Legal

Privacy Policy

Effective date: 24 March 2026 Jurisdiction: United Kingdom Controller: Guillaume Lafforgue

This policy explains what personal data Horma collects when you use the app (horma.app), why we collect it, who we share it with, and what rights you have under the UK General Data Protection Regulation (UK GDPR) and the Data Protection Act 2018.

1 Who we are

The data controller for Horma is Guillaume Lafforgue, an individual operating under UK law. If you have any questions about how your data is used, contact us at lafforgue.guillaume1@gmail.com.

Horma is an AI-powered training app available on iOS, Android and the web. It lets you generate personalised training plans, log workouts, and chat with an AI coach.

2 What data we collect

Category Data points Required?
Account Email address (via Google OAuth or email/password) Required
Profile Display name, fitness level, favourite sports, available training days Required
Biometrics Age, body weight, biological sex Optional
Training data Workout sessions, exercises, sets (weight / reps), session timestamps Required
AI coach chat Messages you send to the AI coach Optional
Derived data Training streaks and usage analytics computed from the above Automatic

We do not collect location data, device identifiers, or payment information. Biometric fields (age, weight, biological sex) are entirely optional and are used solely to improve the personalisation of training plans and AI responses.

3 How we use your data

  • Providing the service — creating your account, generating and storing training plans, logging workouts, and running the AI coaching chat.
  • Personalisation — tailoring plan difficulty, exercise selection, and AI coach responses to your profile and history.
  • Safety and abuse prevention — rate-limiting API requests and detecting misuse.
  • Service improvement — anonymised, aggregated usage patterns to understand how Horma is used. We do not build individual profiles for advertising.

Legal bases (UK GDPR Article 6)

  • Contract performance (Art. 6(1)(b)) — processing your account, profile, training and chat data is necessary to provide the service you signed up for.
  • Legitimate interests (Art. 6(1)(f)) — aggregate analytics and rate-limiting are in our legitimate interests and do not override your rights.
  • Explicit consent (Art. 9(2)(a)) — biometric data (age, weight, biological sex) is special-category data; we process it only when you voluntarily provide it, which constitutes your explicit consent. You may delete these fields at any time.

4 Third-party services and processors

We use the following sub-processors. Each has access only to the data necessary to perform its function.

Processor Role Data shared Location
Supabase Database & authentication All user and training data EU (Frankfurt, Germany)
Anthropic AI model (Claude) Chat messages, training context United States
Google OAuth sign-in Email address United States
Vercel Web hosting Request logs (IP, user agent) United States / Global CDN

We do not sell your data to any third party and do not share it with advertisers or data brokers.

5 International data transfers

Your primary data is stored by Supabase on servers in Frankfurt, Germany (EU), which benefits from an adequacy decision under UK GDPR — no additional safeguards are required for this transfer.

Anthropic (US) and Google (US) process data outside the UK. These transfers are covered by Standard Contractual Clauses (SCCs) approved under UK law (the International Data Transfer Agreement, or IDTA), which provide appropriate safeguards for your data.

Vercel may cache static assets globally via its CDN. No personal data is stored on Vercel's infrastructure beyond standard web server access logs.

6 Data retention

  • Account and training data — retained until you delete your account. When you delete your account, all associated data is permanently erased from our database within 30 days.
  • AI coach chat messages — stored as a rolling conversation history (up to 50 messages per conversation thread). Older messages are automatically purged as new ones are added.
  • Vercel access logs — retained according to Vercel's standard policy (typically 30 days).

You can request deletion of your account and all associated data at any time by emailing lafforgue.guillaume1@gmail.com.

7 Your rights

Under UK GDPR you have the right to:

  • Access — request a copy of the personal data we hold about you.
  • Rectification — ask us to correct inaccurate or incomplete data.
  • Erasure — ask us to delete your personal data ("right to be forgotten").
  • Restriction — ask us to limit how we process your data in certain circumstances.
  • Portability — receive your data in a structured, machine-readable format.
  • Object — object to processing based on legitimate interests.
  • Withdraw consent — withdraw consent for biometric data at any time by removing those fields from your profile. Withdrawal does not affect the lawfulness of prior processing.
  • Lodge a complaint — complain to the Information Commissioner's Office (ICO) if you believe we are not handling your data lawfully.

To exercise any of these rights, email lafforgue.guillaume1@gmail.com. We will respond within one calendar month.

