Télécharger l'appli
← Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 27 mai 2026

§1. Responsable du traitement des données à caractère personnel

  1. Le responsable du traitement des données à caractère personnel des Utilisatrices et Utilisateurs de l'application mobile Vougly (disponible sur l'App Store et Google Play, ci-après : « l'Application ») ainsi que du site marketing accessible à l'adresse vougly.app (ci-après : « le Site ») est Windify Digital Services, dont le siège est situé ul. Płocka 127/16, 87-800 Włocławek, NIP : 8943145650, REGON : 384382857 (ci-après : « le Responsable du traitement »).
  2. Contact avec le Responsable du traitement pour toute question relative aux données à caractère personnel : [email protected].
  3. Le Responsable du traitement traite les données à caractère personnel conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (règlement général sur la protection des données, ci-après : « RGPD »), à la loi polonaise du 10 mai 2018 sur la protection des données à caractère personnel (ustawa o ochronie danych osobowych), à la loi polonaise du 18 juillet 2002 sur la fourniture de services par voie électronique (ustawa o świadczeniu usług drogą elektroniczną) ainsi qu'à la loi polonaise du 16 juillet 2004, Code des télécommunications (Prawo telekomunikacyjne) (s'agissant des articles 173 et 174 relatifs aux fichiers cookies).

§2. Étendue des données collectées

Le Responsable du traitement collecte et traite les catégories suivantes de données à caractère personnel :

Données du Compte

  • Adresse électronique, requise pour la création du Compte, la connexion, la vérification de l'identité, la communication ainsi que l'envoi des confirmations d'achat.
  • Prénom (facultatif), communiqué par l'Utilisatrice afin de personnaliser la correspondance ainsi que l'interface de l'Application.
  • Avatar / photo de profil (facultatif), transmis par l'Utilisatrice depuis son appareil.
  • Identifiant d'authentification, en cas de connexion via un compte Apple ID ou Google : identifiant renvoyé par le fournisseur de connexion (Sign in with Apple, Google Sign-In). Le mot de passe, uniquement pour la connexion par adresse électronique, est conservé sous forme chiffrée (hachage bcrypt). Le Responsable du traitement n'a pas accès au mot de passe en clair.

Contenus transmis par l'Utilisatrice

  • Photos de vêtements, transmises à l'Application afin de réaliser une Génération (par exemple, la photo d'une robe prise à plat à la maison). Les photos sont transmises au fournisseur de modèles d'IA, qui renvoie le résultat de la Génération.
  • Photos de référence (« selfies ») pour la fonction « son propre mannequin », transmises de manière facultative par l'Utilisatrice afin d'entraîner la représentation vectorielle (embedding) de son propre mannequin dans l'Application. Les photos de référence brutes sont supprimées 30 jours après la création du modèle ; seule la représentation vectorielle utilisée pour les Générations ultérieures demeure dans l'Application.
  • Contenus générés, photos produites par les modèles d'IA de l'Application à partir des Contenus de l'Utilisatrice. Conservés dans l'« Archive » du Compte jusqu'à la suppression du Compte par l'Utilisatrice.
  • La fonction « son propre mannequin » requiert que la personne figurant sur les photos de référence ait consenti à une telle utilisation de son image ; la responsabilité de l'obtention de ce consentement incombe à l'Utilisatrice (conformément aux Conditions générales).

Données techniques et de diagnostic

  • Adresse IP, collectée dans les journaux du serveur et les systèmes de sécurité, aux fins de détection des abus.
  • Données relatives à l'appareil, modèle de l'appareil, système d'exploitation et sa version, version de l'Application, langue de l'interface.
  • Identifiant d'installation de l'Application, identifiant interne généré par l'Application. Le Responsable du traitement n'utilise pas les identifiants publicitaires de l'appareil (IDFA sous iOS, GAID sous Android) à des fins de marketing et ne les communique pas à des tiers à cette fin.
  • Données relatives à l'activité dans l'Application, type de Générations réalisées, erreurs techniques, journaux de diagnostic (traités afin d'améliorer la stabilité).
  • Jeton de notifications push, pour l'envoi de notifications via Apple Push Notifications (APNs) ou Firebase Cloud Messaging (FCM).
  • Fichiers cookies et technologies similaires, uniquement sur le Site (vougly.app). L'Application n'utilise pas de cookies au sens classique. Informations détaillées dans la Politique relative aux cookies.

