Politique de confidentialité
Traitement des données personnelles (RGPD)
PILILY CONSEIL attache une importance particulière à la protection des données personnelles. Cette politique explique quelles données nous collectons via le service IRVYN, pourquoi, combien de temps nous les conservons et comment tu peux exercer tes droits.
1. Responsable de traitement
Le responsable du traitement des données personnelles collectées via IRVYN est :
PILILY CONSEIL, société par actions simplifiée à associé unique (SASU) au capital de 1 €.
- Siège social : 3C rue du Riez Bourriez, Appartement 1, 59112 Annœullin
- SIREN : 933 482 192 — RCS Lille Métropole 933 482 192
- Contact privacy : privacy@irvyn.app
Compte tenu de la nature du traitement (images de personnes via IA générative), la désignation d'un Délégué à la Protection des Données (DPO) est recommandée. Si PILILY CONSEIL désigne un DPO, ses coordonnées seront ajoutées ici.
2. Données que nous collectons
2.1 Données fournies directement
- Compte : adresse e-mail, mot de passe (haché), prénom/pseudonyme si renseignés.
- Facturation : nom et adresse de facturation pour l'émission de factures (les données de carte ne transitent jamais par IRVYN — voir § 5).
- Contenus téléversés : photographies de vêtements, ainsi que toute personne éventuellement visible sur ces photographies (déconseillé sans consentement).
- Échanges avec le support : e-mails, messages, copies d'écran envoyés.
2.2 Données collectées automatiquement
- Données techniques : adresse IP, identifiant de session, type de navigateur, système d'exploitation, langue, page consultée, dates et heures d'usage.
- Données d'usage : nombre de générations, mannequins et presets choisis, crédits consommés, événements d'erreur.
- Cookies et traceurs : voir la Politique cookies.
2.3 Données générées par le service
- Images IA : rendus produits à partir de tes photos.
- Métadonnées de génération : paramètres techniques (mannequin, preset, version du modèle, date), nécessaires pour le débogage et la facturation.
3. Finalités et bases légales
Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale identifiée.
| Finalité | Base légale | Données concernées |
|---|---|---|
| Création et gestion du compte | Exécution du contrat (art. 6.1.b) | E-mail, mot de passe, identifiants techniques |
| Fourniture du service de génération d'images | Exécution du contrat (art. 6.1.b) | Photos téléversées, paramètres, images générées |
| Facturation et tenue de la comptabilité | Obligation légale (art. 6.1.c) — Code de commerce, CGI | Identité, adresse, montants, factures |
| Paiement en ligne | Exécution du contrat (art. 6.1.b) | Données traitées par Stripe, jamais stockées par IRVYN |
| Sécurité, prévention de la fraude et des abus | Intérêt légitime (art. 6.1.f) | Logs, IP, identifiants techniques, contenus signalés |
| Modération des contenus illicites (DSA) | Obligation légale (art. 6.1.c) + intérêt légitime | Contenus téléversés et générés, signalements |
| Statistiques d'usage agrégées (analytics anonymisés) | Intérêt légitime (art. 6.1.f) | Données d'usage anonymisées ou pseudonymisées |
| Analytics non essentiels (mesure d'audience nominative, etc.) | Consentement (art. 6.1.a) | Identifiants de traceurs |
| E-mails commerciaux (newsletters, promotions) | Consentement (art. 6.1.a) ou intérêt légitime pour produits analogues | E-mail, statut de consentement |
| Amélioration du service (hors entraînement de modèles) | Intérêt légitime (art. 6.1.f) | Données d'usage agrégées, retours utilisateurs |
4. Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte utilisateur actif | Pendant toute la durée du compte |
| Photographies téléversées et images générées | Pendant la durée du compte, supprimées dans les 30 jours suivant la clôture |
| Données de facturation et factures | 10 ans à compter de la clôture de l'exercice (art. L.123-22 Code de commerce) |
| Logs techniques (sécurité) | 12 mois maximum |
| Cookies de mesure d'audience consentis | 13 mois max, conformément à la CNIL |
| Données après suppression du compte | Anonymisation ou suppression sous 30 jours, sauf obligation légale |
| E-mails commerciaux après désinscription | Conservation de l'opt-out en base d'opposition (3 ans) |
Engagement IRVYN : tes photographies et les images générées ne sont jamais utilisées pour entraîner les modèles d'intelligence artificielle, qu'il s'agisse de modèles internes ou de modèles fournis par des prestataires tiers.
