Confidentialité

Privée par conception — pourquoi votre dressing n'appartient qu'à vous

Les engagements concrets derrière le Dressing intelligent de Mademoiselle — chiffrement au repos, aucun entraînement de modèle sur les photos des utilisatrices, suppression réelle (et non soft-delete), et zéro traceur tiers dans le parcours du Studio.

La rédaction 6 min de lecture

La confidentialité fait partie de ces mots que l'usage excessif a polis jusqu'à les rendre lisses. Chaque application a sa politique de confidentialité. Chaque politique de confidentialité affirme qu'on tient à vous. La plupart veulent dire on y tient, jusqu'à ce que cela devienne gênant.

Ce texte n'est pas une politique de confidentialité. C'est la liste des choix que nous avons faits avant d'avoir à en rédiger une — les choix qui définissent ce qu'est le Dressing intelligent de Mademoiselle, ce qu'il peut faire, et ce qu'il ne peut pas faire, même par accident.

Le cadre : le dressing est une surface privée

Mademoiselle compte trois surfaces fondamentales. Le Studio est le parcours d'essayage de coiffures et de looks par IA. La réservation en salon est un point de contact avec la marketplace. Le Dressing est le registre personnel de la garde-robe d'une utilisatrice et des looks qui lui ont plu.

Les deux premières frôlent le public. On partage des rendus. On évalue des salons. La troisième — le Dressing — non. Le Dressing est un objet intime, comme le tiroir d'une chambre ou un coffret à bijoux. Le fait qu'il réside sur un serveur ne change rien à sa nature.

Un dressing n'est pas un canal marketing. Nous le traitons comme le contenu d'une table de chevet — jamais ouvert par nous, gardé en sécurité par nous, et que vous pouvez vider entièrement le jour où vous décidez de partir.

Cette phrase est le cadre de tout ce qui suit.

Le chiffrement au repos

Chaque article du dressing — photo d'un haut, rendu d'une tenue, note attachée à une pièce — est chiffré au repos dans notre stockage d'objets. Les clés sont propres à chaque utilisatrice, renouvelées selon un calendrier, et gérées dans un système de gestion de clés que nos serveurs applicatifs ne peuvent pas lire directement.

Ce que cela signifie en pratique : un disque volé, un bucket mal configuré, un stagiaire furieux muni du mot de passe de la base — aucun de ces vecteurs ne laisse fuir les photos. Les photos sont illisibles sans la clé, et la clé est conservée dans un endroit que la base de données ne peut pas atteindre.

Aucun entraînement de modèle sur les photos des utilisatrices

C'est l'engagement qui surprend le plus, parce que tant de produits font discrètement l'inverse.

Mademoiselle n'utilise pas vos selfies, ni les téléversements vers votre dressing, ni les rendus générés, pour entraîner ses modèles d'IA. Ni en agrégé. Ni dé-identifiés. Ni pour de l'affinage. Ni pour des jeux d'évaluation. Le chemin des données est à sens unique : vos entrées alimentent un rendu, le rendu vous revient, et les copies de travail sont détruites à l'expiration du cache.

Pourquoi cela compte : dès qu'une photo entre dans un jeu d'entraînement, elle devient, en un sens abstrait mais réel, une partie du modèle. Vous ne pouvez plus la retirer ensuite. Vous ne pouvez pas demander au modèle de l'oublier. La seule façon de garder cette porte fermée, c'est de ne jamais l'ouvrir. Nous ne l'avons jamais ouverte.

Le coût de ce choix est réel. Nos modèles s'améliorent plus lentement que si nous exploitions les données des utilisatrices. Nous acceptons ce compromis. Nous préférons bâtir un produit dont le progrès est plus lent mais que nous assumons pleinement, plutôt qu'un produit au progrès plus rapide dont le socle serait un emprunt silencieux.

La vraie suppression est une cascade, pas un drapeau

La plupart des applications font du soft-delete. Elles marquent une ligne deleted = true et laissent les données en place — souvent pour toujours, parfois indéfiniment, fréquemment au fil de sauvegardes qu'aucun humain dans l'entreprise ne peut entièrement recenser.

Nous avons fait un choix d'architecture très tôt : quand vous supprimez sur Mademoiselle, la suppression se propage en cascade. Le fichier photo d'origine est retiré du stockage d'objets. Chaque rendu dérivé — les versions IA, les vignettes, les recadrages de carte de partage — est retiré de son bucket respectif. Chaque ligne de base de données qui référence la photo est supprimée par cascade de clé étrangère. Chaque entrée de cache, chaque cache en bord de CDN, est invalidée. Les sauvegardes de plus de 30 jours sont élaguées au fil d'une fenêtre glissante.

Résultat : supprimer, sur Mademoiselle, veut dire ce que le mot veut dire. Pas masquer. Pas archiver. Disparu.