Données relatives aux transactions

  • Historique des achats de Lots de Crédits, date, montant, Lot choisi, identifiant de transaction (App Store / Google Play).
  • Solde et historique des Crédits, créditements, débits, bonus.
  • Le Responsable du traitement ne conserve pas les données des cartes de paiement. L'ensemble des paiements au sein de l'Application est traité exclusivement par l'Apple App Store ainsi que par Google Play, conformément à leurs conditions générales et à leurs mécanismes de paiement.

§3. Finalités et bases juridiques du traitement

Finalité du traitementBase juridique (RGPD)
Création et gestion du Compte dans l'ApplicationArt. 6, par. 1, point b, exécution du contrat
Fourniture des Services (réception des Photos, réalisation des Générations, archivage des Contenus générés)Art. 6, par. 1, point b, exécution du contrat
Fonction « son propre mannequin », traitement des photos de référence et production de la représentation vectorielle (embedding)Art. 6, par. 1, point b, exécution du contrat / art. 9, par. 2, point a, consentement explicite (si les photos révèlent des données relevant d'une catégorie particulière)
Gestion des paiements et des règlementsArt. 6, par. 1, point b, exécution du contrat
Envoi de notifications push et de courriels (transactionnels, relatifs au compte)Art. 6, par. 1, point b, exécution du contrat / art. 6, par. 1, point f, intérêt légitime
Garantie de la sécurité, détection des abus, protection de l'ApplicationArt. 6, par. 1, point f, intérêt légitime
Traitement des réclamations et contact avec l'UtilisatriceArt. 6, par. 1, point b, exécution du contrat / art. 6, par. 1, point f, intérêt légitime
Respect des obligations légales (comptabilité, fiscalité, facturation)Art. 6, par. 1, point c, obligation légale
Analyse d'audience et marketing sur le Site (cookies analytiques, marketing)Art. 6, par. 1, point a, consentement (bandeau cookies)
Entraînement des modèles d'IA à partir de Contenus anonymisés de l'Utilisatrice afin d'améliorer la qualité des GénérationsArt. 6, par. 1, point f, intérêt légitime ; avec possibilité de retirer le consentement dans les paramètres de l'Application
Constatation, exercice ou défense de droits en justiceArt. 6, par. 1, point f, intérêt légitime

§4. Destinataires des données

Les données à caractère personnel des Utilisatrices peuvent être transmises aux catégories de destinataires suivantes (sous-traitants ainsi que responsables du traitement distincts) :

  1. Cloudflare, Inc. (États-Unis), fournisseur de l'infrastructure d'hébergement du Site vougly.app (Cloudflare Pages), du réseau de diffusion de contenu (CDN), de la protection contre les robots et les attaques DDoS ainsi que du service d'acheminement du courrier (Cloudflare Email Routing) pour les adresses du domaine vougly.app. Cloudflare traite les données techniques (adresse IP, User-Agent, en-têtes HTTP) nécessaires à la diffusion du contenu du Site ainsi que les courriels acheminés vers les adresses du domaine vougly.app.
  2. Fournisseur de stockage objet, sur lequel sont conservés les données du Compte, les Photos et les Contenus générés de l'Application (notamment Cloudflare R2). Les données sont chiffrées au repos et en transit.
  3. OpenRouter, Inc. (États-Unis), fournisseur d'un service mandataire (proxy) acheminant les requêtes vers les modèles de langage (LLM), utilisé pour le traitement des métadonnées, des descriptions et des instructions de génération. Le Responsable du traitement configure OpenRouter avec le paramètre Zero Data Retention (ZDR) activé ainsi que le filtre data_collection: deny ; cela signifie que les requêtes sont dirigées exclusivement vers des fournisseurs finaux qui ne conservent pas les données transmises après l'exécution de l'inférence et ne les utilisent pas pour entraîner leurs modèles.
  4. Google LLC ainsi que Google Ireland Limited, fournisseur de l'interface API des modèles Google Gemini (modèles de langage multimodaux), utilisée pour l'analyse et la description des Photos de vêtements. Conformément aux conditions de l'API Google Gemini (niveau payant, en production), les contenus transmis via l'API ne sont pas utilisés pour entraîner les modèles de Google.
  5. Fournisseur spécialisé d'un modèle d'IA de type virtual try-on (établi aux États-Unis), entité réalisant la Génération proprement dite de la photo du vêtement sur un mannequin ou sur une surface. Les Contenus de l'Utilisatrice (Photo du vêtement, le cas échéant photos de référence pour la fonction « son propre mannequin ») sont transmis exclusivement aux fins de réalisation d'une Génération unique et ne sont pas utilisés par ce fournisseur pour entraîner ses modèles. L'identité de ce fournisseur constitue un secret d'affaires du Responsable du traitement pour des raisons concurrentielles. Le Responsable du traitement communique la dénomination exacte et le siège de ce fournisseur à toute Utilisatrice sur demande écrite adressée à [email protected] (conformément à l'art. 13, par. 1, point e ainsi qu'à l'art. 15 du RGPD).
  6. Apple Inc. ainsi que Google LLC, s'agissant de la vente des Lots de Crédits au sein de l'Application par l'intermédiaire de l'App Store et de Google Play, ainsi que de l'envoi des notifications push (Apple Push Notifications, Firebase Cloud Messaging).
  7. Formsubmit.co (États-Unis), fournisseur d'un service d'acheminement des formulaires de contact du site vougly.app/contact. Il reçoit les données saisies dans le formulaire (prénom, adresse électronique, objet, contenu du message) et les transmet sous forme de courriel au Responsable du traitement à l'adresse [email protected].
  8. Google LLC (Google Analytics 4, identifiant G-H319FJRQ28), outil d'analyse d'audience du Site vougly.app servant à mesurer le trafic, les sources de visite et les interactions avec le site. Activé uniquement après le recueil du consentement de l'Utilisatrice dans le bandeau cookies (Consent Mode v2). L'adresse IP est anonymisée (paramètre anonymize_ip: true). Détails dans la Politique relative aux cookies.
  9. Autorités publiques, à la demande des autorités habilitées, sur le fondement des dispositions légales en vigueur.
  10. Conseils juridiques et fiscaux, dans la mesure nécessaire à la constatation, à l'exercice ou à la défense de droits en justice.

