Documents légaux

Politique de Confidentialité

Dernière mise à jour : 25 mai 2026 · Version 1.0

Sommaire

  1. Responsable du traitement
  2. Données collectées
  3. Finalités et bases légales
  4. Partage des données
  5. Transferts hors UE
  6. Durée de conservation
  7. Vos droits RGPD
  8. Cookies et stockage local
  9. Sécurité des données
  10. Mineurs
  11. Modifications de la politique
  12. Contact et DPO

Article 1

Responsable du traitement

Le responsable du traitement de vos données personnelles est Slyra, éditeur de la plateforme accessible à l'adresse slyra.app.

Pour toute question relative à vos données, vous pouvez nous contacter via notre page contact ou par e-mail à privacy@slyra.app.

La présente politique de confidentialité s'applique à l'ensemble des services Slyra, y compris l'application NutriTrack, TravelKit, et les fonctionnalités de compte associées.

Article 2

Données collectées

2.1 Données fournies lors de l'inscription.

  • Adresse e-mail ;
  • Prénom et nom de famille ;
  • Date de naissance ;
  • Genre ;
  • Numéro de téléphone (optionnel) ;
  • Pays de résidence (optionnel) ;
  • Mot de passe (stocké sous forme hachée - jamais en clair).

2.2 Données de santé et de nutrition (catégorie sensible au sens du RGPD) :

  • Poids, taille et mesures corporelles ;
  • Objectifs nutritionnels et caloriques ;
  • Journal alimentaire (aliments consommés, quantités, macronutriments) ;
  • Historique de poids et évolution corporelle ;
  • Données d'activité physique.

2.3 Données de connexion et d'utilisation :

  • Adresse IP et identifiants de session ;
  • Horodatages de connexion et d'actions ;
  • Type de navigateur et système d'exploitation ;
  • Préférences d'affichage (langue, thème).

2.4 Données issues d'un fournisseur tiers. Si vous vous connectez via Google OAuth, nous recevons de Google votre adresse e-mail, votre nom et votre photo de profil (si disponible). Aucune autre donnée Google n'est collectée. Vos identifiants Google ne nous sont jamais transmis.

Article 3

Finalités et bases légales

Nous traitons vos données sur les bases légales suivantes :

  • Exécution du contrat - Créer et gérer votre compte, vous fournir les services Slyra, traiter vos données de nutrition et de santé pour générer vos rapports et recommandations personnalisés.
  • Intérêt légitime - Assurer la sécurité de la plateforme, prévenir la fraude, améliorer nos services sur la base de données agrégées et anonymisées, envoyer des notifications techniques liées à votre compte.
  • Consentement explicite - Traiter vos données de santé (catégorie sensible), vous envoyer des communications marketing ou promotionnelles. Vous pouvez retirer votre consentement à tout moment.
  • Obligation légale - Répondre aux réquisitions des autorités compétentes ou respecter des obligations comptables et fiscales.

Article 4

Partage des données

Vos données ne sont jamais vendues. Elles peuvent être partagées uniquement dans les cas suivants :

  • Supabase - Fournisseur d'infrastructure de base de données et d'authentification. Vos données sont hébergées sur leurs serveurs situés dans l'Union Européenne. Supabase est lié par un accord de traitement des données conforme au RGPD.
  • Cloudflare - Protection contre les bots via Turnstile (vérification CAPTCHA lors de l'inscription et de la connexion). Cloudflare reçoit un jeton de vérification anonyme, sans accès à vos données personnelles.
  • Google - Uniquement si vous utilisez la connexion Google OAuth. Google agit en tant que fournisseur d'identité ; une fois connecté, vos données Slyra ne lui sont pas transmises.
  • Autorités légales - En réponse à une obligation légale, une décision judiciaire ou une réquisition des forces de l'ordre.

Tout sous-traitant est sélectionné selon des critères stricts de sécurité et de conformité RGPD, et est lié contractuellement à des obligations de confidentialité.

