Politique de Confidentialité
Mise à jour : mars 2026
FittingMe.AI — Application de cabine d'essayage virtuelle
Dernière mise à jour : 1er mars 2026 Version : 1.0
1. Identité du responsable de traitement
Le responsable du traitement de vos données à caractère personnel est :
FittingMe.AI SAS (société par actions simplifiée en cours d'immatriculation) Siège social : [À compléter] Capital social : [À compléter] SIRET : [À compléter] RCS : [À compléter]
Adresse électronique : contact@fittingme.ai
2. Délégué à la protection des données (DPO)
À la date de la présente politique, FittingMe.AI n'a pas désigné de délégué à la protection des données au sens de l'article 37 du RGPD. La nécessité de cette désignation sera réévaluée conformément aux critères de l'article 37, notamment lorsque le nombre d'utilisateurs atteindra un seuil significatif.
Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter :
Adresse électronique : contact@fittingme.ai Objet : « Protection des données personnelles »
3. Données collectées et finalités des traitements
FittingMe.AI collecte et traite vos données à caractère personnel dans le cadre des activités de traitement décrites ci-dessous. Pour chaque traitement, nous indiquons les données concernées, la finalité poursuivie, la base légale applicable (au sens des articles 6 et 9 du RGPD), ainsi que la durée de conservation.
3.1. Création et gestion du compte utilisateur
| Élément | Détail |
|---|---|
| Données traitées | Adresse électronique, identifiant Firebase, nom d'affichage, photo de profil Google (le cas échéant) |
| Finalité | Créer et gérer votre compte utilisateur, vous authentifier lors de vos connexions |
| Base légale | Exécution du contrat (Art. 6(1)(b) RGPD) — nécessaire à la fourniture du Service |
| Durée de conservation | Durée de vie du compte + 30 jours après suppression |
3.2. Capture et stockage des photos de visage
| Élément | Détail |
|---|---|
| Données traitées | Photographies du visage de l'utilisateur |
| Finalité | Permettre la création d'un modèle corporel virtuel personnalisé |
| Base légale | Consentement explicite (Art. 6(1)(a) et Art. 9(2)(a) RGPD) — les photos de visage constituent des données biométriques au sens de l'article 9 lorsqu'elles sont traitées aux fins d'identifier ou de caractériser une personne physique |
| Durée de conservation | Durée de vie du compte. Suppression dans les 30 jours suivant la suppression du compte ou le retrait du consentement |
3.3. Extraction d'attributs faciaux par intelligence artificielle
| Élément | Détail |
|---|---|
| Données traitées | Photographies du visage transmises à Google Gemini ; attributs extraits : teint de peau (skin_tone), couleur des yeux (eye_color), couleur des cheveux (hair_color), tranche d'âge (age_range) |
| Finalité | Caractériser les attributs physiques de l'utilisateur pour personnaliser les résultats d'essayage virtuel et les suggestions vestimentaires |
| Base légale | Consentement explicite (Art. 6(1)(a) et Art. 9(2)(a) RGPD) |
| Sous-traitant | Google Ireland Limited (Google Gemini API) |
| Durée de conservation | Attributs extraits : durée de vie du compte. Les photos ne sont pas conservées par le sous-traitant au-delà du traitement de la requête API (politique de non-rétention des données d'API de Google) |
3.4. Capture et stockage des photos corporelles
| Élément | Détail |
|---|---|
| Données traitées | Photographies du corps de l'utilisateur (photos en pied) |
| Finalité | Permettre la création d'un modèle corporel virtuel pour l'essayage |
| Base légale | Consentement explicite (Art. 6(1)(a) et Art. 9(2)(a) RGPD) |
| Durée de conservation | Durée de vie du compte. Suppression dans les 30 jours suivant la suppression du compte ou le retrait du consentement |
3.5. Génération du modèle corporel virtuel
| Élément | Détail |
|---|---|
