ARO rejoint Alan pour démocratiser la prévention : en savoir plus →

Politique de Confidentialité – ARO

Version du : 28 octobre 2025

Dernière mise à jour : 28 octobre 2025

1. Introduction

La société MILO, société par actions simplifiée immatriculée au RCS de Nanterre sous le numéro 984 305 904, exploitant la marque ARO (ci-après « ARO », « nous », « notre »), s'engage à protéger vos données personnelles et votre vie privée.

La présente politique de confidentialité (la « Politique ») a pour objet de vous informer sur la manière dont nous collectons, utilisons, partageons et protégeons vos données à caractère personnel lorsque vous utilisez nos services (la « Plateforme ARO »), conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.

2. Responsable du traitement

Le responsable du traitement de vos données personnelles est :

MILO (ARO)

99 avenue Achille Peretti, 92200 Neuilly-sur-Seine – France

Email : contact@joinaro.com

3. Données collectées

Dans le cadre de votre utilisation de la Plateforme ARO, nous collectons différentes catégories de données personnelles afin d'assurer la fourniture, la personnalisation et l'amélioration continue de nos Services.

a. Données d'identification et de contact

  • Nom, prénom, date de naissance, adresse e-mail, mot de passe, numéro de téléphone, adresse postale, genre.
  • Informations de facturation et données de paiement (via prestataires certifiés).
  • Informations que vous fournissez lorsque vous contactez notre service client, participez à des forums communautaires (ex. communauté ARO), ou interagissez avec nous par téléphone, message, e-mail, chat ou tout autre canal. Cela inclut la date, l'heure, le contenu des messages, ainsi que les pièces jointes éventuellement transmises.

b. Données relatives à la santé

Nous collectons, avec votre consentement explicite, certaines données dites « sensibles » au sens du RGPD, strictement nécessaires à la personnalisation de votre accompagnement préventif :

  • Données issues de vos analyses biologiques (biomarqueurs, résultats de tests, interprétations cliniques).
  • Données de mode de vie : alimentation, activité physique, sommeil, niveau de stress, habitudes de consommation, santé mentale, rythme circadien.
  • Données médicales et d'antécédents familiaux : pathologies, traitements, allergies, antécédents de santé personnelle ou familiale.
  • Données issues d'objets connectés (ex. montres, balances, capteurs de sommeil, bracelets d'activité), si vous les connectez à la Plateforme ARO.
  • Données générées ou interprétées par nos algorithmes d'intelligence artificielle (ex. âge biologique, profils de risques, recommandations personnalisées, scores de vitalité), validées par un professionnel de santé.

Ces informations sont exclusivement utilisées pour produire vos bilans et recommandations dans le cadre du service ARO, et ne sont jamais exploitées à des fins publicitaires.

c. Données techniques et de navigation

  • Identifiant de l'appareil, type d'appareil, système d'exploitation, navigateur utilisé, adresse IP, fuseau horaire, logs de connexion et d'utilisation.
  • Données relatives aux cookies et technologies similaires (voir la section « Cookies »).
  • Informations concernant votre utilisation de la Plateforme (temps passé, clics, parcours utilisateur, fonctionnalités activées).

d. Données de marketing et d'interaction

  • Données liées à vos préférences de communication (abonnement à la newsletter, participation à des campagnes de bien-être ou programmes ambassadeurs).
  • Données relatives à vos réponses à des enquêtes, questionnaires, challenges ou événements ARO.

4. Finalités et bases légales du traitement

Nous traitons vos données personnelles pour plusieurs finalités clairement définies. Chaque traitement repose sur une base légale prévue par le RGPD, et les données sont conservées pendant une durée proportionnée à la finalité poursuivie.

