FR | EN
← Retour à l'accueil

Politique de confidentialité

Version 1.1 — Mise à jour mai 2026 — Conformité RGPD
← Back to home

Privacy policy

Version 1.1 — Updated May 2026 — GDPR compliant

La présente Politique de Confidentialité décrit comment NuYo collecte, traite et protège les données à caractère personnel des utilisateurs de l'application Nuyo, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi Informatique et Libertés n°78-17 du 6 janvier 1978, dans sa version modifiée.

Article 1 — Responsable du traitement

Le responsable du traitement au sens de l'article 4§7 du RGPD est :

Dénomination
NuYo — ARRIBARD Romain & PHET Romain
Adresse
Paris, France
E-mail
contact@nuyo.fr
Site web
www.nuyo.fr

En l'absence d'un délégué à la protection des données (DPO) obligatoire, tout exercice des droits peut être adressé au contact ci-dessus.

Article 2 — Données collectées

2.1 Données fournies par l'utilisateur

  • Adresse e-mail (inscription et authentification).
  • Mot de passe (stocké de manière sécurisée et hachée via Supabase Auth).
  • Photo de profil / avatar (facultative).
  • Photos de vêtements uploadées pour analyse (étiquettes, vues d'ensemble, pictogrammes).
  • Préférences d'humeur sélectionnées pour la fonctionnalité « Tenue du jour » (office, casual, evening, active, cozy).

2.2 Données générées par l'utilisation

  • Résultats des analyses IA — rapport en 5 axes notés A→E (économique, durabilité, style, écologique, entretien) — stockés dans la base Supabase.
  • Représentation agrégée du dressing (composition, couleurs, notes moyennes), utilisée pour la détection de doublons, la compatibilité chromatique et la détection de manques.
  • Historique des scans enregistrés et des tenues du jour suggérées.
  • Données de session et logs de connexion.
  • Données de géolocalisation (GPS) — utilisées uniquement par la fonctionnalité « Tenue du jour ». Les coordonnées GPS de l'appareil sont transmises à Open-Meteo (cf. § 5.5) pour récupérer la météo locale du jour, qui sert ensuite à proposer une tenue adaptée au temps qu'il fait. Ces coordonnées sont traitées en temps réel et ne sont pas conservées par NuYo après la requête.

2.3 Données non collectées

NuYo ne réalise pas de profilage à des fins publicitaires et ne vend aucune donnée à des tiers. Aucune donnée biométrique, aucune identification faciale ni aucune donnée de santé n'est collectée par l'Application.

Article 3 — Finalités et bases légales des traitements

Conformément à l'article 6 du RGPD, les traitements reposent sur les bases légales suivantes :

Création de compte et authentification
Exécution du contrat — art. 6.1.b
Analyse IA des vêtements (5 axes A→E)
Exécution du contrat — art. 6.1.b
Détection de doublons et comparaison dressing
Exécution du contrat — art. 6.1.b
Tenue du jour (humeur + météo)
Exécution à la demande — art. 6.1.b
Recommandations de manques
Exécution du contrat — art. 6.1.b
E-mails transactionnels
Exécution du contrat — art. 6.1.b
Amélioration du service
Intérêt légitime — art. 6.1.f
Obligations légales (registre, sécurité)
Obligation légale — art. 6.1.c

Article 4 — Durée de conservation

  • Données de compte : durée d'activité du compte + 3 ans après suppression.
  • Résultats des scans et représentation du dressing : jusqu'à suppression par l'utilisateur ou fermeture du compte.
  • Historique des tenues du jour : 12 mois glissants.
  • Logs de connexion : 12 mois maximum.
  • Données relatives à la gestion des e-mails : 6 mois.
  • Données de géolocalisation (Tenue du jour) : non conservées — traitées en temps réel pour la requête météo puis supprimées.

