Thelma
Try my portrait
Legal documentUpdated on May 23, 2026

Politique de confidentialité

All the transparency you need about Thelma: our commitments, your rights and how we handle your data.

La présente politique décrit la manière dont la société Red Labs (ci-après « nous » ou « Thelma ») traite les données à caractère personnel dans le cadre de l'exploitation du site thelma.pet et du service de génération et d'impression de portraits d'animaux (ci-après « le Service »). Elle est conforme au règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».

Responsable de traitement

Le responsable de traitement est la société Red Labs, SASU au capital de 100 €, immatriculée au RCS de Paris sous le numéro 931 399 307, dont le siège social est situé Bureau 326, 78 avenue des Champs-Élysées, 75008 Paris.

Pour toute question relative à vos données ou pour exercer vos droits, vous pouvez nous contacter à hello@thelma.pet. Les coordonnées complètes figurent dans les mentions légales.

Données que nous traitons

Selon votre interaction avec le Service, nous traitons les catégories de données suivantes :

  • Données de compte et de commande (collectées via Shopify) : nom, prénom, adresse électronique, adresse postale de livraison et de facturation, numéro de téléphone le cas échéant, contenu de la commande, historique d'achat ;
  • Données de paiement : numéro de carte, date d'expiration, cryptogramme. Ces données sont collectées et traitées directement par notre prestataire de paiement (Shopify Payments et ses partenaires bancaires). Nous n'y avons jamais accès et nous ne les stockons jamais sur nos serveurs ;
  • Photographie transmise pour la génération du portrait ;
  • Portrait généré (prévisualisations basse définition avec filigrane, version haute définition après paiement) et nom donné à l'animal ;
  • Données techniques de prévention des abus : empreinte pseudonymisée du navigateur (générée par la bibliothèque FingerprintJS et stockée localement dans votre navigateur), adresse IP, agent utilisateur (navigateur, système d'exploitation), horodatage et historique des générations ;
  • Données de navigation et de mesure d'audience : informations relatives aux cookies et traceurs déposés (voir la section dédiée aux cookies), pages consultées, événements d'interaction (ajout au panier, lancement du paiement, recherche).

Finalités et bases légales

  • Exécution du contrat (art. 6.1.b RGPD) : traitement et suivi des commandes, génération du portrait, impression et livraison, service après-vente, gestion du compte client.
  • Respect d'une obligation légale (art. 6.1.c RGPD) : conservation des factures et pièces comptables, lutte contre la fraude, respect des obligations fiscales.
  • Intérêt légitime (art. 6.1.f RGPD) : prévention des abus du Service de génération (quotas par empreinte navigateur, adresse IP et compte client), sécurité du Site, défense de nos droits, mesure d'audience strictement nécessaire au fonctionnement du Site, amélioration de la qualité du Service. Vous disposez d'un droit d'opposition à ces traitements (voir la section « Vos droits »).
  • Consentement (art. 6.1.a RGPD) : dépôt de cookies et traceurs non strictement nécessaires (mesure d'audience étendue, traceurs publicitaires), envoi de communications marketing.

Destinataires et sous-traitants

Vos données sont accessibles aux seuls personnels habilités de Red Labs. Pour les besoins du Service, nous faisons appel aux sous-traitants suivants, qui agissent sur nos instructions documentées et sont tenus à des obligations contractuelles de confidentialité et de sécurité conformes à l'article 28 du RGPD :