| Données traitées | Photos corporelles transmises à OpenAI et/ou Google Gemini ; image synthétique générée représentant le modèle corporel de l'utilisateur |
| Finalité | Créer une représentation virtuelle du corps de l'utilisateur pour l'essayage de vêtements |
| Base légale | Consentement explicite (Art. 6(1)(a) et Art. 9(2)(a) RGPD) |
| Sous-traitants | OpenAI, L.L.C. (fournisseur principal) ; Google Ireland Limited — Gemini (fournisseur de secours) |
| Durée de conservation | Images générées : durée de vie du compte. Les photos sources ne sont pas conservées par les sous-traitants au-delà du traitement de la requête API |
3.6. Essayage virtuel (génération d'images)
| Élément | Détail |
|---|---|
| Données traitées | Modèle corporel virtuel, images de vêtements, paramètres de la requête ; images d'essayage générées par IA |
| Finalité | Générer des images montrant l'utilisateur portant virtuellement un ou plusieurs vêtements |
| Base légale | Consentement explicite (Art. 6(1)(a) et Art. 9(2)(a) RGPD) pour le traitement de l'image corporelle ; exécution du contrat (Art. 6(1)(b) RGPD) pour la fonctionnalité d'essayage en tant que telle |
| Sous-traitants | OpenAI, L.L.C. (fournisseur principal) ; Google Ireland Limited — Gemini (fournisseur de secours) |
| Durée de conservation | Images d'essayage : durée de vie du compte ou jusqu'à suppression par l'utilisateur. Suppression automatique des essayages anciens conformément à la politique de nettoyage |
3.7. Détection faciale et corporelle sur l'appareil (on-device)
| Élément | Détail |
|---|---|
| Données traitées | Flux de la caméra traité localement par Google ML Kit (détection de visage et de posture) |
| Finalité | Guider l'utilisateur lors de la prise de photos (cadrage, posture) ; aucune donnée n'est transmise à des serveurs tiers |
| Base légale | Exécution du contrat (Art. 6(1)(b) RGPD) — fonctionnalité intégrée à la capture photo |
| Durée de conservation | Aucune conservation : traitement en temps réel sur l'appareil uniquement |
3.8. Import et analyse de vêtements
| Élément | Détail |
|---|---|
| Données traitées | Photographies de vêtements (uploadées ou importées depuis des sites tiers) ; attributs extraits : type de vêtement, couleur, motif, matière |
| Finalité | Identifier et catégoriser les vêtements pour l'essayage virtuel et les suggestions |
| Base légale | Exécution du contrat (Art. 6(1)(b) RGPD) |
| Sous-traitant | Mistral AI (analyse d'image par IA pour extraction d'attributs) |
| Durée de conservation | Durée de vie du compte ou jusqu'à suppression du vêtement par l'utilisateur |
3.9. Gestion de la garde-robe virtuelle et des collections
| Élément | Détail |
|---|---|
| Données traitées | Associations vêtement-utilisateur, collections de tenues, métadonnées d'organisation |
| Finalité | Permettre à l'utilisateur d'organiser ses vêtements et tenues en collections, et de les partager |
| Base légale | Exécution du contrat (Art. 6(1)(b) RGPD) |
| Durée de conservation | Durée de vie du compte |
3.10. Suggestions vestimentaires basées sur la météo
| Élément | Détail |
|---|---|
| Données traitées | Coordonnées géographiques (latitude/longitude), nom du lieu ; données météorologiques obtenues auprès d'OpenWeatherMap |
| Finalité | Fournir des suggestions vestimentaires adaptées aux conditions météorologiques de la localisation de l'utilisateur |
| Base légale | Consentement (Art. 6(1)(a) RGPD) — fonctionnalité optionnelle activée à la demande de l'utilisateur |
| Sous-traitant | OpenWeather Ltd (OpenWeatherMap API) — reçoit uniquement les coordonnées GPS, aucune donnée personnelle identifiante |
| Durée de conservation | Coordonnées : durée de vie du compte. Données météorologiques : non conservées (cache temporaire uniquement) |
3.11. Notifications push (planification vestimentaire)
| Élément | Détail |
|---|---|
| Données traitées | Jeton FCM (Firebase Cloud Messaging token), préférences de notification, horodatage de la dernière notification |