Le Responsable du traitement ne vend pas les données à caractère personnel des Utilisatrices à des tiers. Les Contenus de l'Utilisatrice (Photos de vêtements, photos de référence) ne sont pas communiqués à des courtiers en données ni à des régies publicitaires, et ne sont pas utilisés par les fournisseurs de modèles d'IA pour entraîner leurs modèles.

Nature de l'utilisation des modèles d'IA

  1. La Génération d'une photo est réalisée par des modèles d'IA de manière probabiliste ; le résultat n'est pas déterministe et peut varier à chaque génération, même à partir des mêmes données d'entrée. Les réclamations relatives à des résultats défectueux sont régies par les Conditions générales (remboursement du crédit en cas de défaut manifeste).
  2. Les Contenus de l'Utilisatrice (Photos de vêtements, photos de référence, selfies pour la fonction « son propre mannequin ») sont transmis aux fournisseurs de modèles d'IA exclusivement aux fins de réalisation de la Génération concernée. Le Responsable du traitement supprime les Contenus des systèmes des fournisseurs dans les meilleurs délais après la livraison réussie du résultat, en recourant aux interfaces de suppression des données mises à disposition par les fournisseurs. Les fournisseurs de modèles d'IA n'utilisent pas les Contenus transmis pour entraîner ni affiner leurs modèles ; le Responsable du traitement conclut avec chaque fournisseur des accords de traitement des données (DPA) comportant un tel engagement.
  3. La Génération ne constitue pas une prise de décision automatisée au sens de l'art. 22 du RGPD ; le résultat de la Génération est un contenu graphique fourni à l'Utilisatrice pour tout usage de son choix, et non une décision produisant à son égard des effets juridiques ou l'affectant de manière significative.
  4. La liste complète des sous-traitants ultérieurs (subprocessors) du Responsable du traitement, y compris la dénomination exacte du fournisseur du modèle de virtual try-on, est communiquée à l'Utilisatrice sur demande écrite adressée à [email protected].

§5. Transfert de données hors de l'EEE

  1. Une partie des entités auxquelles le Responsable du traitement confie le traitement des données a son siège hors de l'Espace économique européen (EEE), en particulier aux États-Unis. Cela concerne notamment : Cloudflare, Inc., OpenRouter, Inc., Google LLC (API Gemini ainsi que Google Analytics 4), le fournisseur spécialisé du modèle de virtual try-on (États-Unis), Formsubmit.co, ainsi qu'Apple Inc. et Google LLC s'agissant des notifications push et des magasins d'applications.
  2. Le transfert de données vers les États-Unis s'effectue sur le fondement du EU-US Data Privacy Framework (décision d'exécution de la Commission européenne du 10 juillet 2023) ou des clauses contractuelles types (CCT) approuvées par la Commission européenne, conformément à l'art. 46 du RGPD.
  3. Le Responsable du traitement ne recourt qu'à des fournisseurs assurant un niveau adéquat de protection des données à caractère personnel conforme aux exigences du RGPD.
  4. En cas d'invalidation ou de modification du mécanisme de transfert des données, le Responsable du traitement prendra sans délai les mesures nécessaires afin d'assurer la conformité du transfert au droit en vigueur.