Article 5

Transferts hors UE

Slyra s'efforce de maintenir vos données au sein de l'Union Européenne. Certains de nos sous-traitants (notamment Cloudflare) peuvent traiter des données dans des pays tiers. Dans ce cas, ces transferts sont encadrés par des garanties appropriées :

  • Clauses contractuelles types (CCT) approuvées par la Commission européenne ;
  • Décisions d'adéquation de la Commission européenne pour les pays concernés.

Pour plus d'informations sur les garanties applicables, contactez-nous à privacy@slyra.app.

Article 6

Durée de conservation

  • Compte actif - Vos données sont conservées pendant toute la durée d'activité de votre compte.
  • Après fermeture du compte - Vos données personnelles sont supprimées dans un délai de 30 jours suivant la confirmation de fermeture. Les données de santé (journal alimentaire, historique de poids) sont supprimées immédiatement.
  • Données de facturation (si abonnement payant) - Conservées 10 ans conformément aux obligations comptables légales françaises.
  • Logs de sécurité - Conservés 12 mois à des fins de détection des fraudes et de sécurité.
  • Comptes incomplets (inscription non finalisée) - Supprimés au bout de 30 jours d'inactivité.

Article 7

Vos droits RGPD

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :

  • Droit d'accès (art. 15) - Obtenir une copie de l'ensemble de vos données personnelles traitées par Slyra.
  • Droit de rectification (art. 16) - Corriger des données inexactes ou incomplètes. La plupart des données sont modifiables directement depuis vos paramètres.
  • Droit à l'effacement (art. 17) - Demander la suppression de vos données, sauf lorsqu'une obligation légale impose leur conservation.
  • Droit à la portabilité (art. 20) - Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV).
  • Droit d'opposition (art. 21) - Vous opposer au traitement fondé sur notre intérêt légitime.
  • Droit à la limitation (art. 18) - Demander la suspension temporaire du traitement dans certaines circonstances.
  • Retrait du consentement - Retirer à tout moment votre consentement au traitement de données de santé ou aux communications marketing, sans que cela affecte la licéité du traitement antérieur.

Pour exercer l'un de ces droits, contactez-nous à privacy@slyra.app. Nous répondrons dans un délai maximum de 30 jours. Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

Article 8

Cookies et stockage local

Slyra utilise le stockage local du navigateur (localStorage / sessionStorage) pour :

  • Conserver votre session d'authentification ;
  • Mémoriser votre préférence de langue ;
  • Mémoriser votre adresse e-mail si vous cochez « Se souvenir de moi » ;
  • Sauvegarder vos préférences d'affichage (thème, couleurs).

Ces données restent locales à votre appareil et ne sont pas transmises à nos serveurs sauf lors des requêtes d'authentification standard.

Cookies tiers : Cloudflare Turnstile (CAPTCHA) utilise des cookies fonctionnels nécessaires à la vérification anti-bot. Ces cookies ne sont pas utilisés à des fins publicitaires.

Slyra n'utilise pas de cookies publicitaires ou de tracking tiers. Aucun pixel de suivi marketing n'est intégré à la plateforme.

Article 9

Sécurité des données

Slyra met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte, altération ou divulgation :

  • Chiffrement en transit - Toutes les communications entre votre navigateur et nos serveurs sont chiffrées via HTTPS/TLS ;
  • Chiffrement au repos - Vos données sont stockées de manière chiffrée dans l'infrastructure Supabase ;
  • Mots de passe hachés - Vos mots de passe sont stockés sous forme de hash bcrypt. Nous n'avons jamais accès à votre mot de passe en clair ;
  • Authentification renforcée - Support de l'authentification à deux facteurs (2FA/MFA) ;
  • CAPTCHA - Protection contre les tentatives d'accès automatisées via Cloudflare Turnstile ;
  • Politique de moindre privilège - L'accès aux données de production est restreint aux seules personnes qui en ont besoin.

En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, nous nous engageons à vous en notifier dans les 72 heures suivant sa découverte, conformément à l'article 34 du RGPD.

