Politique de confidentialité

Version 1.0 — Entrée en vigueur : 5 juin 2026

URL de publication : https://mytenue.com/privacy

La présente Politique de confidentialité décrit la manière dont MYTENUE SASU collecte, traite et protège vos données à caractère personnel dans le cadre de votre utilisation du site https://mytenue.com et de l'application mobile MyTenue (ci-après ensemble « le Service »).

Elle est conforme au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »), aux recommandations de la Commission nationale de l'informatique et des libertés (CNIL) et au Règlement (UE) 2024/1689 sur l'intelligence artificielle (« EU AI Act »).

Article 1 — Responsable du traitement

Le responsable de traitement est :

MYTENUE SASU — SIREN 105 776 215
Siège social : 17 Rue Benoît Malon, 92150 Suresnes, France
Représentant légal : Monsieur Ahmed Ghariani, Président
Délégué à la protection des données (DPO) : dpo@mytenue.com

Pour toute question relative à la présente Politique ou à l'exercice de vos droits, vous pouvez nous contacter par courriel à dpo@mytenue.com ou par voie postale à l'adresse du siège social.

Article 2 — Données collectées

MYTENUE collecte différentes catégories de données à caractère personnel selon votre utilisation du Service.

2.1 Données d'identification et de compte

Adresse de courriel
Nom et prénom (facultatif)
Identifiant unique de compte (généré automatiquement)
Mot de passe (stocké sous forme hachée et salée)
Type d'authentification (email, Apple, Google)
Date de création du compte

2.2 Données de profil et préférences

Genre déclaré (M, F, autre, non renseigné)
Préférences stylistiques (styles favoris, occasions, couleurs)
Tier d'abonnement (Free, Basic, Premium, Gold)
Langue de l'interface

2.3 Contenus uploadés par vous

Photographies de vos vêtements et accessoires
Photographies que vous importez pour l'essayage virtuel — elles peuvent contenir votre visage ; elles servent uniquement à générer le rendu d'essayage et ne font l'objet d'aucune reconnaissance faciale ni traitement biométrique
Métadonnées associées (catégorie, couleur, marque déclarée)
Tenues créées (compositions personnelles)

2.4 Données de connexion et techniques

Adresse IP
Identifiants de l'appareil (IDFA pour iOS, GAID pour Android)
Type d'appareil, système d'exploitation, version de l'application
Logs de connexion et d'activité
Données de performance (temps de chargement, erreurs)

2.5 Données comportementales d'usage

Historique de navigation dans l'Application
Articles consultés, tenues créées, essayages virtuels effectués
Interactions avec les recommandations IA
Clics sur les liens d'affiliation

2.6 Données de paiement

Informations relatives à l'abonnement (statut, échéance, historique)
Les données de carte bancaire ne sont jamais stockées par MYTENUE. Elles sont tokenisées et traitées exclusivement par les prestataires Stripe Payments Europe Ltd et RevenueCat (selon le canal).

2.7 Données de localisation

Pays et région approximative (déduits de l'adresse IP)
Localisation précise uniquement avec votre consentement explicite, pour les fonctionnalités météo et suggestions contextuelles

2.8 Données de communication

Courriels et messages échangés avec le service support
Réponses aux enquêtes de satisfaction (facultatives)

Article 3 — Finalités et bases légales des traitements

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale identifiée.

Finalité	Base légale	Données concernées
Création et gestion du compte	Exécution du contrat (art. 6.1.b)	Identification, authentification
Fourniture du Service (digitalisation garde-robe, IA, suggestions)	Exécution du contrat (art. 6.1.b)	Profil, contenus uploadés, préférences
Facturation et gestion des abonnements	Exécution du contrat + obligation légale (art. 6.1.b et c)	Données de paiement, identification
Conservation comptable	Obligation légale (art. 6.1.c)	Factures, données financières
Amélioration du Service et statistiques anonymisées	Intérêt légitime (art. 6.1.f)	Données d'usage anonymisées
Sécurité, prévention de la fraude et des abus	Intérêt légitime (art. 6.1.f)	Logs, IP, identifiants d'appareil
Envoi de communications marketing	Consentement (art. 6.1.a)	Email, préférences
Cookies non essentiels et traceurs publicitaires	Consentement (art. 6.1.a)	Identifiants techniques
Notifications push	Consentement (art. 6.1.a)	Token de notification
Personnalisation des recommandations IA	Exécution du contrat (art. 6.1.b)	Préférences, garde-robe

Article 4 — Durées de conservation

Vos données sont conservées pendant les durées strictement nécessaires aux finalités poursuivies.

