Lancement — Accès limité à 250 Membres pour garantir la qualité du suivi personnalisé.

Politique de confidentialité

Préambule

La société Singular Lab SAS (ci-après « Singular », « nous », « notre » ou « nos ») accorde une importance fondamentale à la protection de vos données personnelles et à votre vie privée.

La présente politique de confidentialité a pour objet de vous informer de manière claire, complète et transparente sur la façon dont nous collectons, utilisons, conservons et protégeons vos données personnelles lorsque vous utilisez notre plateforme de personnalisation nutritionnelle.

Qualification réglementaire : Singular est un service de personnalisation nutritionnelle à visée de bien-être. Il n'est pas un dispositif médical au sens du Règlement (UE) 2017/745 et ne constitue en aucun cas un outil de diagnostic médical, un substitut à une consultation médicale, ou un service de prescription de médicaments. Les produits proposés sont des compléments alimentaires au sens de la Directive 2002/46/CE.

1. Définitions

Pour faciliter la compréhension de la présente politique, les termes suivants sont définis :

  • « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable (Art. 4 RGPD).
  • « Données de santé » : données personnelles relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne (Art. 4.15 RGPD).
  • « Traitement » : toute opération effectuée sur des données personnelles (collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, etc.).
  • « Responsable du traitement » : la personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles.
  • « Sous-traitant » : la personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement.
  • « HDS » : Hébergeur de Données de Santé, certification française obligatoire pour l'hébergement de données de santé (Art. L1111-8 Code de la Santé Publique).
  • « EEE » : Espace Économique Européen (Union européenne + Islande, Liechtenstein, Norvège).
  • « RGPD » : Règlement Général sur la Protection des Données, Règlement (UE) 2016/679.

2. Responsable du traitement

Le responsable du traitement de vos données personnelles est :

  • Dénomination sociale : Singular Lab SAS ;
  • Forme juridique : Société par Actions Simplifiée ;
  • RCS : Paris 999 248 701 ;
  • N° TVA intracommunautaire : FR12 999 248 701 ;
  • Siège social : 60 rue François 1er, 75008 Paris, France ;
  • Représentant légal : Kilian Füg, Président.

2.1. Délégué à la Protection des Données (DPO)

Conformément à l'article 37 du RGPD, et compte tenu du traitement de données de santé à grande échelle, nous avons désigné un Délégué à la Protection des Données que vous pouvez contacter pour toute question relative à vos données personnelles :

  • Email : dpo@singularlab.com ;
  • Adresse postale : Singular Lab SAS - DPO, 60 rue François 1er, 75008 Paris, France.

3. Données personnelles collectées

Dans le cadre de notre service, nous collectons différentes catégories de données personnelles. Nous appliquons le principe de minimisation des données (Art. 5.1.c RGPD) : nous ne collectons que les données strictement nécessaires aux finalités décrites ci-après.

3.1. Données d'identification et de contact

  • Adresse email (obligatoire pour la création de compte) ;
  • Prénom (obligatoire pour la personnalisation) ;
  • Nom de famille (facultatif) ;
  • Adresse de livraison (obligatoire pour les commandes) ;
  • Adresse de facturation (obligatoire pour les commandes).

3.2. Données de santé (catégorie particulière - Art. 9 RGPD)

Important : Ces données font l'objet d'une protection renforcée et leur traitement nécessite votre consentement explicite.

  • Biomarqueurs biologiques : Valeurs numériques extraites de vos bilans sanguins (vitamines, minéraux, hormones, etc.), unités de mesure, plages de référence du laboratoire ;
  • Questionnaire de profil nutritionnel : Sexe biologique, tranche d'âge, objectifs de bien-être, conditions particulières déclarées (grossesse, allergies alimentaires, restrictions), mode de vie ;
  • Interprétations personnalisées : Données de catégorisation et plages de référence de votre profil nutritionnel ;
  • Formulations nutritionnelles : Composition personnalisée de votre formule de compléments alimentaires (ingrédients, dosages).

