Politique de confidentialité - Grimace Score

Version : 2026-05-24

Cette politique couvre les applications mobiles Grimace Score pour iOS et Android, les pages web de fallback Grimace Score et l'API Grimace Score. Elle est destinée à être publiée après complétion et validation des informations du responsable ci-dessous.

Responsable et contact

• Responsable du traitement : FaceLab SAS
• Contact vie privée : contact@facelab.me
• URL publique de la politique : https://staging.facelab.me/grimaces/privacy

Si un délégué à la protection des données, un représentant UE/Royaume-Uni, un responsable québécois de la protection des renseignements personnels ou un encarregado brésilien est requis par la structure finale de lancement, ses coordonnées doivent être publiées via le même contact vie privée ou ajoutées ici avant publication.

Restriction d'âge

Grimace Score est destiné aux utilisateurs âgés de 13 ans et plus. L'application n'est pas destinée aux enfants de moins de 13 ans.

Si la loi locale exige l'autorisation d'un parent ou tuteur pour un utilisateur de plus de 13 ans mais n'ayant pas atteint l'âge local du consentement numérique, l'utilisateur doit utiliser l'application uniquement avec cette autorisation. Si Grimace Score est un jour proposé intentionnellement aux enfants de moins de 13 ans, un parcours séparé de protection des enfants, une notice parentale et un consentement parental vérifiable devront être mis en place avant toute collecte ou tout partage.

Résumé

• Les photos et images caméra restent sur l'appareil. Elles ne sont pas envoyées au backend.
• Le backend reçoit uniquement des valeurs numériques de mouvements du visage, la langue et un identifiant local de capture.
• L'application ne crée pas de compte utilisateur.
• L'historique, les photos locales et le pseudo facultatif sont stockés sur l'appareil et peuvent être supprimés dans l'application.
• Le backend ne conserve pas de base de données de production des analyses utilisateur.
• OpenAI reçoit uniquement des valeurs numériques de mouvements du visage lorsque les commentaires IA sont activés.
• Les publicités et abonnements sont des modes de build optionnels. S'ils sont activés, AdMob, Apple, Google Play et RevenueCat peuvent traiter des données publicitaires ou d'achat, mais Grimace Score n'envoie pas de photos, pseudos, scores ou cartes de blendshapes à ces SDKs comme métadonnées personnalisées.
• Grimace Score ne vend pas de données personnelles et n'utilise pas de courtier de données.

Données traitées

Sur l'appareil

• Images caméra utilisées pour détecter un visage et calculer des valeurs de mouvements du visage.
• Photo selfie capturée pour générer la carte de partage et l'historique local.
• Historique des résultats, comprenant score, commentaire, date et chemin local de l'image.
• Pseudo facultatif utilisé uniquement sur la carte partagée.
• Choix de consentement locaux, par exemple confirmation d'âge, consentement au traitement des mouvements du visage et options de confidentialité lorsqu'elles sont implémentées.
• Etat d'abonnement lorsque Grimace Plus est activé.

Envoyées au backend

• Langue.
• Identifiant local de capture.
• Scores numériques normalisés des mouvements du visage pris en charge.
• Aucune photo, vidéo, donnée audio, donnée EXIF ou image brute caméra n'est envoyée au backend.

Générées par le backend

• Type de résultat : normal, aucun visage ou pas de grimace.
• Score facultatif.
• Court commentaire.
• Logs techniques minimisés, par exemple méthode, route, statut, durée, langue et source IA/fallback.

Données de monétisation optionnelles

Si les publicités ou abonnements sont activés dans un build de production :

• AdMob peut traiter des données techniques de demande publicitaire, identifiants d'appareil, état du consentement, localisation approximative déduite par l'infrastructure publicitaire et interactions publicitaires selon les règles de Google et les choix de l'utilisateur.
• Apple App Store, Google Play et RevenueCat peuvent traiter les reçus d'achat, identifiants produit, état d'abonnement et métadonnées de compte store nécessaires à Grimace Plus.
• Le code applicatif ne doit pas envoyer de photos, images de résultat, pseudos, cartes de mouvements du visage ou scores à AdMob ou RevenueCat comme métadonnées personnalisées.
• Les conditions commerciales de Grimace Plus sont publiées séparément : https://staging.facelab.me/grimaces/subscription.

Finalités

Nous traitons les données pour :

• exécuter la détection de mouvements du visage sur l'appareil ;
• générer un score et un commentaire ;
• fournir un historique local et sa suppression locale ;
• permettre le partage volontaire d'une carte image générée localement ;
• fournir Grimace Plus et restaurer les achats si les abonnements sont activés ;
• afficher des publicités uniquement lorsque le mode de build et les règles de consentement l'autorisent ;
• protéger, déboguer et exploiter l'API.

Bases légales et consentement

La base légale applicable dépend de la région de l'utilisateur et de la configuration finale de publication.