Article 10

Mineurs

Slyra est accessible aux personnes âgées d'au moins 15 ans. Nous ne collectons pas sciemment de données personnelles concernant des enfants de moins de 15 ans. Si vous êtes parent ou tuteur et pensez que votre enfant nous a fourni des données à son insu, contactez-nous à privacy@slyra.app pour demander leur suppression immédiate.

Article 11

Modifications de la politique

Nous pouvons mettre à jour cette politique de confidentialité pour refléter l'évolution de nos pratiques ou des exigences légales. En cas de modification substantielle, vous serez informé par e-mail au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions.

La date de dernière mise à jour est indiquée en haut de cette page. L'utilisation continue de la plateforme après notification vaut acceptation de la politique révisée.

Article 12

Contact et DPO

Pour toute question relative à la protection de vos données personnelles ou à l'exercice de vos droits :

Nous nous engageons à répondre à toute demande dans un délai de 30 jours. Si vous n'êtes pas satisfait de notre réponse, vous avez le droit de saisir la CNIL à l'adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 - www.cnil.fr.

© 2026 Slyra · Conditions d'utilisation · Contact

Legal documents

Privacy Policy

Last updated: May 25, 2026 · Version 1.0

Table of contents

  1. Data controller
  2. Data we collect
  3. Purposes & legal basis
  4. Data sharing
  5. International transfers
  6. Data retention
  7. Your rights
  8. Cookies & local storage
  9. Data security
  10. Children
  11. Policy changes
  12. Contact & DPO

Section 1

Data controller

The data controller for your personal data is Slyra, publisher of the platform available at slyra.app.

For any data-related questions, contact us via our contact page or by email at privacy@slyra.app.

This Privacy Policy applies to all Slyra services, including the NutriTrack application, TravelKit, and all associated account features.

Section 2

Data we collect

2.1 Registration data:

  • Email address;
  • First and last name;
  • Date of birth;
  • Gender;
  • Phone number (optional);
  • Country of residence (optional);
  • Password (stored as a hash - never in plain text).

2.2 Health & nutrition data (special category under GDPR):

  • Weight, height, and body measurements;
  • Nutritional and calorie goals;
  • Food diary (foods consumed, quantities, macronutrients);
  • Weight history and body composition over time;
  • Physical activity data.

2.3 Usage & technical data:

  • IP address and session identifiers;
  • Login timestamps and action logs;
  • Browser type and operating system;
  • Display preferences (language, theme).

2.4 Third-party sign-in data. If you sign in via Google OAuth, we receive your email address, name, and profile picture (if available) from Google. No other Google data is collected. Your Google credentials are never transmitted to us.

Section 3

Purposes & legal basis

We process your data on the following legal bases:

  • Contract performance - Creating and managing your account, providing Slyra services, processing your nutrition and health data to generate personalised reports and recommendations.
  • Legitimate interest - Ensuring platform security, preventing fraud, improving our services using aggregated and anonymised data, sending technical account notifications.
  • Explicit consent - Processing your health data (special category), sending marketing or promotional communications. You may withdraw consent at any time.
  • Legal obligation - Responding to lawful requests from competent authorities or meeting accounting and tax obligations.

Section 4

Data sharing

Your data is never sold. It may be shared only in the following circumstances:

  • Supabase - Database infrastructure and authentication provider. Your data is hosted on their servers within the European Union. Supabase is bound by a GDPR-compliant data processing agreement.
  • Cloudflare - Bot protection via Turnstile (CAPTCHA verification during sign-up and login). Cloudflare receives an anonymous verification token with no access to your personal data.
  • Google - Only if you use Google OAuth sign-in. Google acts as an identity provider; once authenticated, your Slyra data is not transmitted to Google.
  • Legal authorities - In response to a legal obligation, court order, or law enforcement request.

All sub-processors are selected according to strict security and GDPR compliance criteria and are contractually bound to confidentiality obligations.