Aucun traceur tiers dans le parcours du Studio

Le Studio — où vous téléversez une photo, générez un rendu, voyez votre visage sur un nouveau look — est la surface la plus sensible que nous ayons. C'est aussi celle qui, dans une version moins réfléchie de ce produit, serait la plus susceptible d'être truffée de pixels marketing, de scripts de tests A/B, d'outils d'enregistrement de session et de SDK analytiques.

Nous avons fait le choix de tout tenir à l'écart. Le Studio tourne uniquement sur du code propriétaire. Aucun Meta Pixel ne vous observe essayer une nouvelle frange. Aucun outil d'enregistrement de session ne capte vos hésitations. Aucun réseau publicitaire ne corrèle votre rendu à un identifiant de campagne.

Les pages marketing — la page d'accueil, le journal que vous lisez en ce moment, l'annuaire des salons — sont différentes. Elles peuvent porter une analytique propriétaire légère, juste pour savoir combien de personnes nous ont rendu visite. Elles ne portent jamais d'outil d'enregistrement de session ni de traceur publicitaire. Le Studio est une pièce scellée.

Les principes, sans détour

Voici la liste, extraite du texte, au cas où vous voudriez la partager.

  • Nous n'entraînons pas nos modèles sur vos photos. Jamais, nulle part, sous aucune forme.
  • Nous chiffrons le contenu du dressing au repos, avec des clés propres à chaque utilisatrice.
  • Nous traitons la suppression comme une cascade, pas comme un drapeau de soft-delete.
  • Nous tenons les scripts tiers hors du Studio, point final.
  • Nous journalisons sans laisser fuir — les journaux de requêtes ne contiennent ni octets de photo, ni sorties de rendu, ni contenu identifiant l'utilisatrice au-delà du strict nécessaire au débogage, et ces journaux sont purgés sous 14 jours.
  • Nous ne vendons jamais de données, parce que nous n'avons pas de données à vendre. Le dressing est à vous.

Un produit est la somme de ses contraintes. Les contraintes listées ici ne sont pas le prix à payer pour faire des affaires — elles sont l'affaire elle-même.

Ce que nous demandons en retour

Nous vous demandons de nous dire quand quelque chose vous semble louche. La confidentialité n'est pas une propriété figée. La liste ci-dessus est un instantané des décisions prises à ce jour. À mesure que nous ajouterons des fonctionnalités, nous devrons renégocier des compromis. Les principes ci-dessus sont le plancher. Nous serons transparents sur tout ce qui menacerait ce plancher avant que cela ne soit livré, pas après.

Le dressing n'appartient qu'à vous. Nous sommes ceux qui l'ont construit. Nous ne sommes pas ceux qui ont le droit de regarder à l'intérieur.

Questions fréquentes

Entraînez-vous vos modèles d'IA sur mes photos ?

Non. Aucun de vos selfies, aucun article de votre dressing, aucune simulation générée n'est jamais utilisé pour entraîner un modèle. La génération d'images s'appuie sur des entrées propres à chaque session, détruites une fois le rendu terminé et le résultat en cache expiré.

Que fait réellement la suppression ?

Elle se propage en cascade. Quand vous supprimez une photo, le fichier d'origine, chacun de ses rendus dérivés, chaque clé de cache, chaque ligne de base de données qui le référence et chaque sauvegarde de plus de 30 jours disparaissent. Nous ne faisons pas de soft-delete et nous n'archivons pas. Le jour où vous le demandez, les données ne sont plus là.

Y a-t-il des traceurs tiers sur le site ?

Pas dans le parcours du Studio, là où vivent les photos et les rendus. Les pages marketing peuvent inclure une analytique propriétaire. Le Studio lui-même fonctionne sans aucun script tiers, sans pixel publicitaire et sans outil d'enregistrement de session.

Écrit par La rédaction Écrit pour le Journal Mademoiselle — intelligence beauté, MENA d’abord, avec soin.
confidentialite securite principes
Share
Plus dans le Journal
Intelligence beauté

Maquillage de mariée : planifiez-le, essayez-le, et voyez-le avant le fauteuil

L'essai de mariée existe pour empêcher une seule chose : découvrir le matin de votre mariage que « soft glam » ne voulait pas dire la même chose pour votre maquilleuse que pour vous. Voici comment planifier, briefer et prévisualiser le visage avant le jour où rien ne peut déraper.

 Garde-robe intelligente

Quelles couleurs vous vont : une analyse colorimétrique pratique

Les bonnes couleurs près du visage vous donnent l'air reposé ; les mauvaises vous donnent l'air fatigué, même dans une tenue coûteuse. Voici comment lire votre propre coloration — et la transformer en une palette de garde-robe que vous pourrez vraiment acheter.

 Garde-robe intelligente

Comment trouver votre morphologie — et vous habiller pour elle

La morphologie est un outil de style, pas un verdict. Connaître la vôtre vous dit où une ligne doit tomber, où ajouter ou équilibrer, et quels vêtements valent l'essayage — avant le moindre achat. Voici le test, et quoi faire de la réponse.

Essayez-le

Allez vous voir sous un autre jour.

Ouvrir Mademoiselle