A. Données nécessaires à la fourniture du service ARO

Finalité du traitement Description du traitement Base légale Durée de conservation
Création et gestion de votre compte ARO Permet la création de votre compte utilisateur, l'authentification, la gestion des accès, la sécurité et la mise à jour de votre profil. Exécution du contrat Durée du contrat + 5 ans (archivage légal)
Analyse et interprétation de vos bilans biologiques Réception et intégration des résultats de laboratoire, validation médicale, interprétation et restitution dans votre espace personnel. Exécution du contrat / Consentement explicite (données de santé) Durée du contrat + 5 ans
Génération de rapports, de scores et de recommandations personnalisées Création de rapports santé, calcul d'âge biologique, analyse de biomarqueurs, production de protocoles de nutrition, sommeil, stress, activité physique et supplémentation. Exécution du contrat / Consentement explicite (données de santé) Durée du contrat + 5 ans après la clôture du compte
Accompagnement via le copilote santé (IA) Utilisation de vos données pour fournir un coaching de santé continu, via IA Exécution du contrat / Consentement explicite Durée du contrat + 5 ans
Suivi et mise à jour des plans d'action de santé Évaluation de l'efficacité de vos protocoles, adaptation des recommandations, alertes santé. Exécution du contrat / Consentement explicite Durée du contrat + 5 ans
Communication avec les professionnels de santé partenaires Transmission sécurisée de vos données à des médecins ou biologistes pour validation clinique. Exécution du contrat / Obligation légale (article L1110-4 CSP) 10 ans

B. Données liées à la relation client, à la recherche et à l'amélioration continue

Finalité du traitement Description du traitement Base légale Durée de conservation
Amélioration des algorithmes et modèles d'IA Utilisation de données pseudonymisées pour entraîner et améliorer nos modèles de recommandation et d'analyse. Intérêt légitime (amélioration du service et innovation) 5 ans à compter de la collecte, ou jusqu'à anonymisation complète
Suivi de la satisfaction et enquêtes utilisateurs Envoi de questionnaires, NPS, entretiens de satisfaction. Intérêt légitime (amélioration de la qualité) 2 ans après la collecte ou jusqu'à suppression du compte
Support client et assistance technique Gestion des demandes d'assistance, bugs, problèmes d'accès, etc. Exécution du contrat / Intérêt légitime 5 ans après la dernière interaction
Gestion des abonnements et facturation Gestion des paiements, renouvellements, remboursements, émission de factures. Exécution du contrat / Obligation légale (Code de commerce) 10 ans à compter de la clôture de l'exercice comptable
Envoi d'informations, de newsletters et de communications marketing Diffusion de contenus pédagogiques, conseils santé, nouveautés produits, offres ou événements ARO. Consentement (opt-in) / Intérêt légitime (communication sur produits similaires) Jusqu'au retrait du consentement ou opposition
Gestion des programmes ambassadeurs ou challenges communautaires Participation à des programmes ou événements communautaires (ex. défis, parrainages, récompenses). Consentement Durée du programme + 5 ans (archivage)

C. Données techniques, de sécurité et de conformité réglementaire

Finalité du traitement Description du traitement Base légale Durée de conservation
Sécurité et intégrité de la plateforme Gestion des accès, détection des fraudes, incidents de sécurité, protection contre les intrusions. Intérêt légitime (sécurité du système) / Obligation légale 5 ans après la détection de l'incident
Maintenance et amélioration technique Correction d'anomalies, suivi de performance, optimisation des serveurs. Intérêt légitime (qualité et disponibilité du service) 5 ans
Conservation des logs de connexion Traçabilité des accès, gestion des incidents de sécurité, conformité CNIL. Obligation légale (décret 2011-219) 12 mois
Gestion des obligations légales et contentieuses Gestion des demandes CNIL, contrôles, litiges, plaintes, ou obligations fiscales. Obligation légale / Intérêt légitime (défense des droits) Jusqu'à expiration des délais légaux de prescription (5 à 10 ans)
Gestion des cookies et traceurs Gestion des préférences, mesures d'audience, personnalisation. Consentement (sauf cookies essentiels) 6 à 13 mois selon type de cookie

5. Partage et destinataires des données

Vos données personnelles sont strictement confidentielles. Elles ne sont jamais vendues ni communiquées à des tiers non autorisés.

Elles peuvent toutefois être partagées avec les destinataires suivants, exclusivement pour les besoins de la fourniture et de l'amélioration de nos Services :

a. Partenaires de santé

  • Laboratoires d'analyses partenaires, pour la réalisation et la transmission sécurisée de vos bilans biologiques.
  • Médecins et experts partenaires (ex. membres du board scientifique d'ARO) pour la validation des recommandations, dans le respect du secret médical.

b. Sous-traitants techniques

  • Hébergeurs certifiés HDS (Hébergement de Données de Santé) assurant la conservation des données dans des conditions de sécurité renforcées.
  • Prestataires de paiement (Stripe, PayPal, etc.) pour la gestion sécurisée des transactions.
  • Prestataires IT et support client pour la maintenance, le stockage, la messagerie sécurisée, les outils d'analyse ou de communication.
  • Outils d'analyse d'usage (ex. anonymisés) permettant d'améliorer la performance et l'ergonomie du service.