Consentement global dans l'application

Avant l'analyse caméra, l'application devrait demander à l'utilisateur de confirmer :

• qu'il respecte l'âge minimum requis ;
• qu'il comprend que les images caméra et photos restent sur l'appareil ;
• qu'il comprend que des valeurs numériques de mouvements du visage sont envoyées au backend pour produire le score et le commentaire ;
• qu'il consent au traitement des mouvements du visage pour cette fonctionnalité de divertissement.

Si l'utilisateur ne consent pas, il ne devrait pas pouvoir lancer l'analyse caméra. L'utilisateur peut retirer son consentement en cessant d'utiliser l'application, en supprimant l'historique local, en désinstallant l'application ou en contactant contact@facelab.me pour toute question. Comme l'application n'a pas de compte et pas de profil serveur durable, la plupart des données sont supprimées directement sur l'appareil.

Union européenne, EEE, Royaume-Uni et Suisse

Pour le RGPD, le UK GDPR, la loi suisse sur la protection des données et les règles de type ePrivacy :

• l'accès caméra repose sur la permission du système d'exploitation et l'action de l'utilisateur ;
• l'analyse des mouvements du visage devrait reposer sur un consentement explicite ou une autre base légale validée par conseil, car les données dérivées du visage peuvent être sensibles selon le contexte ;
• l'exploitation du service et les logs de sécurité peuvent reposer sur l'intérêt légitime lorsque les logs sont minimisés ;
• la génération du score et du commentaire IA peut relever de l'exécution du service demandé, avec consentement explicite pour le traitement des données dérivées du visage ;
• le stockage publicitaire non essentiel, les publicités personnalisées et le traitement par des partenaires publicitaires exigent une CMP certifiée Google ou Google User Messaging Platform lorsque requis ;
• l'utilisateur doit pouvoir rouvrir les options de confidentialité et retirer son consentement publicitaire lorsque requis ;
• sur iOS, App Tracking Transparency doit être demandé avant tout suivi tel que défini par Apple, et après le consentement régional lorsque les deux sont utilisés.

Tant que le parcours de consentement publicitaire régional n'est pas complet, les builds de production devraient utiliser aucune publicité, des publicités limitées ou des publicités non personnalisées uniquement lorsque cela est autorisé.

Etats-Unis

Pour les lois américaines sur la vie privée :

• Grimace Score ne vend pas de données personnelles.
• Grimace Score ne partage pas de données personnelles pour de la publicité comportementale inter-contexte, sauf si un futur build active explicitement cette publicité après mise en place des notices, opt-out et réglages plateforme requis.
• Les utilisateurs californiens peuvent disposer de droits de connaissance, accès, suppression, rectification, opposition à la vente/au partage et limitation de l'utilisation des informations sensibles lorsque le CCPA/CPRA s'applique.
• L'application devrait traiter prudemment les valeurs de mouvements du visage comme données biométriques ou sensibles, même si elle n'identifie pas les utilisateurs et ne fait pas de reconnaissance faciale.
• Pour l'Illinois, le Texas, Washington et les lois biométriques similaires, le lancement devrait prévoir une notice préalable, un consentement électronique documenté et cette politique de conservation avant de collecter ou transmettre des valeurs de géométrie ou mouvements du visage à des fins commerciales.

Canada et Québec

Pour le Canada et le Québec :

• la politique devrait être disponible en anglais et en français ;
• le consentement doit être valable et compréhensible, et les traitements sensibles ou assimilables à des données biométriques devraient reposer sur un consentement exprès lorsque requis ;
• le responsable doit expliquer les finalités, tiers, durées de conservation, garanties et droits des utilisateurs ;
• la loi 25 du Québec doit être abordée prudemment en identifiant un contact vie privée, en fournissant une information claire et en évaluant les transferts hors Québec lorsque nécessaire.

Brésil

Pour la LGPD brésilienne :

• la politique devrait être disponible en portugais du Brésil pour les utilisateurs brésiliens ;
• les valeurs de mouvements du visage devraient être traitées prudemment comme données sensibles ou assimilables à des données biométriques ;
• le consentement ou une autre base légale confirmée par conseil est requis pour le traitement ;
• les utilisateurs doivent pouvoir demander confirmation, accès, rectification, anonymisation, suppression lorsque applicable, portabilité lorsque applicable, information sur les partages et révocation du consentement.

Notice données faciales et biométriques

Grimace Score n'identifie pas les personnes, ne vérifie pas l'identité, n'authentifie pas les utilisateurs, ne compare pas les visages et ne crée pas de modèle facial de reconnaissance.

L'application calcule des valeurs numériques de mouvement à partir d'un visage visible par la caméra. Certaines lois peuvent tout de même traiter ces données comme biométriques, de géométrie faciale ou sensibles. La posture prudente de publication est donc :

• obtenir un consentement préalable dans l'application avant l'analyse caméra ;
• envoyer uniquement des valeurs numériques normalisées de mouvement au backend ;
• ne pas envoyer d'image ou de vidéo ;
• ne pas stocker de cartes de mouvements du visage dans une base de données de production ;
• ne pas vendre, louer, échanger ou communiquer les données dérivées du visage pour des finalités sans rapport ;
• supprimer les photos et résultats locaux lorsque l'utilisateur supprime l'historique ;
• garder les logs de production sans corps de requête brut ni cartes de blendshapes brutes ;
• garder le monitor de développement désactivé en production.