3.3. Données de transaction

  • Historique des commandes et abonnements ;
  • Statut des paiements ;
  • Identifiants de transaction (les données bancaires complètes sont traitées directement par notre prestataire de paiement certifié PCI-DSS et ne sont jamais stockées sur nos serveurs).

3.4. Données techniques et de navigation

  • Adresse IP (anonymisée pour les statistiques) ;
  • Type de navigateur et système d'exploitation ;
  • Pages consultées et horodatage des connexions ;
  • Cookies techniques nécessaires au fonctionnement du service.

3.5. Données que nous ne collectons PAS

Dans un souci de minimisation et de protection de votre vie privée :

  • Documents originaux : Les fichiers PDF ou images de vos bilans sanguins sont supprimés immédiatement après extraction des valeurs numériques. Nous ne conservons jamais vos documents originaux.
  • Numéro de sécurité sociale (NIR) ;
  • Date de naissance complète : Nous demandons uniquement votre année de naissance ou tranche d'âge ;
  • Données bancaires complètes : Traitées exclusivement par notre prestataire de paiement certifié.

4. Bases légales des traitements

Conformément au RGPD, tout traitement de données personnelles doit reposer sur une base légale. Voici les bases légales applicables à nos traitements :

4.1. Consentement explicite (Art. 9.2.a RGPD)

Pour le traitement de vos données de santé, nous recueillons votre consentement explicite, libre, spécifique, éclairé et univoque. Ce consentement est requis pour :

  • L'analyse de vos bilans sanguins et l'extraction de biomarqueurs ;
  • La génération d'interprétations personnalisées de votre profil nutritionnel ;
  • La création de formulations de compléments alimentaires adaptées à votre profil.

Vous pouvez retirer votre consentement à tout moment depuis les paramètres de votre compte ou en nous contactant. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait.

4.2. Exécution du contrat (Art. 6.1.b RGPD)

Certains traitements sont nécessaires à l'exécution du contrat qui nous lie :

  • Création et gestion de votre compte utilisateur ;
  • Traitement de vos commandes et abonnements ;
  • Livraison de vos produits personnalisés ;
  • Envoi d'emails transactionnels (confirmations de commande, suivi de livraison, magic links d'authentification) ;
  • Service client.

4.3. Obligation légale (Art. 6.1.c RGPD)

Nous sommes tenus de conserver certaines données pour respecter nos obligations légales :

  • Conservation des factures et données comptables (10 ans - Art. L123-22 Code de commerce) ;
  • Traçabilité des accès aux données de santé (1 an - Référentiel HDS) ;
  • Conservation des logs de connexion (1 an - LCEN).

4.4. Intérêt légitime (Art. 6.1.f RGPD)

Dans certains cas limités, nous traitons des données sur la base de notre intérêt légitime :

  • Sécurité de notre système d'information (prévention des fraudes, détection d'intrusions) ;
  • Amélioration continue de nos services (statistiques anonymisées).

5. Finalités des traitements

Vos données personnelles sont traitées pour les finalités suivantes :

5.1. Analyse de vos bilans sanguins

Base légale : Consentement explicite
Description : Extraction automatisée des valeurs de biomarqueurs à partir de vos bilans sanguins pour établir votre profil nutritionnel. Les fichiers originaux sont supprimés immédiatement après extraction.
Durée de conservation : Biomarqueurs conservés pendant la durée de votre compte + 3 ans.

5.2. Génération d'interprétations personnalisées

Base légale : Consentement explicite
Description : Catégorisation de vos biomarqueurs et association aux plages de référence (laboratoire et littérature scientifique) pour visualiser votre profil nutritionnel. Ces données ne constituent pas un diagnostic médical.
Durée de conservation : Durée de votre compte + 3 ans.

5.3. Formulation de recommandations nutritionnelles

Base légale : Consentement explicite
Description : Génération d'une formule personnalisée de compléments alimentaires adaptée à votre profil biologique et vos réponses au questionnaire.
Durée de conservation : Durée de votre compte + 3 ans.

5.4. Gestion de votre compte utilisateur

Base légale : Exécution du contrat
Description : Création, authentification sécurisée (magic links) et gestion de votre espace personnel.
Durée de conservation : Durée de la relation commerciale + 3 ans.