| Finalité | Envoyer des notifications de planification vestimentaire à l'utilisateur |
| Base légale | Consentement (Art. 6(1)(a) RGPD) — fonctionnalité optionnelle |
| Sous-traitant | Google Ireland Limited (Firebase Cloud Messaging) |
| Durée de conservation | Jeton FCM : durée de vie du compte. Actualisé automatiquement par l'appareil |
3.12. Stockage et diffusion d'images (hébergement)
| Élément | Détail |
|---|---|
| Données traitées | Toutes les images (photos, modèles corporels, résultats d'essayage, images de vêtements) stockées sur Google Cloud Storage et diffusées via Google Cloud CDN |
| Finalité | Héberger et distribuer les contenus visuels nécessaires au fonctionnement du Service |
| Base légale | Exécution du contrat (Art. 6(1)(b) RGPD) |
| Sous-traitant | Google Ireland Limited (Google Cloud Storage, Cloud CDN) |
| Durée de conservation | Conforme aux durées de conservation des traitements respectifs |
3.13. Mesure d'audience et analytique
| Élément | Détail |
|---|---|
| Données traitées | Événements d'utilisation anonymisés, identifiant analytique, type d'appareil, version de l'application, parcours utilisateur |
| Finalité | Mesurer l'audience du Service, comprendre les usages et améliorer l'expérience utilisateur |
| Base légale | Consentement (Art. 6(1)(a) RGPD) — conformément aux lignes directrices CNIL sur les traceurs (cf. Politique Cookies) |
| Sous-traitant | PostHog, Inc. |
| Durée de conservation | 25 mois à compter de la collecte (recommandation CNIL) |
3.14. Enregistrement de sessions (session recording)
| Élément | Détail |
|---|---|
| Données traitées | Enregistrements visuels des sessions d'utilisation (interactions, navigation) |
| Finalité | Diagnostiquer les problèmes d'ergonomie, améliorer l'interface utilisateur |
| Base légale | Consentement (Art. 6(1)(a) RGPD) |
| Sous-traitant | PostHog, Inc. |
| Durée de conservation | 90 jours |
3.15. Gestion des quotas et facturation
| Élément | Détail |
|---|---|
| Données traitées | Compteurs d'utilisation (nombre d'essayages, nombre d'analyses), identifiant utilisateur |
| Finalité | Gérer les limites d'utilisation du modèle freemium et, le cas échéant, la facturation des services premium |
| Base légale | Exécution du contrat (Art. 6(1)(b) RGPD) |
| Durée de conservation | Durée de vie du compte + durée légale de conservation des pièces comptables (10 ans pour les données de facturation, Art. L123-22 du Code de commerce) |
3.16. Gestion des demandes et du support
| Élément | Détail |
|---|---|
| Données traitées | Adresse électronique, contenu des échanges, métadonnées techniques de diagnostic |
| Finalité | Répondre aux demandes de l'utilisateur, assurer le support technique |
| Base légale | Intérêt légitime (Art. 6(1)(f) RGPD) — intérêt légitime du responsable de traitement à assurer la qualité du service et répondre aux demandes de ses utilisateurs |
| Durée de conservation | 3 ans à compter de la clôture de la demande (prescription de droit commun) |
4. Destinataires et sous-traitants
Vos données à caractère personnel sont susceptibles d'être communiquées aux catégories de destinataires suivantes :
4.1. Sous-traitants au sens de l'article 28 du RGPD
| Sous-traitant | Pays | Données traitées | Finalité | Garanties transfert |
|---|---|---|---|---|
| Google Ireland Limited (Gemini API, Firebase Auth, Cloud Storage, Cloud CDN, FCM) | Irlande (UE) ; traitement possible aux États-Unis | Photos de visage (extraction d'attributs), photos corporelles (génération de modèle, essayage), stockage d'images, authentification, notifications | Analyse IA, hébergement, authentification, notifications | Clauses contractuelles types (CCT) ; EU-US Data Privacy Framework (DPF) pour les transferts vers Google LLC |