Section 5

International transfers

Slyra strives to keep your data within the European Union. Some of our sub-processors (including Cloudflare) may process data in third countries. In such cases, transfers are governed by appropriate safeguards:

  • Standard Contractual Clauses (SCCs) approved by the European Commission;
  • European Commission adequacy decisions for the countries concerned.

For more information on the applicable safeguards, contact us at privacy@slyra.app.

Section 6

Data retention

  • Active account - Your data is retained for the entire duration your account is active.
  • After account closure - Personal data is deleted within 30 days of confirmed closure. Health data (food diary, weight history) is deleted immediately.
  • Billing data (paid subscriptions) - Retained for 10 years in accordance with French legal accounting obligations.
  • Security logs - Retained for 12 months for fraud detection and security purposes.
  • Incomplete accounts (registration not finalised) - Deleted after 30 days of inactivity.

Section 7

Your rights

Under GDPR (Articles 15–22), you have the following rights:

  • Right of access (Art. 15) - Obtain a copy of all personal data we process about you.
  • Right to rectification (Art. 16) - Correct inaccurate or incomplete data. Most data can be updated directly in your account settings.
  • Right to erasure (Art. 17) - Request deletion of your data, except where legal retention obligations apply.
  • Right to data portability (Art. 20) - Receive your data in a structured, commonly used, machine-readable format (JSON or CSV).
  • Right to object (Art. 21) - Object to processing based on our legitimate interest.
  • Right to restriction (Art. 18) - Request temporary suspension of processing in certain circumstances.
  • Withdrawal of consent - Withdraw consent to health data processing or marketing communications at any time, without affecting the lawfulness of prior processing.

To exercise any of these rights, contact us at privacy@slyra.app. We will respond within 30 days. If you believe your rights are not being respected, you may lodge a complaint with your local data protection authority. In France: CNIL - www.cnil.fr.

Section 8

Cookies & local storage

Slyra uses browser local storage (localStorage / sessionStorage) to:

  • Maintain your authentication session;
  • Remember your language preference;
  • Remember your email address if you check "Remember me";
  • Save your display preferences (theme, colours).

This data remains local to your device and is not transmitted to our servers except during standard authentication requests.

Third-party cookies: Cloudflare Turnstile (CAPTCHA) uses functional cookies necessary for anti-bot verification. These cookies are not used for advertising purposes.

Slyra does not use any advertising or third-party tracking cookies. No marketing tracking pixels are embedded in the platform.

Section 9

Data security

Slyra implements appropriate technical and organisational measures to protect your data against unauthorised access, loss, alteration, or disclosure:

  • Encryption in transit - All communications between your browser and our servers are encrypted via HTTPS/TLS;
  • Encryption at rest - Your data is stored in encrypted form within the Supabase infrastructure;
  • Hashed passwords - Passwords are stored as bcrypt hashes. We never have access to your password in plain text;
  • Strong authentication - Support for two-factor authentication (2FA/MFA);
  • CAPTCHA - Protection against automated access attempts via Cloudflare Turnstile;
  • Least-privilege policy - Access to production data is restricted to those who strictly need it.

In the event of a data breach likely to result in a high risk to your rights and freedoms, we will notify you within 72 hours of discovery, in accordance with GDPR Article 34.

Section 10

Children

Slyra is accessible to users aged 15 and over. We do not knowingly collect personal data from children under 15. If you are a parent or guardian and believe your child has provided us with data without your knowledge, please contact us at privacy@slyra.app to request immediate deletion.

Section 11

Policy changes

We may update this Privacy Policy to reflect changes in our practices or legal requirements. In the event of a material change, you will be notified by email at least 30 days before the new provisions take effect. The date of last update is shown at the top of this page. Continued use of the platform after notification constitutes acceptance of the revised policy.

Section 12

Contact & DPO

For any questions about the protection of your personal data or the exercise of your rights:

We will respond to all requests within 30 days. If you are not satisfied with our response, you have the right to lodge a complaint with the CNIL: 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 - www.cnil.fr.

© 2026 Slyra · Terms of Service · Contact