Catégorie	Durée
Données de compte actif	Tant que le compte est actif
Données de compte inactif	3 ans après la dernière connexion, puis suppression ou anonymisation
Photographies uploadées (compte actif)	Tant que le compte est actif
Photographies après suppression du compte	30 jours (corbeille de récupération), puis suppression définitive
Données comptables et factures	10 ans (article L.123-22 du Code de commerce)
Logs de connexion	1 an (article L.34-1 du Code des postes et communications électroniques)
Données de consentement (cookies)	13 mois
Données de prospection commerciale (prospect)	3 ans à compter du dernier contact
Tickets et échanges service client	5 ans à compter de la clôture

À l'expiration de ces durées, vos données sont supprimées ou irréversiblement anonymisées.

Article 5 — Destinataires et sous-traitants

Vos données sont accessibles, dans la stricte limite de leurs missions, aux équipes habilitées de MYTENUE et à ses sous-traitants liés par un Data Processing Agreement (DPA) conforme à l'article 28 du RGPD.

5.1 Liste des sous-traitants

Sous-traitant	Finalité	Localisation des données	Garanties
Amazon Web Services EMEA SARL	Hébergement, stockage S3, Lambda, RDS Aurora	UE — eu-west-3 (Paris)	DPA AWS, certifications ISO 27001/27018
Stripe Payments Europe Ltd	Traitement des paiements par carte	UE / USA (SCC + DPF)	DPA Stripe, PCI-DSS niveau 1
RevenueCat Inc.	Gestion des abonnements iOS/Android	USA (SCC + DPF)	DPA RevenueCat
Google LLC — Vertex AI (Google Cloud)	Analyse IA des vêtements (Gemini), génération d'images et try-on virtuel (Imagen)	UE / USA (SCC + DPF)	DPA Google Cloud
Resend Inc.	Courriels transactionnels et marketing	UE / USA (SCC + DPF)	DPA Resend
Sentry / Crashlytics	Monitoring des erreurs et performance	UE / USA (SCC + DPF)	DPA, anonymisation des données utilisateurs
Google Analytics 4	Mesure d'audience anonymisée du site web	UE / USA (SCC + DPF)	Anonymisation IP, configuration conforme CNIL
Meta Platforms Ireland Ltd	Tracking publicitaire (consentement requis)	UE / USA (SCC + DPF)	Activé uniquement après consentement explicite
Apple App Store / Google Play	Distribution des applications	USA (SCC + DPF)	Politique des stores
Réseaux d'affiliation : Rakuten Advertising (SUIT Negozi, Ann Demeulemeester, COUTR, Etsy), CJ Affiliate (iQueens, TOUS), Awin (drestige), Tradedoubler (Tamaris)	Suivi de la performance commerciale	UE / USA (SCC + DPF)	DPA bilatéraux

5.2 Garanties contractuelles

Chaque sous-traitant est lié par un contrat conforme à l'article 28 du RGPD garantissant notamment :

la confidentialité des données ;
la mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées ;
la sous-traitance ultérieure encadrée ;
la notification des violations de données ;
la suppression ou la restitution des données à la fin de la prestation.

Article 6 — Transferts hors Union européenne

Vos données sont stockées en priorité sur des infrastructures situées en Union européenne (AWS eu-west-3 Paris).

Certains sous-traitants peuvent traiter des données depuis des pays tiers, principalement les États-Unis. Dans ce cas, MYTENUE s'appuie sur les garanties prévues au chapitre V du RGPD :

Clauses contractuelles types (SCC) de la Commission européenne (Décision 2021/914) ;
EU-US Data Privacy Framework (DPF) pour les sous-traitants certifiés ;
Évaluations d'impact des transferts (TIA) pour les flux à risque.

Vous pouvez obtenir une copie des garanties applicables en écrivant à dpo@mytenue.com.

Article 7 — Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants :

Droit d'accès (art. 15) : obtenir confirmation du traitement de vos données et en recevoir une copie ;
Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes ;
Droit à l'effacement (art. 17) : demander la suppression de vos données dans les cas prévus par le RGPD ;
Droit à la limitation du traitement (art. 18) ;
Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine ;
Droit d'opposition (art. 21) : vous opposer au traitement, notamment pour des motifs tenant à votre situation particulière ;
Droit de retirer votre consentement à tout moment, sans remise en cause des traitements antérieurs ;
Droit de définir des directives post-mortem sur le sort de vos données après votre décès (article 85 de la Loi Informatique et Libertés).

Comment exercer vos droits

Pour exercer l'un de ces droits, vous pouvez :

envoyer un courriel à dpo@mytenue.com ;
ou écrire à MYTENUE SASU — DPO, 17 Rue Benoît Malon, 92150 Suresnes.

Pour des raisons de sécurité, il pourra vous être demandé de justifier votre identité.