| OpenAI, L.L.C. | États-Unis | Photos corporelles, modèle virtuel, requêtes d'essayage | Génération d'images IA (modèle corporel, essayage virtuel) | EU-US Data Privacy Framework (DPF) ; Clauses contractuelles types (CCT) |
| Mistral AI | France (UE) | Images de vêtements | Analyse et catégorisation de vêtements par IA | Traitement dans l'UE — aucun transfert hors UE |
| PostHog, Inc. | États-Unis (hébergement UE disponible) | Événements d'utilisation, enregistrements de sessions | Analytique, mesure d'audience | EU-US Data Privacy Framework (DPF) ; Clauses contractuelles types (CCT) |
| OpenWeather Ltd | Royaume-Uni | Coordonnées GPS | Données météorologiques | Décision d'adéquation Royaume-Uni (Art. 45 RGPD) |
4.2. Autres destinataires
Vos données ne font l'objet d'aucune communication commerciale à des tiers. Elles peuvent être communiquées :
- aux autorités judiciaires ou administratives lorsque la loi l'exige ;
- à des prestataires intervenant dans le cadre d'une obligation légale (commissaires aux comptes, avocats).
5. Transferts de données hors de l'Union européenne
Certaines de vos données sont transférées en dehors de l'Espace économique européen (EEE), notamment vers les États-Unis. Ces transferts sont encadrés par les mécanismes suivants :
5.1. EU-US Data Privacy Framework (DPF)
Les transferts vers OpenAI, L.L.C., Google LLC et PostHog, Inc. sont fondés sur le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023, C(2023) 4745), dans la mesure où ces entités sont certifiées au titre du DPF.
5.2. Clauses contractuelles types (CCT)
En complément du DPF, des clauses contractuelles types adoptées par la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021) sont intégrées dans les contrats de sous-traitance avec les fournisseurs situés hors de l'EEE.
5.3. Mesures supplémentaires
Conformément aux recommandations du CEPD (recommandations 01/2020 sur les mesures complémentaires aux outils de transfert), nous mettons en œuvre les mesures supplémentaires suivantes :
- Mesures techniques : chiffrement des données en transit (TLS 1.2+) et au repos ; minimisation des données transmises aux API tierces ; politique de non-rétention des données par les fournisseurs d'IA (les données de requête ne sont pas utilisées pour l'entraînement des modèles) ;
- Mesures organisationnelles : évaluation régulière des certifications DPF de nos sous-traitants ; suivi de la législation américaine en matière de surveillance.
6. Durées de conservation
Les durées de conservation sont détaillées pour chaque traitement à la section 3. Les principes généraux sont les suivants :
| Type de données | Durée de conservation |
|---|---|
| Données de compte | Durée de vie du compte + 30 jours après suppression |
| Photos (visage, corps) | Durée de vie du compte ou jusqu'au retrait du consentement |
| Images générées par IA | Durée de vie du compte ou jusqu'à suppression par l'utilisateur |
| Attributs extraits par IA | Durée de vie du compte |
| Données de garde-robe | Durée de vie du compte |
| Données analytiques | 25 mois à compter de la collecte |
| Enregistrements de sessions | 90 jours |
| Données de facturation | 10 ans (obligation légale — Art. L123-22 C. com.) |
| Données de support | 3 ans à compter de la clôture de la demande |
| Coordonnées géographiques | Durée de vie du compte |
À l'issue de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
En cas de suppression de votre compte, l'ensemble de vos données personnelles est supprimé dans un délai de 30 jours, à l'exception des données soumises à une obligation légale de conservation.
7. Vos droits
Conformément au Règlement général sur la protection des données (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés), vous disposez des droits suivants :
7.1. Droit d'accès (Art. 15 RGPD)
Vous avez le droit d'obtenir la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données ainsi qu'aux informations prévues à l'article 15 du RGPD.