Article 5 — Destinataires et sous-traitants

Conformément à l'article 28 du RGPD, NuYo fait appel aux sous-traitants suivants. Des accords de traitement des données (DPA) sont en place avec chaque prestataire.

5.1 Supabase Inc.

Supabase Inc. — Singapour

Rôle : authentification (PKCE), stockage des fichiers, base de données PostgreSQL avec Row Level Security, Edge Functions.

Localisation des données : NuYo utilise une région européenne (Francfort / West EU) pour les données des utilisateurs UE.

Base de transfert : Clauses contractuelles types (CCT) de la Commission européenne.

5.2 Google LLC — API Gemini

Google LLC — États-Unis

Rôle : analyse multimodale des photos par intelligence artificielle, à travers le pipeline d'inférence en 7 étapes (extraction d'étiquette, identification des fibres, analyse colorimétrique, décodage des pictogrammes, croisement avec le dressing, génération du rapport en 5 axes A→E).

Note importante — Les photos transmises à l'API Gemini sont utilisées uniquement pour générer l'analyse et ne sont pas conservées par Google pour l'entraînement des modèles dans le cadre de l'offre API (politique Google AI Studio / Vertex AI).

Base de transfert : Clauses contractuelles types (CCT).

5.3 Resend Inc.

Resend Inc. — États-Unis

Rôle : service d'envoi d'e-mails transactionnels (confirmation d'inscription, changement d'adresse, réinitialisation de mot de passe). Les statuts de livraison sont renvoyés vers Supabase via webhook.

Base de transfert : CCT.

5.4 OVH SAS

OVH SAS — France

Rôle : gestion des noms de domaine (zone DNS) et hébergement des e-mails de support client (boîte contact@nuyo.fr).

Hébergement en France — aucun transfert hors UE.

5.5 Open-Meteo

Open-Meteo — Suisse

Rôle : API publique de prévisions météo utilisée par la fonctionnalité « Tenue du jour ».

Données transmises : latitude et longitude de l'appareil de l'utilisateur, à chaque requête. Aucune autre donnée personnelle n'est envoyée.

Données reçues : prévisions météo (température, conditions, etc.) utilisées en temps réel pour adapter la tenue suggérée.

Stockage côté NuYo : aucun. Les coordonnées et la météo ne sont conservées ni dans la base, ni dans les logs.

Base de transfert : décision d'adéquation — la Suisse bénéficie d'une décision d'adéquation de la Commission européenne (art. 45 RGPD), aucune CCT n'est donc requise.

5.6 GitLab Inc. — GitLab Pages

GitLab Inc. — États-Unis

Rôle : hébergement des pages statiques du site vitrine (pages publiques de présentation, mentions légales, CGU, RGPD).

Aucune donnée personnelle utilisateur de l'application n'est stockée sur ce service.

Base de transfert : CCT.

Article 6 — Transferts de données hors Union européenne

Transferts vers les États-Unis — certains sous-traitants (Google, Resend, GitLab) sont basés aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types (CCT) adoptées par la Commission européenne (décision 2021/914), conformément à l'article 46 du RGPD.

Transferts vers la Suisse — Open-Meteo est basé en Suisse, pays bénéficiant d'une décision d'adéquation de la Commission européenne. Les transferts y sont autorisés sans formalité supplémentaire au titre de l'article 45 du RGPD.

NuYo s'assure que chaque prestataire offre un niveau de protection adéquat et dispose d'un accord de traitement des données en bonne et due forme.

Article 7 — Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, tout utilisateur dispose des droits suivants :

  • Droit d'accès (art. 15) — obtenir une copie des données vous concernant.
  • Droit de rectification (art. 16) — corriger des données inexactes.
  • Droit à l'effacement (art. 17) — demander la suppression de vos données (« droit à l'oubli »).
  • Droit à la limitation du traitement (art. 18).
  • Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré et lisible.
  • Droit d'opposition (art. 21) — vous opposer à un traitement basé sur l'intérêt légitime.
  • Droit de ne pas faire l'objet d'une décision automatisée (art. 22) — les analyses Nuyo étant à caractère indicatif, aucune décision produisant des effets juridiques n'est prise par l'IA seule.