MYTENUE s'engage à vous répondre dans un délai d'un (1) mois à compter de la réception de votre demande complète, conformément à l'article 12 du RGPD. Ce délai peut être porté à trois (3) mois en cas de demande complexe, vous en serez informé(e).

Recours

Vous disposez du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — https://www.cnil.fr.

Suppression de compte (article 17 RGPD)

Vous pouvez supprimer votre compte et toutes vos données personnelles à tout moment :

Depuis l'application : Profil → « Supprimer mon compte » (confirmation en 2 étapes).
Par courriel : envoyer une demande à privacy@mytenue.com avec justificatif d'identité.

La suppression est immédiate côté application. Les données strictement personnelles (profil, garde-robe, photos, préférences IA) sont effacées sans délai. Les factures et données comptables sont conservées 10 ans pour des raisons légales (Code de commerce art. L.123-22), sous forme anonymisée.

Procédure complète : https://mytenue.com/account-deletion

Article 8 — Sécurité des données

MYTENUE met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD :

Chiffrement en transit : TLS 1.3 sur l'ensemble des échanges ;
Chiffrement au repos : AES-256 pour les données stockées (S3, Aurora) ;
Authentification : AWS Cognito + tokens JWT à durée limitée ;
Contrôle d'accès : principe du moindre privilège, IAM granulaire ;
Journalisation : logs auditables des accès aux données sensibles ;
Sauvegardes : sauvegardes chiffrées quotidiennes, plan de continuité d'activité ;
Surveillance : monitoring temps réel des incidents de sécurité ;
Tests : audits de sécurité périodiques.

Notification des violations

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, MYTENUE notifiera la CNIL dans un délai de 72 heures après en avoir pris connaissance et, le cas échéant, les personnes concernées dans les meilleurs délais.

Article 9 — Mineurs

Le Service est réservé aux personnes âgées d'au moins 16 ans.

Conformément à l'article 8 du RGPD et à l'article 45 de la Loi Informatique et Libertés, les mineurs de 13 à 16 ans ne peuvent créer un compte qu'avec l'autorisation des titulaires de l'autorité parentale.

MYTENUE ne collecte pas sciemment de données concernant des enfants de moins de 13 ans. Si vous constatez qu'un enfant a fourni des données sans autorisation, vous pouvez nous contacter à dpo@mytenue.com pour demander leur suppression.

Article 10 — Intelligence artificielle et prise de décision automatisée

10.1 Systèmes d'IA utilisés

MYTENUE utilise des systèmes d'intelligence artificielle pour :

Analyser vos vêtements digitalisés (catégorisation, attributs visuels) — Google Vertex AI Gemini ;
Générer des recommandations de tenues adaptées à vos préférences ;
Proposer un essayage virtuel — Google Vertex AI Imagen ;
Traduire et enrichir les descriptions des produits — Google Vertex AI Gemini.

10.2 Décisions automatisées avec effet juridique

Aucun traitement mis en œuvre par MYTENUE ne donne lieu à une décision exclusivement automatisée produisant des effets juridiques vous concernant ou vous affectant de manière significative, au sens de l'article 22 du RGPD.

Les suggestions de l'IA sont informatives et non contraignantes. Vous restez seul(e) maître de vos choix.

10.3 Intervention humaine

Vous disposez du droit de demander une intervention humaine sur toute recommandation IA en écrivant à support@mytenue.com.

10.4 Conformité EU AI Act

Conformément au Règlement (UE) 2024/1689, les contenus générés ou substantiellement modifiés par IA sont signalés dans l'Application. Les modèles utilisés sont qualifiés à risque limité au sens du règlement.

Article 11 — Cookies et traceurs

Le site https://mytenue.com utilise des cookies et traceurs dont le détail est exposé dans la Politique cookies.

Article 12 — Modifications de la présente Politique

MYTENUE se réserve la faculté de modifier la présente Politique afin de l'adapter aux évolutions législatives, jurisprudentielles, techniques ou fonctionnelles du Service.

Toute modification substantielle vous sera notifiée par voie de courriel et/ou par une notification dans l'Application au moins 30 jours avant son entrée en vigueur. La poursuite de l'utilisation du Service après cette date emporte acceptation de la nouvelle version.

L'historique des versions est disponible sur demande à dpo@mytenue.com.

Article 13 — Contact

Pour toute question relative à la présente Politique :

Délégué à la protection des données : dpo@mytenue.com
Adresse postale : MYTENUE SASU — DPO, 17 Rue Benoît Malon, 92150 Suresnes, France

Document validé par : Ahmed Ghariani, Président Version : 1.0 Dernière mise à jour : 5 juin 2026