8 Cookies and local storage

The Horma web app uses browser localStorage to persist your authentication session (provided by Supabase Auth) and your language preference. No third-party tracking cookies are set by Horma itself.

Vercel may set a cookie for routing purposes. Google may set cookies if you use Google OAuth sign-in; these are governed by Google's Privacy Policy.

We do not use analytics cookies (e.g. Google Analytics) or advertising pixels.

9 Changes to this policy

We may update this policy from time to time. When we make material changes, we will update the effective date at the top of this page. Continued use of Horma after a change constitutes acceptance of the revised policy. For significant changes we will notify you by email.

10 Contact us & how to complain

Data Controller: Guillaume Lafforgue
Email: lafforgue.guillaume1@gmail.com
Response time: within one calendar month

If you are not satisfied with our response, or if you believe we are processing your data in breach of UK GDPR, you have the right to lodge a complaint with the Information Commissioner's Office (ICO):

  • Website: ico.org.uk
  • Helpline: 0303 123 1113
  • Address: Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF
Mentions légales

Politique de confidentialité

Date d'entrée en vigueur : 24 mars 2026 Juridiction : Royaume-Uni Responsable : Guillaume Lafforgue

Cette politique explique quelles données personnelles Horma collecte lorsque vous utilisez l'application (horma.app), pourquoi nous les collectons, avec qui nous les partageons, et quels droits vous disposez en vertu du Règlement général sur la protection des données du Royaume-Uni (UK GDPR) et du Data Protection Act 2018.

1 Qui sommes-nous

Le responsable du traitement des données de Horma est Guillaume Lafforgue, un particulier agissant conformément au droit britannique. Pour toute question relative à l'utilisation de vos données, contactez-nous à lafforgue.guillaume1@gmail.com.

Horma est une application d'entraînement propulsée par l'intelligence artificielle, disponible sur iOS, Android et le web. Elle vous permet de générer des plans d'entraînement personnalisés, de consigner vos séances et de dialoguer avec un coach IA.

2 Données que nous collectons

Catégorie Données Obligatoire ?
Compte Adresse e-mail (via Google OAuth ou e-mail/mot de passe) Obligatoire
Profil Nom d'affichage, niveau de forme, sports favoris, jours d'entraînement disponibles Obligatoire
Données biométriques Âge, poids corporel, sexe biologique Optionnel
Données d'entraînement Séances, exercices, séries (poids / répétitions), horodatages Obligatoire
Chat avec le coach IA Messages que vous envoyez au coach Optionnel
Données dérivées Séries de jours consécutifs et statistiques d'utilisation calculées à partir des données ci-dessus Automatique

Nous ne collectons pas de données de localisation, d'identifiants d'appareil ni d'informations de paiement. Les données biométriques (âge, poids, sexe biologique) sont entièrement facultatives et servent uniquement à personnaliser les plans d'entraînement et les réponses du coach IA.

3 Comment nous utilisons vos données

  • Fourniture du service — création de votre compte, génération et stockage des plans d'entraînement, journalisation des séances et fonctionnement du chat avec le coach IA.
  • Personnalisation — adaptation de la difficulté des plans, de la sélection des exercices et des réponses du coach IA à votre profil et à votre historique.
  • Sécurité et prévention des abus — limitation du débit des requêtes API et détection des utilisations abusives.
  • Amélioration du service — analyse anonymisée et agrégée des comportements d'utilisation. Nous ne constituons pas de profils individuels à des fins publicitaires.

Bases légales (UK GDPR Article 6)

  • Exécution du contrat (Art. 6(1)(b)) — le traitement de vos données de compte, de profil, d'entraînement et de chat est nécessaire pour fournir le service auquel vous vous êtes inscrit.
  • Intérêts légitimes (Art. 6(1)(f)) — les analyses agrégées et la limitation du débit répondent à nos intérêts légitimes et ne supplantent pas vos droits.
  • Consentement explicite (Art. 9(2)(a)) — les données biométriques constituent des données de catégorie particulière ; nous les traitons uniquement lorsque vous les fournissez volontairement, ce qui constitue votre consentement explicite. Vous pouvez supprimer ces champs à tout moment.

4 Services tiers et sous-traitants

Nous faisons appel aux sous-traitants suivants. Chacun n'accède qu'aux données nécessaires à l'exercice de sa fonction.