§6. Durée de conservation des données

Catégorie de donnéesDurée de conservation
Données du Compte (adresse électronique, prénom, avatar)Jusqu'à la suppression du Compte par l'Utilisatrice ou le Responsable du traitement + 30 jours (en vue d'une éventuelle restauration)
Photos de vêtements transmises pour une GénérationJusqu'à 90 jours à compter de la dernière activité du Compte, puis supprimées automatiquement
Photos de référence brutes (selfies) pour la fonction « son propre mannequin »30 jours à compter de la création du modèle, puis supprimées automatiquement. Seule la représentation vectorielle (embedding) demeure dans l'Application.
Représentation vectorielle (embedding) du propre mannequinJusqu'à la suppression du modèle par l'Utilisatrice ou la suppression du Compte
Contenus générés (Archive)Jusqu'à la suppression de la Génération concernée par l'Utilisatrice ou la suppression du Compte
Historique des transactions (achats de Lots, factures)5 ans à compter de la fin de l'exercice fiscal (obligation comptable)
Données du formulaire de contact / correspondance relative aux réclamationsJusqu'au traitement de la demande + 12 mois
Journaux du serveur (adresses IP, données techniques)Jusqu'à 90 jours
Données analytiques (cookies sur le Site)Conformément à la Politique relative aux cookies, jusqu'à 14 mois
Données nécessaires à la constatation/défense de droits en justiceJusqu'à l'expiration du délai de prescription (jusqu'à 6 ans)
  1. À l'expiration de la durée de conservation, les données sont définitivement supprimées ou anonymisées.
  2. En cas de suppression du Compte, les données de l'Utilisatrice sont supprimées sans délai (avec une fenêtre de restauration de 30 jours), à l'exception des données dont la conservation est exigée par les dispositions légales (par exemple les données transactionnelles, 5 ans).

§7. Droits de l'Utilisatrice

En vertu du RGPD, l'Utilisatrice dispose des droits suivants :

  • Droit d'accès (art. 15), obtention d'informations sur les données traitées, y compris une copie des données.
  • Droit de rectification (art. 16), correction des données inexactes ou complément des données incomplètes.
  • Droit à l'effacement (art. 17), demande de suppression des données (« droit à l'oubli »). L'Utilisatrice peut supprimer elle-même son Compte dans les paramètres de l'Application. Ce droit ne s'applique pas aux données dont la conservation est exigée par les dispositions légales.
  • Droit à la limitation (art. 18), limitation du traitement des données dans les cas déterminés.
  • Droit à la portabilité (art. 20), réception des données dans un format structuré, couramment utilisé et lisible par machine.
  • Droit d'opposition (art. 21), opposition au traitement fondé sur l'intérêt légitime du Responsable du traitement, y compris opposition à l'utilisation de Contenus anonymisés pour l'entraînement des modèles d'IA.
  • Droit de retirer son consentement (art. 7, par. 3), à tout moment, sans incidence sur la licéité du traitement antérieur. Cela concerne en particulier le consentement aux cookies analytiques et marketing ainsi que le consentement à la fonction « son propre mannequin ».
  • Droit d'introduire une réclamation, auprès de l'autorité de contrôle : le Président de l'Office de protection des données à caractère personnel (Prezes Urzędu Ochrony Danych Osobowych), ul. Stawki 2, 00-193 Warszawa (uodo.gov.pl).

Afin d'exercer les droits susmentionnés, il convient de contacter le Responsable du traitement à l'adresse [email protected]. Le Responsable du traitement examinera la demande dans un délai de 30 jours. En cas de demandes complexes ou nombreuses, ce délai peut être prolongé de 60 jours supplémentaires, ce dont le Responsable du traitement informera l'Utilisatrice.