Pour exercer ces droits, contactez : contact@nuyo.fr. NuYo s'engage à répondre dans un délai d'un mois à compter de la réception de la demande (art. 12 RGPD). Ce délai peut être prolongé de deux mois en cas de demande complexe.

Réclamation auprès de la CNIL

En cas de réponse insatisfaisante, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

Adresse
3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Téléphone
01 53 73 22 22
Site web
www.cnil.fr

Article 8 — Sécurité des données

NuYo met en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données (art. 25 et 32 du RGPD) :

  • Authentification avec protocole PKCE (Proof Key for Code Exchange) via Supabase Auth.
  • Communications chiffrées (HTTPS/TLS sur l'ensemble des échanges).
  • Accès à la base de données restreint via Row Level Security (RLS) Supabase.
  • Séparation des accès — chaque utilisateur ne peut accéder qu'à ses propres données.
  • Journalisation et monitoring des accès via les outils intégrés Supabase.

Article 9 — Violation de données

En cas de violation de données à caractère personnel (art. 33-34 RGPD), NuYo s'engage à notifier la CNIL dans les 72 heures suivant la prise de connaissance de l'incident.

Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, celles-ci seront informées sans délai.

Article 10 — Cookies et traceurs

L'Application mobile Nuyo n'utilise pas de cookies au sens strict. Des données de session sont stockées localement sur l'appareil de l'utilisateur à des fins d'authentification uniquement, conformément au principe de minimisation des données.

Le site vitrine www.nuyo.fr n'utilise pas de cookies publicitaires ni d'outils de mesure d'audience nécessitant un consentement préalable.

Article 11 — Mineurs

L'Application n'est pas destinée aux personnes de moins de 18 ans. NuYo ne collecte pas sciemment de données personnelles de mineurs.

Si un mineur a créé un compte, ses représentants légaux peuvent contacter NuYo pour demander la suppression du compte et des données associées.

Article 12 — Modification de la politique

La présente Politique de Confidentialité peut être mise à jour en cas d'évolution légale, réglementaire ou technique (par exemple, ajout d'une nouvelle fonctionnalité produit). L'utilisateur sera informé par notification dans l'Application. La version en vigueur est toujours accessible depuis l'Application et le site web.

Article 13 — Registre des activités de traitement

Conformément à l'article 30 du RGPD, NuYo tient un registre interne des activités de traitement. Ce registre est disponible sur demande auprès de contact@nuyo.fr.

Article 14 — Entrée en vigueur

La présente Politique de Confidentialité (v1.1) entre en vigueur à compter de mai 2026, et remplace la version 1.0 d'avril 2026. Elle s'applique à compter de la date de publication de l'Application sur les stores (App Store / Google Play) et pour toute utilisation du site vitrine www.nuyo.fr.

Pour toute question, vous pouvez nous écrire à : contact@nuyo.fr

This Privacy Policy describes how NuYo collects, processes and protects the personal data of users of the Nuyo application, in accordance with Regulation (EU) 2016/679 of April 27, 2016 (GDPR) and the French Data Protection Act (Loi Informatique et Libertés) of January 6, 1978, as amended.

Article 1 — Data controller

The data controller within the meaning of article 4(7) GDPR is:

Name
NuYo — ARRIBARD Romain & PHET Romain
Address
Paris, France
Email
contact@nuyo.fr
Website
www.nuyo.fr

In the absence of a mandatory Data Protection Officer (DPO), all rights requests can be addressed to the contact above.

Article 2 — Data collected

2.1 Data provided by the user

  • Email address (registration and authentication).
  • Password (stored securely and hashed via Supabase Auth).
  • Profile picture / avatar (optional).
  • Photos of garments uploaded for analysis (labels, overviews, pictograms).
  • Mood preferences selected for the « Outfit of the day » feature (office, casual, evening, active, cozy).