Prestataire Rôle Données partagées Localisation
Supabase Base de données & authentification Toutes les données utilisateurs et d'entraînement UE (Francfort, Allemagne)
Anthropic Modèle IA (Claude) Messages du chat, contexte d'entraînement États-Unis
Google Connexion OAuth Adresse e-mail États-Unis
Vercel Hébergement web Journaux de requêtes (IP, user agent) États-Unis / CDN mondial

Nous ne vendons pas vos données à des tiers et ne les partageons pas avec des annonceurs ou des courtiers en données.

5 Transferts internationaux de données

Vos données principales sont stockées par Supabase sur des serveurs situés à Francfort, en Allemagne (UE), qui bénéficient d'une décision d'adéquation au titre du UK GDPR — aucune garantie supplémentaire n'est requise pour ce transfert.

Anthropic (États-Unis) et Google (États-Unis) traitent des données en dehors du Royaume-Uni. Ces transferts sont encadrés par des Clauses contractuelles types (CCT) approuvées en droit britannique (International Data Transfer Agreement, ou IDTA), qui fournissent des garanties appropriées pour vos données.

Vercel peut mettre en cache des ressources statiques via son CDN mondial. Aucune donnée personnelle n'est stockée sur l'infrastructure de Vercel au-delà des journaux d'accès standard des serveurs web.

6 Durée de conservation

  • Données de compte et d'entraînement — conservées jusqu'à la suppression de votre compte. Lors de cette suppression, toutes les données associées sont définitivement effacées de notre base de données dans un délai de 30 jours.
  • Messages du chat avec le coach IA — stockés sous la forme d'un historique de conversation glissant (50 messages maximum par fil de conversation). Les messages les plus anciens sont automatiquement supprimés à mesure que de nouveaux sont ajoutés.
  • Journaux d'accès Vercel — conservés conformément à la politique standard de Vercel (généralement 30 jours).

Vous pouvez demander la suppression de votre compte et de toutes les données associées à tout moment en écrivant à lafforgue.guillaume1@gmail.com.

7 Vos droits

En vertu du UK GDPR, vous disposez du droit :

  • D'accès — demander une copie des données personnelles que nous détenons vous concernant.
  • De rectification — nous demander de corriger des données inexactes ou incomplètes.
  • D'effacement — nous demander de supprimer vos données personnelles (« droit à l'oubli »).
  • À la limitation — nous demander de restreindre le traitement de vos données dans certaines circonstances.
  • À la portabilité — recevoir vos données dans un format structuré et lisible par machine.
  • D'opposition — vous opposer au traitement fondé sur des intérêts légitimes.
  • De retrait du consentement — retirer votre consentement pour les données biométriques à tout moment en supprimant ces champs de votre profil. Le retrait n'affecte pas la licéité du traitement antérieur.
  • De réclamation — déposer une plainte auprès de l'Information Commissioner's Office (ICO) si vous estimez que nous ne traitons pas vos données de manière licite.

Pour exercer l'un de ces droits, écrivez à lafforgue.guillaume1@gmail.com. Nous répondrons dans un délai d'un mois calendaire.

8 Cookies et stockage local

L'application web Horma utilise le localStorage du navigateur pour conserver votre session d'authentification (fournie par Supabase Auth) et votre préférence de langue. Horma ne dépose pas de cookies de suivi tiers.

Vercel peut déposer un cookie à des fins de routage. Google peut déposer des cookies si vous utilisez la connexion Google OAuth ; ceux-ci sont régis par la politique de confidentialité de Google.

Nous n'utilisons pas de cookies analytiques (ex. Google Analytics) ni de pixels publicitaires.

9 Modifications de cette politique

Nous pouvons mettre à jour cette politique périodiquement. Lors de modifications substantielles, nous actualiserons la date d'entrée en vigueur en haut de cette page. La poursuite de l'utilisation de Horma après une modification vaut acceptation de la politique révisée. Pour les changements significatifs, nous vous en informerons par e-mail.

10 Nous contacter & déposer une plainte

Responsable du traitement : Guillaume Lafforgue
E-mail : lafforgue.guillaume1@gmail.com
Délai de réponse : dans un délai d'un mois calendaire

Si vous n'êtes pas satisfait de notre réponse, ou si vous estimez que nous traitons vos données en violation du UK GDPR, vous avez le droit de déposer une plainte auprès de l'Information Commissioner's Office (ICO) :

  • Site web : ico.org.uk
  • Ligne d'assistance : 0303 123 1113
  • Adresse : Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF