H HAIRMAXXING

Politique de confidentialité

Dernière mise à jour : 19 avril 2026

1. Responsable du traitement

HairMaxxing — contact : contact@hairmaxxing.com.

2. Données collectées

  • Compte : email, nom, photo de profil (si connexion Google/Apple).
  • Profil : genre, âge, objectif capillaire, type et densité de cheveux, niveau de satisfaction.
  • Photos : 3 photos de visage (face, profil, dessus), soumises pour générer les visualisations.
  • Abonnement : statut (gratuit / premium), receipt App Store ou Google Play.
  • Parrainage : code de parrainage personnel, code utilisé lors de l'inscription (le cas échéant), nombre de filleuls validés.
  • Notifications push : token Expo d'appareil, uniquement si l'utilisateur a accordé la permission de notifications.
  • Usage & analytics : événements agrégés d'utilisation (ouverture d'app, écrans vus, étapes de paywall, analyses réalisées), identifiant pseudonyme par utilisateur. Aucune donnée sensible n'est envoyée.

3. Finalités

  • Générer les visualisations de coupes demandées.
  • Personnaliser les recommandations selon ta morphologie.
  • Gérer ton compte et ton abonnement.
  • Améliorer la qualité du service (sur données agrégées et anonymisées).

4. Base légale

Exécution du contrat (CGU), consentement pour les données sensibles (photos), intérêt légitime pour les statistiques d'usage.

4 bis. Données biométriques & IA (RGPD art. 9, IA Act)

Les photos de visage soumises sont traitées sur la base de ton consentement explicite (article 9.2.a RGPD). Elles servent uniquement à générer une visualisation de coupe : aucune identification biométrique (reconnaissance faciale, templates biométriques) n'est réalisée ni stockée.

Les visualisations sont générées par intelligence artificielle (Google Gemini, OpenAI) à partir de tes photos. L'image produite est une représentation synthétique destinée à la prévisualisation ; elle ne reflète pas nécessairement le rendu réel chez un coiffeur. Un filigrane HAIRMAXXING est gravé sur chaque image générée pour en indiquer l'origine.

5. Destinataires

  • Google Gemini et OpenAI — génération et analyse des visualisations. Les photos sont envoyées chiffrées, ne sont pas conservées par ces prestataires au-delà du traitement.
  • Cloudflare R2 — stockage sécurisé des résultats générés (S3-compatible, hébergement UE/US).
  • Apple App Store / Google Play — validation des achats in-app et gestion des abonnements (y compris la notification de résiliation qui déclenche l'offre de retour).
  • PostHog EU Cloud — analytics produit, hébergé en Union européenne (eu.i.posthog.com). Identifiant pseudonyme, aucune donnée sensible. Utilisé uniquement pour améliorer le produit (entonnoirs, A/B tests, métriques d'usage). Un DPA est disponible sur demande.
  • Expo (push notifications) — transmission du token d'appareil pour l'envoi de notifications transactionnelles uniquement (déclenchées par une action utilisateur, pas par du marketing périodique). 5 scénarios : relance scan à J+60 (1 fois max / 60 jours), paywall ouvert non converti à J+1, onboarding démarré sans scan à J+1, essai gratuit expirant à J−1 (obligation de transparence), reprise après annulation d'abonnement à J+2. Un utilisateur reçoit au maximum 4 à 5 notifications par an. L'opt-out est contrôlé par les paramètres système de l'appareil.

5 bis. Analytics et opt-out

La collecte d'événements d'usage (PostHog) peut être désactivée à tout moment depuis Profil → Paramètres → Désactiver l'analytics. Cette désactivation stoppe l'envoi d'événements sans affecter les autres fonctionnalités. Aucun événement n'est envoyé avant le consentement lors du premier lancement.

6. Durée de conservation

  • Photos soumises pour analyse : transmises en flux à nos prestataires IA pour la génération, non stockées sur nos serveurs.
  • Visualisations générées (stockées sur Cloudflare R2) : conservées tant que le compte est actif. Elles sont effacées automatiquement de R2 lorsque l'utilisateur supprime une analyse individuelle ou son compte.
  • Compte et profil : tant que le compte est actif.
  • Données de facturation : 10 ans (obligation légale).

En application de l'article 17 RGPD (droit à l'effacement), la suppression du compte entraîne l'effacement atomique des données en base et la suppression des visualisations stockées sur R2.

7. Tes droits (RGPD)

Conformément au RGPD, tu disposes d'un droit d'accès, de rectification, d'effacement, de portabilité et d'opposition. Tu peux :

  • Exporter tes données directement depuis l'Application (Paramètres → Exporter mes données).
  • Supprimer ton compte directement depuis l'Application (Paramètres → Supprimer le compte). Cette action est irréversible.
  • Nous contacter à contact@hairmaxxing.com pour toute autre demande.

8. Sécurité

Les données sont chiffrées en transit (TLS) et au repos. Les mots de passe sont hachés (bcrypt). Les tokens JWT ont une durée de vie courte (15 minutes, rafraîchissement sécurisé).

9. Cookies

Le site hairmaxxing.com n'utilise pas de cookies publicitaires ni de traceurs tiers. Uniquement des cookies techniques essentiels au fonctionnement.

9 bis. Âge minimum

HairMaxxing est accessible à partir de 13 ans. Dans les pays de l'Union européenne où la loi locale fixe un seuil supérieur (jusqu'à 16 ans, article 8 RGPD), les mineurs doivent avoir obtenu le consentement préalable de leur représentant légal pour utiliser le service. En créant un compte, l'utilisateur déclare soit avoir atteint cet âge, soit avoir obtenu ce consentement.

10. Contact DPO / Réclamation

Pour toute question liée à tes données : contact@hairmaxxing.com. Tu peux également introduire une réclamation auprès de la CNIL (cnil.fr).