§8. Sécurité des données

  1. Le Responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel, notamment :

    • Chiffrement SSL/TLS, l'ensemble des communications de l'Application et du Site s'effectue par connexion HTTPS chiffrée.
    • Chiffrement des données au repos, les Photos de vêtements, les photos de référence et les Contenus générés sont conservés dans un stockage objet chiffré.
    • Hachage des mots de passe, les mots de passe (pour la connexion par adresse électronique) sont conservés exclusivement sous forme de hachage bcrypt.
    • Authentification par jeton, les sessions de l'Application reposent sur des jetons signés, avec possibilité d'invalidation.
    • Absence de conservation des données de cartes, les données de paiement sont traitées exclusivement par l'Apple App Store / Google Play.
    • Contrôle d'accès, l'accès aux données est limité aux personnes autorisées, avec un registre des accès.
    • Restrictions de traitement des photos, les photos de référence brutes sont supprimées après 30 jours ; les photos de vêtements après 90 jours à compter de la dernière activité.
  2. Nonobstant la mise en œuvre des mesures de sécurité ci-dessus, le Responsable du traitement n'est pas en mesure de garantir la sécurité absolue des données transmises par Internet. L'Utilisatrice est responsable de la sécurisation de son appareil ainsi que de ses identifiants de connexion.

§9. Violation de la protection des données à caractère personnel

  1. En cas de violation de la protection des données à caractère personnel susceptible d'engendrer un risque d'atteinte aux droits ou aux libertés des personnes physiques, le Responsable du traitement notifiera cette violation au Président de l'Office de protection des données à caractère personnel (Prezes Urzędu Ochrony Danych Osobowych) sans retard injustifié, au plus tard dans un délai de 72 heures à compter de la constatation de la violation (art. 33 du RGPD).
  2. Lorsque la violation de la protection des données à caractère personnel est susceptible d'engendrer un risque élevé d'atteinte aux droits ou aux libertés des personnes physiques, le Responsable du traitement en informera sans délai les Utilisatrices concernées (art. 34 du RGPD), notamment quant à la nature de la violation, ses conséquences possibles ainsi que les mesures correctives.

§10. Profilage et prise de décision automatisée

  1. L'Application recourt à des modèles d'IA aux fins de génération de photos (notamment l'essayage virtuel d'un vêtement sur un mannequin). Cette opération est réalisée exclusivement à la demande de l'Utilisatrice et ne constitue pas une prise de décision automatisée au sens de l'art. 22 du RGPD, dès lors qu'elle ne produit pas d'effets juridiques et n'affecte pas de manière significative la situation de l'Utilisatrice.
  2. Sur le Site marketing, des outils d'analyse d'audience (sur le fondement du consentement) peuvent être mis en œuvre afin de créer des segments d'audience agrégés à des fins statistiques ; détails dans la Politique relative aux cookies.

§11. Données à caractère personnel des enfants

  1. L'Application et le Site ne sont pas destinés aux personnes de moins de 16 ans. Le Responsable du traitement ne collecte pas sciemment de données à caractère personnel d'enfants.
  2. Il est interdit de transmettre à l'Application des photos représentant des personnes mineures (conformément aux Conditions générales § 5). Si le Responsable du traitement vient à apprendre que des Contenus comportent l'image d'un enfant ou qu'un Compte appartient à une personne de moins de 16 ans, il supprimera sans délai les données concernées et bloquera le Compte.

§12. Caractère obligatoire de la communication des données

  1. La communication des données du Compte (adresse électronique) est facultative, mais nécessaire à la création du Compte et à l'utilisation de l'Application.
  2. La transmission des photos de vêtements est facultative et nécessaire à la réalisation d'une Génération.
  3. La transmission des photos de référence pour la fonction « son propre mannequin » est entièrement facultative ; à défaut, cette fonction n'est pas disponible, mais les autres fonctions de l'Application fonctionnent normalement.
  4. Le recueil du consentement aux cookies analytiques et marketing sur le Site est facultatif et n'a pas d'incidence sur la possibilité d'utiliser le Site ni l'Application.

§13. Modifications de la Politique de confidentialité

  1. Le Responsable du traitement se réserve le droit de modifier la présente Politique de confidentialité à tout moment, en particulier afin de l'adapter aux évolutions des dispositions légales, aux évolutions technologiques ou aux évolutions relatives au traitement des données.
  2. Le Responsable du traitement informera les Utilisatrices titulaires d'un Compte de toute modification substantielle par voie électronique ou par notification au sein de l'Application, moyennant un préavis d'au moins 14 jours.
  3. Nous recommandons de consulter régulièrement le contenu de la présente Politique, disponible à l'adresse vougly.app/privacy-policy.

§14. Coordonnées du Responsable du traitement

Windify Digital Services
ul. Płocka 127/16, 87-800 Włocławek
NIP: 8943145650 · REGON: 384382857
Contact : [email protected]