toute évolution réglementaire, jurisprudentielle ou technique.

Les modifications entrent en vigueur dès leur publication sur le Site.

En cas de modification substantielle affectant les droits du Client, celui-ci en sera informé par e-mail avec un préavis raisonnable.

La poursuite de l'utilisation de la plateforme après l'entrée en vigueur des modifications vaut acceptation de la nouvelle politique.

La version en vigueur est celle datée en haut du présent document.

Les versions antérieures sont archivées et disponibles sur demande auprès du service client.