Tracking et SDK tiers

Strenqo est édité et géré par Andreas Mondo (entreprise individuelle italienne, responsable du traitement).

1. Avant-propos

Strenqo est une application mobile native (iOS et Android). Elle n'utilise pas de cookies pour son fonctionnement et n'intègre pas de SDK publicitaires tiers ni de SDK de profilage comportemental.

Ce document décrit de manière transparente quels SDK télémétriques sont présents dans l'app et comment ils sont régis par le consentement de l'utilisateur.

2. SDK utilisés dans l'app

2.1 Sentry — Crash reporting (optionnel, soumis à consentement)

• Fournisseur : Functional Software, Inc. (opérant dans l'UE sous le nom de Sentry GmbH)
• Finalité : collecte des stack traces, breadcrumbs et informations sur l'appareil en cas de crash de l'app, à des fins de diagnostic et de correction d'erreurs
• Endpoint d'ingestion : UE / Allemagne (ingest.de.sentry.io), vérifié en production. Aucun transfert hors UE pour le crash reporting.
• Données collectées (avec expurgation des PII) : événement de crash, stack trace, breadcrumbs, version de l'app, OS, modèle d'appareil, identifiant utilisateur pseudonyme (UUID — pas l'e-mail). Expurgation automatique : les champs dont le nom correspond au motif email | password | token | secret | apiKey | sessionId | weight | height | phone | cookie | authorization. Les chaînes libres (messages d'erreur, breadcrumbs) sont en outre analysées pour détecter des motifs d'e-mail et de token, qui sont remplacés par [email] / [token].
• PII résiduelles : l'expurgation est une mitigation, pas une garantie. Des chaînes non couvertes par les motifs ci-dessus peuvent se retrouver dans les rapports de crash malgré l'expurgation.

2.2 Comportement du consentement

Le consentement au crash reporting n'est pas « opt-in global » :

1. Au cold start, Sentry n'est jamais initialisé tant que l'état du consentement n'a pas été chargé depuis le stockage local.
2. Si vous n'avez jamais fait de choix explicite, nous appliquons un défaut par marché une fois le pays de résidence disponible :

À tout moment, vous pouvez modifier votre choix dans Profil → Support, confidentialité et mentions légales → Diagnostic et rapport de crash.

3. SDK NON présents

Par transparence, Strenqo n'intègre aucun des éléments suivants :

En conséquence : Strenqo ne lit pas l'IDFA iOS / l'AAID Android, ne partage pas d'identifiants publicitaires avec des tiers, ne profile pas l'utilisateur à des fins de marketing cross-context, et n'affiche pas l'invite App Tracking Transparency (ATT).

4. SDK de plateforme (Apple / Google)

Pour assurer le fonctionnement natif de l'app, des SDK de plateforme obligatoires sont présents :

• Apple HealthKit (iOS) et Google Health Connect (Android) : lecture/écriture des données de santé sur l'appareil, uniquement avec le consentement explicite de l'OS
• Apple Push Notification service / Firebase Cloud Messaging : notifications locales et push, uniquement avec consentement explicite
• Google Maps SDK Android : rendu des tuiles de carte pour les itinéraires cardio outdoor — uniquement si vous utilisez la fonctionnalité GPS

5. Intégrations cloud wearable (pas de tracking)

Strenqo propose des intégrations basées sur OAuth avec des plateformes cloud fitness tierces — actuellement Whoop et Oura (voir la liste des sous-traitants §3 pour la liste complète, qui pourra être mise à jour à l'avenir avec des fournisseurs tels que Garmin Connect, Polar Flow, Fitbit / Google Fit, Suunto, Coros, Withings, Samsung Health). Ces intégrations ne sont pas des SDK de tracking et ne sont pas soumises aux analyses des §2 / §3 de la présente Politique : il s'agit de transmissions de données explicites, à la demande, autorisées par l'utilisateur via OAuth chez le fournisseur tiers.

Ce que vous devez savoir :

• Aucun SDK de ces fournisseurs n'est intégré à l'app Strenqo. Il n'y a pas de tracking en arrière-plan. Les données sont récupérées côté serveur par notre Edge Function Supabase lors d'une synchronisation planifiée (généralement une fois par jour) après que vous avez connecté le fournisseur.
• Vous décidez de chaque fournisseur individuellement : connecter Whoop ne connecte pas Oura, et vice versa.
• Vous pouvez vous déconnecter à tout moment depuis Profil → Santé connectée, ou depuis le tableau de bord du fournisseur.
• Aucun identifiant publicitaire n'est échangé avec le fournisseur ; seuls les tokens OAuth et votre identifiant utilisateur chez le fournisseur sont stockés sur notre backend.
• Nous n'importons pas les scores propriétaires du fournisseur (Whoop recovery/strain, Oura readiness, etc.) — uniquement les entrées biométriques brutes.

Les détails sur la responsabilité du traitement RGPD et sur le flux de données se trouvent dans la Politique de Confidentialité §4.A et dans la liste des sous-traitants §3.

6. Sous-traitants connectés (uniquement si autorisés)

Les données éventuellement transmises à des sous-traitants tiers (OpenAI pour l'AI Coach, RevenueCat pour les abonnements, Resend pour les e-mails transactionnels) ne sont jamais transmises à des fins publicitaires ou de profilage. Voir la liste des sous-traitants pour le détail complet.

7. Droits de l'utilisateur

Vos choix sur les toggles de consentement peuvent être modifiés à tout moment depuis Profil → Support, confidentialité et mentions légales. Pour désactiver complètement le Crash Reporting :

1. Ouvrez Strenqo
2. Appuyez sur « Profil »
3. Développez la carte « Support, confidentialité et mentions légales »
4. Désactivez « Diagnostic et rapport de crash »

Au lancement suivant la désactivation, le SDK Sentry n'est plus initialisé.

8. Contacts

• E-mail : strenqo-support@strenqo.eu
• PEC : andreasmondo@ultracert.it
• Droit de réclamation : vous pouvez introduire une réclamation auprès de la CNIL (France) ou de l'APD (Belgique), selon votre pays de résidence.