Note de Conseil — MealGenius
DEVOIR DE CONSEIL
Note de Conseil
ASPECTS JURIDIQUES & RGPD
APPSTRONAUTE
PROJET
MealGenius
| Créateur | Apprenant Appstronaute |
| Référence | APPS-MEAL-2026 — Note J01 |
| Date | 30 Mai 2026 |
| Document lié | Cahier des Charges v1.0 — MealGenius |
Avertissement
À lire impérativement avant d'exploiter ce document
⚠️
Cette note ne constitue pas un avis juridique
Le présent document est une
note de conseil pratique rédigée par les équipes d'Appstronaute dans le cadre de notre devoir d'information vis-à-vis de notre client. Elle vise à
identifier les principaux points d'attention juridiques et réglementaires applicables au projet, sur la base des éléments fonctionnels décrits dans le Cahier des Charges joint.
- Appstronaute n'est pas un cabinet d'avocats et n'exerce aucune activité de conseil juridique réglementé.
- Les recommandations formulées dans ce document ne se substituent pas à un avis juridique professionnel (avocat, DPO, notaire selon la nature du sujet).
- Pour les sujets identifiés comme nécessitant un arbitrage juridique formel (matérialisé par le bloc « À escalader »), il est recommandé de consulter un professionnel du droit.
- Ce document s'appuie sur l'état du droit français et européen connu à la date de rédaction. Toute évolution réglementaire postérieure n'y est pas reflétée.
- Le créateur reste seul responsable des choix de mise en conformité retenus pour son projet et de leur exécution.
Comment lire ce document
Chaque chapitre traite un axe de risque (données, hébergement, droits utilisateurs, etc.). Les
cartes de risque identifient les points d'attention avec leur criticité (🔴/🟠/🟢). La
matrice de conformité en fin de document récapitule l'ensemble. Le
plan d'actions propose une priorisation pratique avant soumission sur les stores.
Sommaire
I.Contexte du projet et données traitées4
II.Cadre légal applicable5
III.Conformité RGPD & protection des données6
IV.Hébergement & sécurité8
V.Droits des utilisateurs & transparence9
VI.CGU, politique de confidentialité et propriété intellectuelle10
VII.Spécificités sectorielles11
VIII.Matrice de conformité12
IX.Plan d'actions priorisé13
X.Sujets à escalader à un professionnel du droit14
⚠️ Note de conseil — ne se substitue pas à un avis juridique professionnel
I.Contexte du projet et données traitées
Profil du projet et cartographie des données personnelles
Synthèse du projet
MealGenius est une application mobile B2C disponible sur iOS et Android, destinée aux parents actifs de 25 à 40 ans. Elle génère automatiquement des menus hebdomadaires personnalisés, produit la liste de courses associée et propose des recettes à base de restes alimentaires. Le modèle économique repose sur un abonnement mensuel à 4,99 €/mois avec essai gratuit de 7 jours, géré via les systèmes natifs Apple StoreKit et Google Play Billing.
Secteur d'activité et qualification
MealGenius s'inscrit dans le secteur de la consommation et du bien-être alimentaire, en mode SaaS B2C grand public. Les données manipulées ne relèvent pas du secteur de la santé au sens strict (aucun suivi médical, aucune prescription), mais les préférences alimentaires peuvent inclure des informations relatives à des régimes thérapeutiques ou des pathologies (allergies, intolérances). Ce point mérite une attention particulière au regard de l'article 9 du RGPD.
Le cadre applicable est celui du droit commun de la protection des données (RGPD, loi Informatique et Libertés), complété par les règles du Code de la consommation pour les abonnements B2C et les politiques des stores pour la publication.