5.5. Gestion des paiements et abonnements

Base légale : Exécution du contrat / Obligation légale
Description : Traitement de vos paiements via notre prestataire certifié PCI-DSS, gestion des abonnements récurrents, émission des factures.
Durée de conservation : 10 ans pour les données de facturation (obligation légale).

5.6. Emails transactionnels

Base légale : Exécution du contrat
Description : Envoi de communications liées au service (authentification, confirmations de commande, suivi de livraison, notifications importantes).
Données concernées : Email et prénom uniquement. Aucune donnée de santé n'est jamais incluse dans les emails.

5.7. Sécurité et audit

Base légale : Obligation légale (Référentiel HDS) / Intérêt légitime
Description : Traçabilité des accès aux données de santé, détection d'anomalies, prévention des incidents de sécurité.
Durée de conservation : 1 an pour les logs d'audit.

6. Destinataires et sous-traitants

Vos données personnelles peuvent être transmises aux catégories de destinataires suivantes, dans le strict respect du RGPD et sous conditions contractuelles appropriées (Art. 28 RGPD).

6.1. Sous-traitants pour les données de santé (périmètre HDS)

  • Hébergeur certifié HDS (Union européenne - France) : Stockage sécurisé de vos données de santé, bases de données, serveurs applicatifs ;
  • Prestataire de reconnaissance de documents (Union européenne) : Extraction des valeurs numériques de vos bilans sanguins par reconnaissance optique de caractères ;
  • Prestataire d'anonymisation (Union européenne) : Masquage des informations personnelles identifiantes avant traitement par intelligence artificielle ;
  • Prestataire d'intelligence artificielle (Union européenne) : Extraction structurée des biomarqueurs à partir des bilans sanguins anonymisés.

6.2. Sous-traitants hors périmètre données de santé

  • Prestataire de paiement certifié PCI-DSS (Union européenne) : Traitement sécurisé des transactions bancaires. Ce prestataire ne reçoit jamais de données de santé.
  • Prestataire d'emails transactionnels : Envoi des notifications et emails d'authentification. Seuls l'email et le prénom sont transmis, jamais de données de santé.
  • Prestataire de logistique (Union européenne) : Impression des étiquettes et expédition des produits. Reçoit uniquement l'adresse de livraison et la composition de la formule (qui ne permet pas de reconstituer vos données biologiques).

6.3. Garanties contractuelles

Tous nos sous-traitants sont liés par :

  • Des contrats de sous-traitance conformes à l'article 28 du RGPD ;
  • Des Data Processing Agreements (DPA) détaillant leurs obligations ;
  • Des certifications de sécurité appropriées (HDS, ISO 27001, SOC 2, PCI-DSS selon leur domaine d'activité).

6.4. Absence de vente de données

Nous ne vendons jamais vos données personnelles à des tiers. Vos données ne sont jamais transmises à des fins publicitaires ou de marketing par des tiers.

7. Transferts de données hors de l'Espace Économique Européen

7.1. Principe : vos données de santé restent en Europe

Vos données de santé (biomarqueurs, questionnaire santé, interprétations, formulations) ne quittent jamais l'Espace Économique Européen. Tous nos sous-traitants traitant des données de santé sont situés dans l'Union européenne et utilisent des infrastructures européennes.

7.2. Exception : prestataires techniques

Certains prestataires techniques auxiliaires (notamment pour l'envoi d'emails transactionnels) peuvent être situés en dehors de l'EEE, notamment aux États-Unis.

Garanties mises en place :

  • Clauses Contractuelles Types (SCCs) approuvées par la Commission européenne (Décision d'exécution 2021/914) ;
  • Évaluation d'impact des transferts conformément aux recommandations du CEPD ;
  • Mesures techniques complémentaires (chiffrement, minimisation).

Données concernées : Uniquement l'adresse email et le prénom. Aucune donnée de santé n'est jamais transférée hors de l'EEE.

8. Hébergement des Données de Santé (HDS)

Conformément à l'article L1111-8 du Code de la Santé Publique français, l'hébergement de données de santé à caractère personnel recueillies à l'occasion d'activités de soins ou de suivi médico-social nécessite une certification spécifique.