5. Destinataires et sous-traitants
Tes données sont accessibles uniquement aux personnes habilitées chez PILILY CONSEIL (équipe produit, support, finance) et aux sous-traitants suivants, qui agissent sur nos instructions et avec lesquels un contrat conforme à l'article 28 du RGPD est signé :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Lovable Tech AB | Hébergement de l'application | Union européenne / Royaume-Uni (à confirmer) |
| Cloudflare, Inc. | Stockage des médias (R2) et CDN | États-Unis — encadré par CCT et Data Privacy Framework |
| Google LLC / Google Ireland Ltd. | Modèles d'IA générative (API Google, région UE le cas échéant) | UE pour les régions activées ; sinon CCT et DPF |
| Stripe Payments Europe Ltd. | Traitement des paiements en ligne | Union européenne (Irlande) |
| Service e-mail transactionnel | Envoi d'e-mails (vérification, factures, support) | Union européenne |
| Outils analytics & support | Mesure d'audience, conversations support | Union européenne |
6. Transferts hors Union européenne
Certains sous-traitants peuvent traiter des données hors de l'Union européenne. Lorsque c'est le cas, PILILY CONSEIL s'assure qu'un mécanisme de transfert reconnu par le RGPD encadre ce traitement :
- Décision d'adéquation de la Commission européenne (notamment EU-US Data Privacy Framework pour les organismes certifiés aux États-Unis) ;
- Clauses Contractuelles Types (CCT) adoptées par la Commission ;
- Mesures supplémentaires techniques (chiffrement, pseudonymisation) et organisationnelles lorsque nécessaire.
7. Sécurité
PILILY CONSEIL met en œuvre des mesures techniques et organisationnelles proportionnées au risque :
- Chiffrement des données en transit (TLS) et au repos chez les sous-traitants d'hébergement et de stockage.
- Cloisonnement des environnements (production / pré-production).
- Hachage des mots de passe avec une fonction adaptée.
- Journalisation des accès aux comptes administrateurs.
- Gestion stricte des habilitations selon le principe du moindre privilège.
- Sauvegardes régulières et procédure de restauration.
En cas de violation de données présentant un risque pour tes droits et libertés, PILILY CONSEIL notifie la CNIL dans un délai de 72 heures et t'informe lorsque la violation présente un risque élevé.
8. Tes droits
Tu disposes à tout moment des droits suivants :
- Droit d'accès (art. 15 RGPD) — savoir quelles données sont traitées et en obtenir une copie.
- Droit de rectification (art. 16) — corriger des données inexactes.
- Droit à l'effacement (art. 17) — demander la suppression de tes données.
- Droit à la limitation (art. 18) — geler un traitement.
- Droit à la portabilité (art. 20) — récupérer tes données dans un format structuré.
- Droit d'opposition (art. 21) — pour tout traitement fondé sur notre intérêt légitime, et sans motif pour la prospection.
- Retrait du consentement (art. 7) — à tout moment, sans effet rétroactif.
- Directives post-mortem (art. 85 loi Informatique & Libertés) — sur le sort de tes données après ton décès.
Pour exercer tes droits : écris à privacy@irvyn.app. Une réponse sera fournie sous un mois (prorogeable de deux mois si la demande est complexe). Un justificatif d'identité peut être demandé en cas de doute raisonnable.
Si tu estimes que tes droits ne sont pas respectés, tu peux introduire une réclamation auprès de la CNIL.
9. Particularités liées à l'IA générative
9.1 Pas d'entraînement sur tes contenus
Tes photographies téléversées et les images générées ne sont pas utilisées pour entraîner les modèles d'IA d'IRVYN, de PILILY CONSEIL ou de ses sous-traitants. Cet engagement est répercuté contractuellement vis-à-vis des prestataires d'IA utilisés.
9.2 Image de personnes
IRVYN est conçu pour générer des photographies de vêtements portés par des mannequins virtuels. Tu t'interdis de téléverser des photographies représentant une personne identifiable sans avoir obtenu son consentement explicite et préalable (droit à l'image — art. 9 du Code civil). En cas de manquement, tu en assumes seul la responsabilité.
9.3 Modération automatisée
Une modération automatisée intervient pour détecter les contenus manifestement illicites (notamment contenus à caractère sexuel, violents, ou impliquant des mineurs). Cette modération peut conduire au blocage d'une génération, à la suspension du compte ou au signalement aux autorités compétentes lorsque la loi l'exige. Tu peux contester une décision de modération en écrivant à hello@irvyn.app.
9.4 Transparence IA (Règlement européen sur l'IA)
Conformément aux exigences de transparence applicables, les images produites par IRVYN sont identifiées comme générées par intelligence artificielle. Une indication peut figurer dans les métadonnées ou par filigrane technique.
10. Mineurs
Le service IRVYN n'est pas destiné aux mineurs de moins de 15 ans. La création d'un compte par un mineur requiert l'accord du ou des titulaires de l'autorité parentale. PILILY CONSEIL supprimera tout compte dont elle apprendrait qu'il est ouvert par un mineur sans cet accord.
11. Cookies
L'usage des cookies fait l'objet d'une politique dédiée : voir la Politique cookies.
12. Modifications de la politique
Cette politique peut être mise à jour pour refléter une évolution réglementaire, technique ou des services proposés. La version applicable est celle publiée sur le site. En cas de modification substantielle, tu seras informé par e-mail ou via une notification dans le service au moins 15 jours avant son entrée en vigueur.