7.2. Droit de rectification (Art. 16 RGPD)
Vous avez le droit d'obtenir la rectification de données à caractère personnel inexactes vous concernant, ainsi que le complètement de données incomplètes.
7.3. Droit à l'effacement (Art. 17 RGPD)
Vous avez le droit d'obtenir l'effacement de vos données à caractère personnel dans les cas prévus à l'article 17 du RGPD, notamment lorsque vous retirez votre consentement, lorsque les données ne sont plus nécessaires au regard des finalités, ou lorsque vous vous opposez au traitement.
La suppression de votre compte entraîne l'effacement de l'ensemble de vos données dans un délai de 30 jours.
7.4. Droit à la portabilité (Art. 20 RGPD)
Vous avez le droit de recevoir les données à caractère personnel que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement. Ce droit s'applique aux données traitées sur la base de votre consentement ou de l'exécution du contrat, par des moyens automatisés.
7.5. Droit à la limitation du traitement (Art. 18 RGPD)
Vous avez le droit d'obtenir la limitation du traitement dans les cas prévus à l'article 18 du RGPD, notamment lorsque vous contestez l'exactitude des données ou lorsque le traitement est illicite.
7.6. Droit d'opposition (Art. 21 RGPD)
Vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement de vos données fondé sur l'intérêt légitime (Art. 6(1)(f) RGPD). Nous cesserons le traitement, sauf si nous démontrons l'existence de motifs légitimes et impérieux.
7.7. Droit de retrait du consentement (Art. 7(3) RGPD)
Lorsque le traitement est fondé sur votre consentement, vous pouvez retirer ce consentement à tout moment, sans que cela ne compromette la licéité du traitement fondé sur le consentement effectué avant le retrait. Vous pouvez exercer ce droit :
- Pour les photos et le traitement IA : en supprimant vos photos depuis l'application ou en supprimant votre compte ;
- Pour la géolocalisation : en désactivant la fonctionnalité de planification météo dans l'application ;
- Pour les notifications : en désactivant les notifications dans les paramètres de l'application ;
- Pour l'analytique et les cookies : en modifiant vos préférences de consentement dans les paramètres de l'application (cf. Politique Cookies).
7.8. Droit de définir des directives post-mortem (Art. 85 Loi Informatique et Libertés)
Vous avez le droit de définir des directives relatives à la conservation, à l'effacement et à la communication de vos données à caractère personnel après votre décès.
7.9. Exercice de vos droits
Pour exercer l'un de ces droits, vous pouvez nous contacter :
- Par courrier électronique : contact@fittingme.ai — objet : « Exercice de droits RGPD »
- Par courrier postal : FittingMe.AI SAS, [adresse du siège social — à compléter]
Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois compte tenu de la complexité et du nombre de demandes, conformément à l'article 12(3) du RGPD. Dans ce cas, nous vous informerons de la prolongation dans le délai d'un mois.
Nous pourrons vous demander de justifier de votre identité si un doute raisonnable existe quant à l'identité du demandeur.
7.10. Droit de réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données à caractère personnel constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :
Commission nationale de l'informatique et des libertés (CNIL) 3, Place de Fontenoy — TSA 80715 75334 PARIS CEDEX 07 Téléphone : 01 53 73 22 22 Site internet : www.cnil.fr
8. Politique relative aux cookies et traceurs
L'utilisation de cookies et traceurs par FittingMe.AI fait l'objet d'une politique dédiée, disponible dans l'application et à l'adresse suivante : [lien vers la politique cookies].
Pour plus d'informations, veuillez consulter notre Politique Cookies.
9. Informations relatives à l'intelligence artificielle
FittingMe.AI utilise plusieurs systèmes d'intelligence artificielle pour fournir ses fonctionnalités. Conformément à l'article 50 du Règlement (UE) 2024/1689 (AI Act), une notice de transparence dédiée est mise à votre disposition dans l'application et à l'adresse suivante : [lien vers la notice IA].