Données manipulées
| Catégorie | Exemples concrets issus du CDC | Sensibilité |
|---|
| Données d'identification | Adresse email, mot de passe haché | Standard |
| Données de profil | Nombre de couverts, préférences cuisine, temps de préparation accepté | Standard |
| Données alimentaires sensibles | Régimes alimentaires, allergies, intolérances déclarées | Potentiellement Art. 9 RGPD — à qualifier |
| Données comportementales | Historique des menus générés (12 mois glissants) | Standard — profilage indirect |
| Données de paiement | Gestion des abonnements via Apple/Google/RevenueCat | Non stockées par MealGenius — sous-traitance |
| Données techniques | Logs applicatifs, données Sentry (monitoring erreurs) | Standard |
Finalités du traitement
| Finalité | Base légale plausible | Note |
|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b RGPD) | À confirmer dans le registre des traitements |
| Personnalisation des menus selon les préférences | Exécution du contrat (art. 6.1.b RGPD) | À confirmer — qualification allergies à préciser |
| Gestion des abonnements et paiements | Exécution du contrat (art. 6.1.b RGPD) | Traitement délégué à Apple/Google/RevenueCat |
| Amélioration du service (historique menus) | Intérêt légitime (art. 6.1.f RGPD) | Nécessite une balance des intérêts — à documenter |
| Monitoring et sécurité (Sentry) | Intérêt légitime (art. 6.1.f RGPD) | À mentionner dans la politique de confidentialité |
| Notifications push | Consentement (art. 6.1.a RGPD) | Consentement explicite requis sur iOS |
⚠️ Note de conseil — ne se substitue pas à un avis juridique professionnel
II.Cadre légal applicable
Textes de référence applicables à MealGenius
RGPD — Règlement (UE) 2016/679
Applicable dès lors que MealGenius collecte des données personnelles d'utilisateurs situés dans l'Union européenne. Le créateur est qualifié de responsable de traitement au sens du RGPD. Ce règlement encadre l'ensemble du cycle de vie des données : collecte, conservation, sécurité, droits des personnes, sous-traitance.
Loi Informatique et Libertés (modifiée)
Texte français d'application du RGPD, géré par la CNIL. Il précise notamment les modalités de recueil du consentement des mineurs (15 ans en France), les obligations déclaratives et les spécificités nationales. La CNIL publie des guides pratiques applicables aux apps mobiles.
ePrivacy / Article 82 de la loi Informatique et Libertés
Encadre les traceurs et cookies. Applicable aux SDK tiers intégrés dans l'app (analytics, monitoring, publicité éventuelle). Même sans navigateur web, les SDK mobiles collectant des identifiants publicitaires (IDFA/GAID) entrent dans ce périmètre. Un consentement préalable est requis avant tout dépôt de traceur non strictement nécessaire au service.
Règles des stores — App Store & Google Play
Apple (App Store Review Guidelines, section 5.1) et Google (Play Policy) imposent des obligations spécifiques : politique de confidentialité accessible et à jour obligatoire, déclaration des données collectées dans l'App Privacy (Apple) et la Data Safety Section (Google), consentement explicite pour les notifications push (iOS 14+). Le non-respect de ces règles peut entraîner un refus de publication ou un retrait de l'app.
Code de la consommation
Applicable aux abonnements B2C. Il prévoit des obligations d'information précontractuelle (prix, durée, conditions de résiliation), un droit de rétractation de 14 jours applicable sous conditions pour les services numériques, et des règles encadrant le renouvellement automatique des abonnements.
Code de la propriété intellectuelle
Protège le code source, le design de l'application, le nom et le logo MealGenius. Une vérification de disponibilité du nom comme marque est recommandée avant tout lancement public. Le catalogue de recettes peut également être protégé par le droit d'auteur selon son contenu.
⚠️ Note de conseil — ne se substitue pas à un avis juridique professionnel
III.Conformité RGPD & protection des données
Points d'attention identifiés dans le CDC de MealGenius
Situation observée dans le CDC
Le CDC prévoit que l'utilisateur déclare lors de l'onboarding ses régimes alimentaires, allergies et intolérances. La règle de gestion RG-02.3 stipule que les allergies déclarées excluent systématiquement les recettes concernées. Ces données peuvent révéler des informations relatives à la santé (maladie cœliaque, phénylcétonurie, diabète, allergies alimentaires sévères).
Cadre applicable
Art. 9 RGPD Les données relatives à la santé constituent une catégorie particulière de données dont le traitement est en principe interdit, sauf exceptions (dont le consentement explicite de la personne concernée — art. 9.2.a).
Recommandation pratique Appstronaute
Il est recommandé de soumettre la question de la qualification de ces données à un DPO ou juriste spécialisé avant publication. Si les données sont qualifiées de données de santé, un consentement explicite distinct (case à cocher spécifique) serait nécessaire, et leur traitement devrait être mentionné de façon renforcée dans la politique de confidentialité.
Action concrète
→ Consulter un DPO pour qualifier ces données avant soumission sur les stores. Envisager de limiter les questions d'onboarding aux grandes catégories (végétarien, sans porc, sans gluten) sans demander de diagnostic médical, ce qui réduirait le risque de qualification Art. 9.
Situation observée dans le CDC
Le CDC mentionne que la politique de confidentialité doit être accessible et acceptée avant la création de compte (case à cocher). Cependant, aucun contenu de cette politique n'est défini dans le CDC, et elle figure en annexe C comme "à compléter".
Cadre applicable
Art. 13 RGPD Le responsable de traitement doit fournir à la personne concernée, au moment de la collecte, l'ensemble des informations prévues (identité, finalités, base légale, durées, droits, DPO si applicable…).
App Store Review Guidelines §5.1.1 / Google Play Policy Une politique de confidentialité valide et accessible est une condition sine qua non de publication sur les deux stores.
Recommandation pratique Appstronaute
Il est recommandé de faire rédiger ou valider la politique de confidentialité par un juriste avant toute soumission sur les stores. Ce document est un prérequis bloquant à la publication.
Action concrète
→ Mandater un juriste pour la rédaction de la politique de confidentialité. Héberger ce document sur une URL publique stable (ex. mealgenius.fr/confidentialite) avant soumission. Renseigner cette URL dans les fiches App Store Connect et Google Play Console.
Situation observée dans le CDC
Le CDC identifie les données manipulées et leurs durées de conservation par catégorie. Cependant, aucune mention n'est faite d'un registre des traitements, obligation incombant à tout responsable de traitement quel que soit le volume de données.
Cadre applicable
Art. 30 RGPD Tout responsable de traitement doit tenir un registre des activités de traitement, documentant pour chaque traitement : finalité, catégories de données, destinataires, durées de conservation, mesures de sécurité.
Recommandation pratique Appstronaute
La pratique courante est de constituer ce registre dès le démarrage du projet, en s'appuyant sur les éléments du CDC. Des modèles gratuits sont disponibles sur le site de la CNIL.
Action concrète
→ Créer le registre des traitements à partir du tableau des finalités du présent document (Chapitre I). Modèle disponible sur cnil.fr. Durée estimée : 2 à 4 heures.
Situation observée dans le CDC
Le CDC mentionne les notifications push (Expo Notifications) comme composant technique. Aucune mécanique de recueil du consentement n'est spécifiée pour ce canal.
Cadre applicable
iOS 14+ / ATT Framework Apple exige un consentement explicite via une dialogue système avant tout envoi de notification push. Le refus de l'utilisateur doit être respecté.
Art. 6.1.a RGPD Le consentement est la base légale applicable aux communications non strictement nécessaires à l'exécution du service.
Recommandation pratique Appstronaute
Il est recommandé d'intégrer dans le parcours onboarding un écran pré-permission expliquant la valeur des notifications (ex. "Rappel menu du soir") avant de déclencher la dialogue système iOS. Cette approche améliore le taux d'acceptation et respecte les guidelines Apple.
Action concrète
→ Ajouter un écran "pré-permission" dans le userflow d'onboarding. Stocker la préférence utilisateur et ne jamais envoyer de notification à un utilisateur ayant refusé.
Situation observée dans le CDC
Le CDC identifie plusieurs sous-traitants techniques : Supabase (hébergement EU Frankfurt — point positif), RevenueCat (société américaine), Sentry (société américaine), Expo Notifications. Les deux derniers peuvent traiter des données personnelles sur des serveurs hors UE.
Cadre applicable
Art. 44 à 49 RGPD Tout transfert de données personnelles vers un pays tiers doit reposer sur un mécanisme juridique adéquat : décision d'adéquation, clauses contractuelles types (CCT), ou consentement explicite.