2.2 Data generated by usage

  • AI analysis results — 5-axis report graded A→E (value, durability, style, ecological impact, care) — stored in the Supabase database.
  • Aggregated wardrobe representation (composition, colors, average grades), used for duplicate detection, color compatibility and gap detection.
  • History of saved scans and suggested outfits of the day.
  • Session data and connection logs.
  • Geolocation data (GPS) — used only by the « Outfit of the day » feature. The device's GPS coordinates are transmitted to Open-Meteo (see § 5.5) to retrieve the day's local weather, which is then used to suggest an outfit suited to the conditions. These coordinates are processed in real time and are not retained by NuYo after the request.

2.3 Data not collected

NuYo does not engage in profiling for advertising purposes and does not sell any data to third parties. No biometric data, facial identification or health data is collected by the Application.

Article 3 — Purposes and legal bases for processing

In accordance with article 6 GDPR, processing is based on the following legal grounds:

Account creation and authentication
Performance of contract — art. 6(1)(b)
AI analysis of garments (5 axes A→E)
Performance of contract — art. 6(1)(b)
Duplicate detection and wardrobe comparison
Performance of contract — art. 6(1)(b)
Outfit of the day (mood + weather)
On-demand execution — art. 6(1)(b)
Gap recommendations
Performance of contract — art. 6(1)(b)
Transactional emails
Performance of contract — art. 6(1)(b)
Service improvement
Legitimate interest — art. 6(1)(f)
Legal obligations (records, security)
Legal obligation — art. 6(1)(c)

Article 4 — Retention period

  • Account data: duration of account activity + 3 years after deletion.
  • Scan results and wardrobe representation: until deletion by the user or closure of the account.
  • Outfit-of-the-day history: rolling 12 months.
  • Connection logs: 12 months maximum.
  • Email management data: 6 months.
  • Geolocation data (Outfit of the day): not retained — processed in real time for the weather request, then deleted.

Article 5 — Recipients and sub-processors

In accordance with article 28 GDPR, NuYo relies on the following sub-processors. Data Processing Agreements (DPA) are in place with each provider.

5.1 Supabase Inc.

Supabase Inc. — Singapore

Role: authentication (PKCE), file storage, PostgreSQL database with Row Level Security, Edge Functions.

Data location: NuYo uses a European region (Frankfurt / West EU) for EU users' data.

Transfer basis: Standard Contractual Clauses (SCC) of the European Commission.

5.2 Google LLC — Gemini API

Google LLC — United States

Role: multimodal photo analysis by artificial intelligence, through the 7-step inference pipeline (label extraction, fiber identification, colorimetric analysis, pictogram decoding, cross-checking with the wardrobe, report generation along 5 axes A→E).

Important note — Photos sent to the Gemini API are used only to generate the analysis and are not retained by Google to train models under the API offering (Google AI Studio / Vertex AI policy).

Transfer basis: Standard Contractual Clauses (SCC).

5.3 Resend Inc.

Resend Inc. — United States

Role: transactional email delivery (sign-up confirmation, address change, password reset). Delivery statuses are sent back to Supabase via webhook.

Transfer basis: SCC.

5.4 OVH SAS

OVH SAS — France

Role: domain name management (DNS zone) and hosting of customer support email (contact@nuyo.fr mailbox).

Hosting in France — no transfer outside the EU.

5.5 Open-Meteo

Open-Meteo — Switzerland

Role: public weather forecast API used by the « Outfit of the day » feature.

Data transmitted: latitude and longitude of the user's device, on each request. No other personal data is sent.

Data received: weather forecast (temperature, conditions, etc.) used in real time to tailor the suggested outfit.

Storage on NuYo's side: none. Neither the coordinates nor the weather are stored in our database or logs.