Conservation

• Images caméra : éphémères sur l'appareil.
• Photos capturées : stockées uniquement sur l'appareil jusqu'à suppression du résultat ou de l'historique par l'utilisateur.
• Historique et pseudo facultatif : stockés sur l'appareil jusqu'à suppression par l'utilisateur.
• Corps de requête API : utilisé pour répondre à la requête et non stocké en production.
• Logs de production : logs techniques minimisés uniquement, conservés selon la configuration de l'hébergeur.
• Monitor local de développement : désactivé en production ; s'il est activé en développement, sa rétention est configurée par MONITOR_RETENTION.
• API OpenAI : régie par les contrôles de données OpenAI API et les paramètres du compte ; les requêtes utilisent store: false.
• AdMob, Apple, Google Play et RevenueCat : conservation selon leurs obligations légales, paramètres de compte et politiques plateforme.

Partage et destinataires

Les données peuvent être traitées par :

• l'hébergeur backend Grimace Score ;
• OpenAI lorsque la génération de commentaire IA est activée ;
• Google AdMob uniquement si les publicités sont activées ;
• Apple App Store, Google Play et RevenueCat uniquement si Grimace Plus est activé ;
• les fournisseurs d'infrastructure nécessaires à l'hébergement, aux logs et à la sécurité.

Nous ne fournissons pas de photos, vidéos, pseudos, images de résultat locales ou cartes complètes de mouvements du visage aux SDKs publicitaires ou d'abonnement comme métadonnées personnalisées.

Transferts internationaux

Le backend, OpenAI, les partenaires publicitaires, les plateformes de paiement et les fournisseurs d'infrastructure peuvent traiter des données hors du pays ou de la région de l'utilisateur. Lorsque requis, le responsable doit utiliser des mécanismes de transfert appropriés, par exemple clauses contractuelles types, accords de traitement de données, paramètres de résidence des données ou autres garanties légales avant le lancement.

Droits des utilisateurs

Selon le lieu de résidence, les utilisateurs peuvent avoir les droits suivants :

• accès aux données personnelles ;
• information sur les traitements ;
• rectification des données inexactes ;
• suppression ;
• restriction ou opposition au traitement ;
• retrait du consentement ;
• portabilité lorsque applicable ;
• opposition à la vente, au partage ou à la publicité ciblée lorsque applicable ;
• limitation de l'utilisation des informations sensibles lorsque applicable ;
• réclamation auprès d'une autorité de contrôle.

La plupart des données visibles par l'utilisateur sont stockées uniquement sur l'appareil et peuvent être supprimées dans l'application en supprimant des résultats individuels ou tout l'historique. Pour les demandes qui ne peuvent pas être traitées sur l'appareil, contactez contact@facelab.me.

Choix publicitaires

Si les publicités sont activées :

• les utilisateurs de l'EEE, du Royaume-Uni et de Suisse doivent recevoir le message de consentement applicable avant les publicités personnalisées ou tout autre traitement publicitaire soumis au consentement ;
• les utilisateurs doivent disposer d'un point d'entrée vers les options de confidentialité lorsque requis ;
• les utilisateurs iOS doivent recevoir la demande Apple App Tracking Transparency avant tout suivi si le suivi est utilisé ;
• les utilisateurs n'ayant pas atteint l'âge de consentement applicable ne doivent pas recevoir de publicité comportementale ;
• si le consentement manque ou est retiré, l'application devrait utiliser aucune publicité, des publicités limitées ou des publicités non personnalisées uniquement lorsque cela est autorisé.

Sécurité

La principale mesure de protection de Grimace Score est la minimisation des données. Les photos restent sur l'appareil, les payloads backend sont petits et strictement validés, les champs inconnus image/base64 sont rejetés, les logs de production doivent éviter les corps de requête et les réponses API utilisent des en-têtes de cache no-store.

Aucune application mobile ou web ne peut être garantie parfaitement sûre. Les utilisateurs devraient maintenir leur appareil et leur système d'exploitation à jour.

Déclarations App Store et Google Play

Avant publication, les App Store Privacy Nutrition Labels et le formulaire Google Play Data Safety doivent correspondre à cette politique et au build de production exact :

• accès caméra/photo traité localement ;
• valeurs numériques dérivées du visage envoyées pour la fonctionnalité de l'application ;
• données d'achat si les abonnements sont activés ;
• données publicitaires si AdMob est activé ;
• pas de vente de données personnelles ;
• pas d'envoi de photo ;
• pas de compte utilisateur en v1.

Modifications

Nous pouvons mettre à jour cette politique lorsque l'application, les régions, les fournisseurs ou les systèmes de consentement changent. La date de version ci-dessus indique la dernière date de brouillon. Les changements importants doivent être reflétés dans l'application, le site web et les déclarations stores avant ou au moment de la publication.