8.1. Hébergeur certifié

Vos données de santé sont hébergées chez un prestataire certifié HDS, situé en France (région parisienne). Cette certification garantit :

  • Un niveau de sécurité conforme aux exigences du Référentiel de certification HDS ;
  • Des audits réguliers par des organismes accrédités ;
  • Une conformité aux normes ISO 27001 (sécurité de l'information) ;
  • La traçabilité des accès aux données de santé.

8.2. Mesures de sécurité techniques

  • Chiffrement au repos : Toutes les données de santé sont chiffrées avec l'algorithme AES-256 ;
  • Chiffrement en transit : Toutes les communications utilisent le protocole TLS 1.2 ou supérieur ;
  • Analyse antivirus : Tous les fichiers uploadés sont systématiquement analysés avant traitement ;
  • Anonymisation : Vos données sont anonymisées (masquage des informations identifiantes) avant tout traitement par intelligence artificielle ;
  • Suppression immédiate : Les fichiers originaux de vos bilans sanguins sont supprimés immédiatement après extraction des valeurs.

8.3. Mesures de sécurité organisationnelles

  • Accès restreint : Seul le personnel strictement habilité peut accéder aux données de santé ;
  • Authentification renforcée : Authentification multi-facteurs (MFA) obligatoire pour les accès administratifs ;
  • Contrôle d'accès granulaire : Système de rôles (RBAC) limitant les accès au strict nécessaire ;
  • Audit trail : Journalisation de tous les accès aux données de santé ;
  • Formation : Sensibilisation régulière du personnel à la protection des données.

9. Durées de conservation

Nous conservons vos données personnelles uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées, dans le respect des obligations légales applicables.

Type de données Durée de conservation Fondement
Fichiers originaux (PDF bilans) Suppression immédiate après extraction Minimisation (Art. 5.1.c RGPD)
Biomarqueurs, interprétations, formulations Durée du compte + 3 ans Art. L1111-7 Code de la Santé Publique
Données de compte (email, nom, adresses) Durée de la relation + 3 ans Prescription civile
Données de facturation 10 ans Art. L123-22 Code de commerce
Logs d'audit (accès données santé) 1 an Référentiel HDS
Logs de connexion 1 an LCEN
Liens d'authentification (magic links) 20 minutes Sécurité
Sessions utilisateur 30 jours Exécution du contrat

À l'expiration de ces durées, vos données sont supprimées ou anonymisées de manière irréversible.

10. Vos droits

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :

10.1. Droit d'accès (Art. 15)

Vous pouvez obtenir la confirmation que des données vous concernant sont (ou non) traitées, et accéder à ces données ainsi qu'aux informations sur le traitement.

10.2. Droit de rectification (Art. 16)

Vous pouvez demander la correction des données inexactes ou le complément des données incomplètes.

10.3. Droit à l'effacement - « droit à l'oubli » (Art. 17)

Vous pouvez demander la suppression de vos données personnelles dans les cas prévus par le RGPD (retrait du consentement, données non nécessaires, etc.). Ce droit peut être limité par nos obligations légales de conservation.

10.4. Droit à la limitation du traitement (Art. 18)

Vous pouvez demander la limitation du traitement de vos données dans certaines circonstances (contestation de l'exactitude, traitement illicite, etc.).

10.5. Droit à la portabilité (Art. 20)

Vous pouvez recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON), et les transmettre à un autre responsable de traitement.

10.6. Droit d'opposition (Art. 21)

Vous pouvez vous opposer à tout moment au traitement de vos données fondé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière.

10.7. Droit de retirer votre consentement

Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment. Ce retrait n'affecte pas la licéité du traitement effectué avant le retrait.

10.8. Droit de définir des directives post-mortem

Vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.

10.9. Comment exercer vos droits ?

Vous pouvez exercer vos droits de plusieurs manières :

  • Par email : dpo@singularlab.com ;
  • Par courrier : Singular Lab SAS - DPO, 60 rue François 1er, 75008 Paris, France.