Tous ces prestataires agissent uniquement sur instruction d'ARO et sont soumis à des clauses contractuelles strictes de confidentialité et de sécurité, conformément à l'article 28 du RGPD.

c. Autorités et organismes publics

Vos données peuvent être transmises à des autorités administratives ou judiciaires si la loi l'exige (ex. obligations légales, enquêtes, décisions de justice).

d. Partenaires institutionnels

Avec votre accord, certaines données agrégées et anonymisées peuvent être utilisées à des fins statistiques, de recherche en santé publique ou d'évaluation scientifique, dans le respect du RGPD et des recommandations de la CNIL.

6. Hébergement et sécurité

Les données personnelles et de santé sont hébergées sur des serveurs certifiés HDS (Hébergement de Données de Santé) situés en France ou dans l'Union européenne, notamment chez Amazon Web Services (AWS France).

Mesures de sécurité principales :

  • Chiffrement des données (AES-256 au repos, TLS 1.2+ en transit).
  • Sauvegardes automatiques quotidiennes, rétention 90 jours.
  • Contrôles de sécurité internes et audits réguliers.

7. Transferts internationaux

Vos Données personnelles peuvent être transférées et traitées dans des pays autres que celui où vous résidez. Ces pays peuvent avoir des lois de protection des données qui diffèrent des lois de votre propre pays et dans certains cas, être moins protectrices.

Plus précisément, nos serveurs sont situés au sein de l'Espace Economique Européen (EEE) chez un hébergeur situé en France. En plus de nos prestataires européens, certains de nos fournisseurs de service tiers opèrent dans les pays suivants : Etats-Unis. Cela signifie que lorsque nous collectons vos Données personnelles, nous pouvons en transférer certaines dans ces pays.

Cependant, nous avons pris des mesures de protection appropriées pour exiger que vos Données personnelles restent protégées conformément à cet Avis. Ainsi, nous signons avec les prestataires situés hors de l'EEE et dans des pays qui n'ont pas été considérés par la Commission européenne comme adéquats, les Clauses Contractuelles Types de la Commission Européenne, qui exigent que ces prestataires protègent les Données personnelles qu'ils traitent de l'EEE en respectant le droit de l'Union Européenne en matière de protection des données.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données :

  • Accès : obtenir une copie de vos données.
  • Rectification : corriger les données inexactes.
  • Suppression : demander l'effacement de vos données.
  • Limitation : restreindre temporairement un traitement.
  • Portabilité : recevoir vos données dans un format structuré.
  • Opposition : vous opposer à certains traitements (notamment marketing).
  • Retrait du consentement : à tout moment, pour les traitements fondés sur le consentement.
  • Directives post-mortem : définir le sort de vos données après votre décès.

Pour exercer vos droits :

contact@joinaro.com

ou par courrier à :

MILO – ARO, 99 avenue Achille Peretti, 92200 Neuilly-sur-Seine, France

Vous pouvez également déposer une réclamation auprès de la CNIL :

3 Place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07 – www.cnil.fr

9. Cookies et technologies similaires

Nous utilisons des cookies pour :

  • Assurer le bon fonctionnement du site (cookies techniques).
  • Analyser la fréquentation et améliorer l'expérience utilisateur (cookies analytiques).
  • Personnaliser le contenu et la communication, si vous y consentez.

Vous pouvez à tout moment gérer vos préférences depuis le bandeau cookies ou les paramètres de votre navigateur.

Les cookies sont conservés pour une durée maximale de 13 mois.

10. Mineurs

Nos services sont réservés aux personnes âgées d'au moins 18 ans.

Aucune collecte volontaire de données de mineurs n'est effectuée.

11. Modifications de la Politique

Cette Politique pourra être mise à jour pour tenir compte des évolutions légales, techniques ou organisationnelles.

Vous serez informé(e) de toute modification substantielle au moins 15 jours à l'avance.

La version la plus récente est toujours disponible sur :

https://www.joinaro.com/privacy

12. Contact

Pour toute question sur cette Politique ou nos pratiques de protection des données :

📩 contact@joinaro.com

📍 MILO – ARO, 99 avenue Achille Peretti, 92200 Neuilly-sur-Seine, France