Transfer basis: adequacy decision — Switzerland benefits from a European Commission adequacy decision (art. 45 GDPR), so no SCC is required.

5.6 GitLab Inc. — GitLab Pages

GitLab Inc. — United States

Role: hosting of the public website's static pages (presentation pages, legal notice, Terms, Privacy).

No application user personal data is stored on this service.

Transfer basis: SCC.

Article 6 — Transfers outside the European Union

Transfers to the United States — some sub-processors (Google, Resend, GitLab) are based in the United States. These transfers are framed by Standard Contractual Clauses (SCC) adopted by the European Commission (decision 2021/914), in accordance with article 46 GDPR.

Transfers to Switzerland — Open-Meteo is based in Switzerland, a country covered by a European Commission adequacy decision. Transfers are therefore allowed without additional formality under article 45 GDPR.

NuYo ensures that each provider offers an adequate level of protection and has a duly executed data processing agreement.

Article 7 — Rights of data subjects

In accordance with articles 15 to 22 GDPR, every user has the following rights:

  • Right of access (art. 15) — obtain a copy of the data concerning you.
  • Right to rectification (art. 16) — correct inaccurate data.
  • Right to erasure (art. 17) — request deletion of your data (« right to be forgotten »).
  • Right to restriction of processing (art. 18).
  • Right to data portability (art. 20) — receive your data in a structured and readable format.
  • Right to object (art. 21) — object to processing based on legitimate interest.
  • Right not to be subject to automated decision-making (art. 22) — Nuyo's analyses being informational only, no decision producing legal effects is made by AI alone.

To exercise these rights, contact: contact@nuyo.fr. NuYo undertakes to respond within one month of receiving the request (art. 12 GDPR). This period may be extended by two months for complex requests.

Complaint to the CNIL

In case of unsatisfactory response, you have the right to file a complaint with the French Data Protection Authority (CNIL):

Address
3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07, France
Phone
+33 1 53 73 22 22
Website
www.cnil.fr

Article 8 — Data security

NuYo implements appropriate technical and organizational measures to ensure data security (art. 25 and 32 GDPR):

  • Authentication with the PKCE (Proof Key for Code Exchange) protocol via Supabase Auth.
  • Encrypted communications (HTTPS/TLS on all exchanges).
  • Database access restricted via Row Level Security (RLS) on Supabase.
  • Access separation — each user can only access their own data.
  • Access logging and monitoring via Supabase built-in tools.

Article 9 — Data breach

In case of a personal data breach (art. 33-34 GDPR), NuYo undertakes to notify the CNIL within 72 hours of becoming aware of the incident.

If the breach is likely to result in a high risk to the rights and freedoms of data subjects, they will be informed without delay.

Article 10 — Cookies and trackers

The Nuyo mobile application does not use cookies in the strict sense. Session data is stored locally on the user's device for authentication purposes only, in line with the principle of data minimization.

The www.nuyo.fr website does not use advertising cookies or audience measurement tools requiring prior consent.

Article 11 — Minors

The Application is not intended for persons under 18 years of age. NuYo does not knowingly collect personal data from minors.

If a minor has created an account, their legal representatives may contact NuYo to request deletion of the account and associated data.

Article 12 — Modification of the policy

This Privacy Policy may be updated in case of legal, regulatory or technical changes (for example, addition of a new product feature). The user will be informed via an in-app notification. The current version is always accessible from the Application and the website.

Article 13 — Records of processing activities

In accordance with article 30 GDPR, NuYo maintains an internal register of processing activities. This register is available on request from contact@nuyo.fr.

Article 14 — Effective date

This Privacy Policy (v1.1) takes effect from May 2026, and replaces version 1.0 of April 2026. It applies from the date of publication of the Application on the stores (App Store / Google Play) and to any use of the www.nuyo.fr website.

For any question, you can write to us at: contact@nuyo.fr