Nous répondrons à votre demande dans un délai maximum de 30 jours à compter de sa réception. Ce délai peut être prolongé de deux mois en cas de demande complexe, auquel cas nous vous en informerons.

Pour des raisons de sécurité, nous pourrons vous demander de justifier de votre identité avant de donner suite à votre demande.

11. Droit d'introduire une réclamation

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente.

En France, l'autorité compétente est la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • Site web : www.cnil.fr/plaintes ;
  • Adresse : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 ;
  • Téléphone : 01 53 73 22 22.

Nous vous encourageons toutefois à nous contacter en premier lieu afin de trouver une solution amiable à toute difficulté.

12. Cookies et traceurs

12.1. Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement du site et ne peuvent pas être désactivés. Ils sont généralement établis uniquement en réponse à des actions que vous effectuez et qui correspondent à une demande de services.

  • Cookie de session : Maintien de votre connexion sécurisée ;
  • Cookie CSRF : Protection contre les attaques par falsification de requête ;
  • Préférences : Langue, consentement cookies.

12.2. Cookies analytiques

Nous utilisons une solution d'analyse statistique auto-hébergée et respectueuse de la vie privée, qui ne nécessite pas de consentement préalable car :

  • Les adresses IP sont anonymisées ;
  • Aucun cookie de suivi inter-sites n'est déposé ;
  • Les données ne sont pas transmises à des tiers ;
  • La solution est conforme aux recommandations de la CNIL.

12.3. Cookies publicitaires

Nous n'utilisons aucun cookie publicitaire ni de pistage commercial.

13. Avertissements importants

13.1. Nature du service

Singular est un service de personnalisation nutritionnelle à visée de bien-être. Il n'est pas un dispositif médical au sens du Règlement (UE) 2017/745 et ne constitue en aucun cas :

  • Un outil de diagnostic médical ;
  • Un substitut à une consultation médicale ;
  • Un service de prescription de médicaments.

13.2. Compléments alimentaires

Les produits proposés sont des compléments alimentaires au sens de la Directive 2002/46/CE, c'est-à-dire des denrées alimentaires destinées à compléter un régime alimentaire normal. Ils ne sont pas des médicaments et ne sont pas destinés à diagnostiquer, traiter, guérir ou prévenir une maladie.

13.3. Recommandation médicale

En cas de symptômes, de pathologie connue, de traitement médical en cours, de grossesse ou d'allaitement, nous vous recommandons de consulter votre médecin ou un professionnel de santé avant de démarrer toute supplémentation.

13.4. Interprétations personnalisées

Les textes d'interprétation générés par notre service sont fournis à titre informatif et visent à contextualiser votre profil nutritionnel. Ils ne remplacent pas un avis médical personnalisé et ne constituent pas un diagnostic médical.

14. Modifications de la présente politique

Nous pouvons modifier la présente politique de confidentialité pour refléter les évolutions de nos pratiques ou de la réglementation applicable. En cas de modification substantielle :

  • Nous vous informerons par email et/ou par une notification dans votre espace personnel ;
  • La date de « dernière mise à jour » sera actualisée en haut de cette page ;
  • Pour les modifications affectant le traitement de vos données de santé, nous solliciterons un nouveau consentement si nécessaire.

Nous vous invitons à consulter régulièrement cette page pour prendre connaissance des éventuelles modifications.

15. Contact

Pour toute question relative à cette politique de confidentialité ou à vos données personnelles :

16. Textes de référence

  • RGPD : Règlement (UE) 2016/679 du 27 avril 2016 ;
  • Loi Informatique et Libertés : Loi n° 78-17 du 6 janvier 1978 modifiée ;
  • Code de la Santé Publique : Articles L1111-7 et L1111-8 (données de santé, HDS) ;
  • LCEN : Loi n° 2004-575 du 21 juin 2004 (conservation des données de connexion) ;
  • Code de commerce : Article L123-22 (conservation des documents comptables) ;
  • Directive 2002/46/CE : Relative aux compléments alimentaires ;
  • Règlement (CE) 1924/2006 : Allégations nutritionnelles et de santé.

Dernière mise à jour : 23 janvier 2026 - Version 1.0