En résumé :
- Les images d'essayage virtuel sont générées par intelligence artificielle. Ce ne sont pas des photographies réelles. Elles ne constituent pas une représentation fidèle de la réalité.
- Les attributs faciaux (teint, couleur des yeux, couleur des cheveux, tranche d'âge) sont extraits par IA à partir de vos photos. Ces résultats sont des estimations et peuvent être inexacts.
- Les suggestions vestimentaires sont générées par IA et ne constituent pas des conseils professionnels.
- Vous pouvez à tout moment supprimer vos photos et les données qui en découlent.
Pour plus d'informations, veuillez consulter notre Notice de Transparence IA.
10. Protection des mineurs
10.1. Interdiction aux moins de 13 ans
FittingMe.AI n'est pas destiné aux enfants de moins de 13 ans. Nous ne collectons pas sciemment les données à caractère personnel de mineurs de moins de 13 ans. Si nous apprenons que nous avons collecté des données d'un enfant de moins de 13 ans, nous procéderons à leur suppression immédiate.
10.2. Consentement parental pour les mineurs de 13 et 14 ans
Conformément à l'article 45 de la loi n° 78-17 du 6 janvier 1978 modifiée (qui fixe le seuil du consentement autonome à 15 ans en France), les mineurs âgés de 13 et 14 ans ne peuvent utiliser le Service qu'avec l'autorisation vérifiable d'un titulaire de l'autorité parentale.
10.3. Mineurs de 15 ans et plus
Les mineurs âgés de 15 ans et plus peuvent consentir de manière autonome au traitement de leurs données à caractère personnel dans le cadre du Service, conformément à l'article 45 de la loi Informatique et Libertés.
10.4. Signalement
Si vous êtes parent ou tuteur et que vous constatez que votre enfant mineur utilise le Service sans votre consentement, veuillez nous contacter à contact@fittingme.ai afin que nous puissions prendre les mesures nécessaires.
11. Sécurité des données
FittingMe.AI met en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité et la confidentialité de vos données, notamment :
- Chiffrement en transit : l'ensemble des communications entre l'application, nos serveurs et les API tierces sont chiffrées par TLS 1.2 ou supérieur ;
- Chiffrement au repos : les données stockées sur Google Cloud Storage sont chiffrées au repos (AES-256) ;
- Contrôle d'accès : isolation des données par utilisateur (Row-Level Security) au niveau de la base de données ;
- Authentification sécurisée : authentification via Firebase Auth (protocole OAuth 2.0) ;
- Minimisation : seules les données strictement nécessaires sont transmises aux sous-traitants ;
- Non-rétention par les fournisseurs d'IA : les données transmises aux API d'IA (OpenAI, Google Gemini, Mistral) ne sont pas conservées par ces fournisseurs au-delà du traitement de la requête et ne sont pas utilisées pour l'entraînement de leurs modèles ;
- URLs signées : l'accès aux images stockées est protégé par des URLs signées à durée limitée.
12. Modification de la politique de confidentialité
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, vous serez informé(e) :
- par notification dans l'application ;
- le cas échéant, par courrier électronique.
La date de dernière mise à jour est indiquée en tête du présent document. Votre utilisation continue du Service après notification des modifications vaut acceptation de la politique modifiée. Si vous n'acceptez pas les modifications, vous êtes libre de supprimer votre compte.
13. Loi applicable
La présente politique de confidentialité est régie par le droit français. Tout litige relatif à l'interprétation ou à l'exécution de la présente politique sera soumis aux tribunaux compétents de Paris, sans préjudice des règles impératives de compétence applicables au profit du consommateur en vertu du Code de la consommation.
14. Contact
Pour toute question relative à la présente politique de confidentialité ou à vos données personnelles :
FittingMe.AI SAS Adresse : [À compléter] Courrier électronique : contact@fittingme.ai
La présente politique de confidentialité constitue la version de référence en langue française. En cas de divergence avec toute traduction, la version française prévaudra.