Recommandation pratique Appstronaute
La pratique courante est de vérifier pour chaque sous-traitant américain s'il adhère au Data Privacy Framework UE-États-Unis (successeur du Privacy Shield, adopté en 2023). RevenueCat et Sentry proposent des DPA (Data Processing Agreements) disponibles sur leurs sites respectifs.
Action concrète
→ Signer les DPA proposés par RevenueCat et Sentry. Vérifier leur certification Data Privacy Framework sur le registre officiel du Département du Commerce américain. Mentionner ces transferts dans la politique de confidentialité.
Situation observée dans le CDC
Le CDC mentionne des durées de conservation pour les principales catégories (email : durée du compte + 1 an, historique menus : 12 mois glissants). Ces durées sont cohérentes avec les pratiques du marché.
Cadre applicable
Art. 5.1.e RGPD Les données ne doivent pas être conservées au-delà de ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de limitation de la conservation).
Recommandation pratique Appstronaute
Les durées identifiées dans le CDC sont raisonnables. Il est recommandé de les intégrer telles quelles dans le registre des traitements et la politique de confidentialité, et de prévoir une purge automatique en base de données.
Action concrète
→ Implémenter une tâche automatique de purge des données expirées (ex. job quotidien Supabase supprimant les historiques de menus au-delà de 12 mois et les comptes non confirmés au-delà de 24h).
⚠️ Note de conseil — ne se substitue pas à un avis juridique professionnel
IV.Hébergement & sécurité
Localisation des données, sous-traitants et mesures techniques
Localisation des données
Le CDC prévoit un hébergement sur Supabase Cloud, région Europe (Frankfurt). Ce choix est en cohérence avec les recommandations RGPD : les données des utilisateurs européens restent sur le territoire de l'Union européenne. Il s'agit d'un point positif notable dans la configuration technique du projet.
La région Frankfurt (AWS eu-central-1, sous-jacente à Supabase) est soumise au droit européen. Aucune carte de risque élevée ne s'applique à l'hébergement principal.
Sous-traitants et inventaire
Tout sous-traitant traitant des données personnelles d'utilisateurs de MealGenius doit faire l'objet d'un contrat intégrant des clauses conformes à l'article 28 du RGPD. La pratique courante est de constituer un inventaire de ces sous-traitants et de signer leur DPA (Data Processing Agreement) disponible sur leurs sites respectifs.
| Sous-traitant | Rôle | Localisation | DPA disponible |
|---|
| Supabase | Base de données, auth, API | UE — Frankfurt | Oui — supabase.com/legal |
| RevenueCat | Gestion abonnements | États-Unis | Oui — revenuecat.com/dpa |
| Sentry | Monitoring erreurs | États-Unis | Oui — sentry.io/legal/dpa |
| Apple (StoreKit) | Paiement iOS, distribution | International | Encadré par Apple Developer Agreement |
| Google (Play Billing) | Paiement Android, distribution | International | Encadré par Google Play Developer Distribution Agreement |
Mesures de sécurité
Le CDC prévoit les mesures suivantes, en cohérence avec l'article 32 du RGPD :
- Mots de passe hachés via bcrypt — jamais stockés en clair
- Authentification sécurisée via Supabase Auth (tokens JWT avec refresh tokens)
- Monitoring des erreurs via Sentry
Les mesures suivantes sont recommandées en complément et ne sont pas explicitement mentionnées dans le CDC :
- Chiffrement TLS en transit sur toutes les communications client-serveur (activé par défaut sur Supabase)
- Chiffrement au repos des données sensibles (allergies, préférences) — à vérifier dans la configuration Supabase
- Gestion des accès back-office avec authentification forte (MFA) pour le compte administrateur
- Journalisation des accès administrateur
Plan de continuité
Supabase propose des sauvegardes automatiques quotidiennes sur ses plans payants. Il est recommandé de vérifier que le plan souscrit inclut cette fonctionnalité et de tester périodiquement la restauration. Pour un créateur solo, un plan de reprise minimal consiste à documenter la procédure de restauration et à la tester avant le lancement public.
⚠️ Note de conseil — ne se substitue pas à un avis juridique professionnel
V.Droits des utilisateurs & transparence
Information, exercice des droits et consentement
Information des personnes
Le CDC prévoit que la politique de confidentialité est accessible et doit être acceptée avant la création de compte. C'est en cohérence avec l'article 13 du RGPD. Les mentions obligatoires à intégrer dans cette politique sont :
- Identité et coordonnées du responsable de traitement (le créateur de MealGenius)
- Finalités et base légale de chaque traitement
- Catégories de données collectées
- Destinataires des données (sous-traitants listés au chapitre IV)
- Durées de conservation par catégorie
- Droits des personnes et modalités d'exercice
- Existence ou non de transferts hors UE et garanties applicables
- Droit d'introduire une réclamation auprès de la CNIL (cnil.fr)
Cette politique doit également être accessible via une URL stable renseignée dans App Store Connect et Google Play Console — c'est une condition de publication sur les deux stores.
Exercice des droits
Le CDC prévoit que la suppression du compte et de toutes les données est possible sur demande en back-office sous 30 jours. Ce délai est en cohérence avec les pratiques courantes (le RGPD prévoit un délai d'un mois pour répondre aux demandes d'exercice de droits).
Il est recommandé de mettre en place :
- Un canal de contact dédié pour l'exercice des droits (ex. privacy@mealgenius.fr ou un formulaire de contact spécifique)
- Une procédure interne documentant le traitement de chaque type de demande (accès, rectification, effacement, opposition, portabilité)
- Un accusé de réception automatique à chaque demande reçue
Consentement
Trois points de consentement sont identifiés dans le parcours MealGenius :
- Politique de confidentialité : case à cocher obligatoire avant création de compte — prévu au CDC, en cohérence avec l'art. 13 RGPD.
- Données alimentaires sensibles : si les allergies sont qualifiées de données de santé (art. 9 RGPD), un consentement explicite distinct est nécessaire — à clarifier avec un DPO (voir chapitre X).
- Notifications push : consentement système iOS obligatoire, à intégrer dans l'onboarding avec un écran de pré-permission (voir chapitre III).
⚠️ Note de conseil — ne se substitue pas à un avis juridique professionnel
VI.CGU, politique de confidentialité et propriété intellectuelle
Documents juridiques requis et protection des actifs du créateur
Mentions légales
Si MealGenius dispose d'un site web de présentation ou de landing page, les mentions légales sont obligatoires en vertu de la LCEN (Loi pour la Confiance dans l'Économie Numérique). Elles doivent mentionner : identité de l'éditeur, hébergeur, coordonnées de contact. Pour une app mobile sans site web associé, cette obligation ne s'applique pas directement à l'app elle-même, mais est recommandée sur tout support web lié.
Politique de confidentialité
Document obligatoire et bloquant pour la publication sur l'App Store et le Google Play Store. Elle doit être :
- Accessible depuis une URL publique stable avant soumission
- Rédigée en français (et idéalement en anglais pour les stores)
- Conforme aux exigences Art. 13 RGPD listées au chapitre V
- Mise à jour à chaque évolution significative des traitements
La rédaction effective de ce document doit être confiée à un juriste spécialisé (voir chapitre X). Ce prompt ne rédige pas ce document.
Conditions Générales d'Utilisation
Non obligatoires légalement pour une app mobile, mais fortement recommandées pour encadrer : les droits et obligations de l'utilisateur, les conditions de l'abonnement et de résiliation, la responsabilité du créateur en cas d'indisponibilité du service, les règles d'utilisation du catalogue recettes. La rédaction effective doit être confiée à un juriste.
Droit de rétractation — abonnement B2C
MealGenius propose un abonnement mensuel à des consommateurs (B2C). Le Code de la consommation prévoit un droit de rétractation de 14 jours pour les contrats conclus à distance. Cependant, pour les contenus numériques dont l'exécution a commencé avec l'accord exprès du consommateur, ce droit peut être exclu. La pratique courante est de le mentionner explicitement dans les CGU et de recueillir l'accord de l'utilisateur au moment de la souscription. Ce point mérite une validation par un juriste compte tenu de l'essai gratuit de 7 jours prévu.
Propriété intellectuelle
Le code source de MealGenius, son design, son nom et son logo sont des actifs appartenant au créateur. Avant tout lancement public, il est recommandé de :
- Vérifier la disponibilité du nom "MealGenius" comme marque en France et dans l'UE via la base de données de l'INPI (inpi.fr) et de l'EUIPO
- Envisager un dépôt de marque si le nom est disponible (protection pour 10 ans, renouvelable)
- Vérifier que le catalogue de recettes initial ne reproduit pas des contenus protégés par le droit d'auteur
⚠️ Note de conseil — ne se substitue pas à un avis juridique professionnel
VII.Spécificités sectorielles
Obligations particulières liées au secteur d'activité
Analyse sectorielle
MealGenius s'inscrit dans le secteur de la consommation et du bien-être alimentaire grand public. Après analyse du CDC, aucune spécificité sectorielle contraignante (HDS, ACPR, RGAA, COPPA) ne s'applique au projet dans sa configuration V1.
Point de vigilance — données alimentaires et santé
Si MealGenius devait évoluer vers des fonctionnalités de suivi nutritionnel, de gestion de pathologies alimentaires ou d'accompagnement thérapeutique, le projet entrerait dans le périmètre des applications de santé et serait soumis à des obligations renforcées (qualification données de santé Art. 9 RGPD, potentiellement certification HDS selon l'usage). Cette évolution devrait faire l'objet d'une nouvelle analyse juridique avant développement.
En dehors de ce point de vigilance, le cadre RGPD général et les chapitres précédents s'appliquent intégralement.
⚠️ Note de conseil — ne se substitue pas à un avis juridique professionnel
VIII.Matrice de conformité
Synthèse visuelle de tous les points d'attention identifiés
| Axe |
Point d'attention |
Criticité |
Statut CDC |
Action recommandée |
| RGPD |
Qualification données allergies / Art. 9 |
H |
À documenter |
Consultation DPO avant publication |
| RGPD |
Politique de confidentialité |
H |
Absent |
Rédaction par juriste — URL stable obligatoire stores |
| RGPD |
Registre des traitements |
M |
Absent |
Créer le registre depuis les éléments du CDC |
| RGPD |
Consentement notifications push |
M |
À documenter |
Écran pré-permission dans l'onboarding |
| RGPD |
Durées de conservation |
L |
Couvert |
Implémenter purge automatique en base |
| Hébergement |
Localisation données — UE Frankfurt |
L |
Couvert |
Aucune action — point positif |
| Hébergement |
Transferts hors UE (RevenueCat, Sentry) |
M |
À documenter |
Signer les DPA — vérifier Data Privacy Framework |
| Sécurité |
Chiffrement au repos données sensibles |
M |
À documenter |
Vérifier configuration Supabase — activer si nécessaire |
| Sécurité |
MFA compte administrateur |
L |
Absent |
Activer MFA sur le compte Supabase admin |
| Stores |
URL politique de confidentialité dans les stores |
H |
Absent |
Prérequis bloquant à la soumission |
| Stores |
App Privacy (Apple) / Data Safety (Google) |
H |
Absent |
Remplir les fiches de déclaration données dans les consoles |
| CGU / PI |
Conditions Générales d'Utilisation |
M |
Absent |
Rédaction par juriste recommandée |
| CGU / PI |
Droit de rétractation abonnement B2C |
M |
À documenter |
Validation juriste — mention dans CGU |
| PI |
Disponibilité nom "MealGenius" comme marque |
M |
Absent |
Vérification INPI / EUIPO avant lancement |
⚠️ Note de conseil — ne se substitue pas à un avis juridique professionnel
IX.Plan d'actions priorisé
Actions à mener avant et après la soumission sur les stores
Avant la soumission sur les stores
P1
Consulter un DPO pour qualifier les données d'allergies (Art. 9 RGPD ou non) et définir la base légale adaptée
Juriste externe
~1 j.h
P1
Faire rédiger la politique de confidentialité par un juriste — héberger sur une URL publique stable avant soumission
Juriste externe
~2 j.h
P1
Remplir App Privacy (App Store Connect) et Data Safety Section (Google Play Console) en déclarant toutes les données collectées
Créateur
~0,5 j.h
P1
Signer les DPA de RevenueCat et Sentry — vérifier leur certification Data Privacy Framework
Créateur
~0,5 j.h
P2
Constituer le registre des traitements à partir des éléments du CDC et du présent document (modèle CNIL disponible gratuitement)
Créateur
~0,5 j.h
P2
Intégrer l'écran pré-permission notifications push dans le parcours onboarding de l'app
Créateur
~1 j.h
P2
Vérifier la disponibilité de "MealGenius" comme marque sur inpi.fr et euipo.europa.eu
Créateur
~0,5 j.h
P2
Activer le MFA sur le compte administrateur Supabase et vérifier le chiffrement au repos des données sensibles
Créateur
~0,5 j.h
Dans les 6 mois suivant la mise en ligne
P3
Faire rédiger les CGU par un juriste, incluant les conditions d'abonnement, de résiliation et le droit de rétractation B2C
Juriste externe
~2 j.h
P3
Mettre en place la purge automatique des données expirées en base Supabase (historique menus > 12 mois, comptes non confirmés > 24h)
Créateur
~1 j.h
P3
Mettre en place un canal privacy dédié (email privacy@mealgenius.fr) et une procédure de traitement des demandes d'exercice de droits
Créateur
~0,5 j.h
⚠️ Note de conseil — ne se substitue pas à un avis juridique professionnel
X.Sujets à escalader à un professionnel du droit
Ce que seul un juriste qualifié peut trancher pour MealGenius
Sujets identifiés pour MealGenius
- DPOQualification des données d'allergies (Art. 9 RGPD) : Déterminer si les allergies et intolérances déclarées constituent des données de santé au sens du RGPD, et définir la base légale et les mesures de protection adaptées. Ce point conditionne l'architecture du consentement dans l'onboarding.
- JURISTERédaction de la politique de confidentialité : Document obligatoire pour la publication sur l'App Store et le Google Play Store. Sa rédaction engage la responsabilité du créateur en tant que responsable de traitement. Une version générique ou copiée d'un concurrent constitue un risque juridique et peut entraîner un refus de publication.
- JURISTERédaction des Conditions Générales d'Utilisation : Encadrement des droits et obligations des utilisateurs, conditions de l'abonnement, responsabilité du créateur, règles de résiliation. À faire rédiger ou valider par un juriste, particulièrement la section relative au droit de rétractation B2C et à l'essai gratuit de 7 jours.
- JURISTEDroit de rétractation et abonnement B2C : Les modalités d'exclusion ou d'application du droit de rétractation de 14 jours pour les services numériques avec essai gratuit sont encadrées par le Code de la consommation et méritent une analyse juridique précise pour éviter tout litige consommateur.
- DPOAnalyse d'impact (AIPD/PIA) : Si les données d'allergies sont qualifiées de données de santé (Art. 9 RGPD), une analyse d'impact relative à la protection des données est susceptible d'être recommandée avant le traitement à grande échelle. Un DPO peut déterminer si le seuil de déclenchement est atteint.
- JURISTEVérification et dépôt de marque "MealGenius" : La vérification de disponibilité du nom et le dépôt de marque éventuel (INPI pour la France, EUIPO pour l'UE) nécessitent une recherche d'antériorité et une stratégie de protection que seul un professionnel de la propriété intellectuelle peut mener efficacement.
- DPOContrats sous-traitants Art. 28 RGPD : Bien que RevenueCat et Sentry proposent des DPA standardisés, leur adéquation aux traitements spécifiques de MealGenius (notamment si les données alimentaires sont qualifiées Art. 9) mérite une revue par un DPO avant signature.
Prise de connaissance
Par sa signature ci-dessous, le créateur reconnaît avoir pris connaissance du contenu de la présente note de conseil et des points d'attention qu'elle soulève. Cette prise de connaissance ne vaut pas validation juridique : il appartient au créateur d'arbitrer les actions à mettre en œuvre, le cas échéant avec l'aide d'un professionnel du droit.
LE CRÉATEUR
Nom :
Date :
Signature :
Merci.
POUR VOTRE CONFIANCE
APPSTRONAUTE