  • Shopify International Limited (Irlande, Union européenne) — hébergement de la boutique, gestion des comptes clients, traitement des commandes et des paiements, statistiques d'audience du storefront.
  • Railway Corporation (États-Unis) — hébergement de notre service technique de génération des portraits et de la base de données associée.
  • OpenRouter, Inc. (États-Unis) — passerelle d'inférence donnant accès aux modèles d'intelligence artificielle (notamment des modèles de la famille Gemini de Google) utilisés pour générer le portrait à partir de votre photographie. Avant transmission, la photographie est redimensionnée et ses métadonnées EXIF (notamment toute information de géolocalisation) sont supprimées. Aucune donnée d'identification directe (nom, courriel, adresse postale, empreinte de navigateur) n'est associée à la photographie transmise au sous-traitant.
  • Prestataire d'impression et de logistique d'expédition — fabrication (impression, encadrement) et expédition des Produits. Lui sont transmis : votre nom, prénom, adresse postale de livraison, courriel ou téléphone (uniquement pour le suivi de livraison lorsque le transporteur le requiert), ainsi que le visuel haute définition du portrait à imprimer. L'identité de ce sous-traitant peut vous être communiquée sur demande adressée à hello@thelma.pet.
  • Resend, Inc. (États-Unis) — envoi d'e-mails transactionnels (confirmation de commande, suivi d'expédition, notifications de service). Lui sont transmis : adresse électronique, prénom et données strictement nécessaires à l'envoi des messages.
  • Meta Platforms Ireland Limited (Irlande) / Meta Platforms, Inc. (États-Unis) — mesure d'audience publicitaire (Meta Pixel côté site) et envoi d'événements de conversion via l'API de conversions Meta (CAPI) côté serveur, sous réserve de votre consentement. Voir la section « Cookies et traceurs » pour le détail des données envoyées.
  • PostHog, Inc. (hébergement Union européenne) — mesure d'audience produit et analyse du parcours utilisateur, identification par empreinte de navigateur puis, le cas échéant, par adresse électronique après connexion à un compte.

Transferts hors Union européenne

Certains de nos sous-traitants (Railway, OpenRouter, Resend, ainsi que les entités de Meta situées aux États-Unis) sont susceptibles de traiter des données depuis les États-Unis. Notre prestataire d'impression et de logistique peut être établi dans un pays tiers à l'Union européenne bénéficiant d'une décision d'adéquation de la Commission européenne ou, à défaut, encadré par des garanties appropriées (clauses contractuelles types).

Les transferts vers les États-Unis sont encadrés par les clauses contractuelles types adoptées par la Commission européenne par décision d'exécution (UE) 2021/914 et, le cas échéant, par la certification du sous-traitant au EU-US Data Privacy Framework. Une copie de ces garanties peut vous être communiquée sur demande adressée à hello@thelma.pet.

Durées de conservation

  • Photographie source téléversée : conservée uniquement le temps nécessaire à la génération du portrait, puis supprimée automatiquement au plus tard soixante (60) jours après l'envoi du fichier, dans le cadre du cycle de purge automatique de notre infrastructure.
  • Portraits générés (prévisualisation et version haute définition) : conservés soixante (60) jours après leur génération, puis supprimés automatiquement, y compris les fichiers associés.
  • Données techniques de prévention des abus (empreinte de navigateur, adresse IP, journal des générations) : conservées soixante (60) jours à compter de la dernière activité.
  • Données de compte et de commande (gérées via Shopify) : conservées pendant la durée de la relation commerciale, puis archivées en base intermédiaire pendant 5 ans après le dernier contact, à des fins probatoires (article L. 213-1 du Code de la consommation).
  • Factures et pièces comptables : conservées 10 ans conformément à l'article L. 123-22 du Code de commerce.
  • Données d'expédition transmises à notre imprimeur : conservées par notre prestataire d'impression et de logistique conformément à sa propre politique de conservation, le temps nécessaire à l'exécution et au suivi des livraisons.
  • Données de prospection commerciale (newsletter le cas échéant) : jusqu'au retrait de votre consentement, et au plus tard 3 ans après le dernier contact de votre part, conformément à la doctrine de la CNIL.
  • Cookies et traceurs : durée de validité indiquée dans la section dédiée ci-dessous, dans la limite maximale de 13 mois pour les cookies de mesure d'audience.

Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données contre la perte, l'accès non autorisé, l'altération ou la divulgation : chiffrement TLS des communications, contrôle d'accès aux systèmes, surveillance et journalisation, suppression automatique des métadonnées EXIF des photographies téléversées, identifiants de fichiers cryptographiquement aléatoires, redaction systématique dans les journaux applicatifs (le contenu des photographies, les secrets, les clés d'API et les jetons d'authentification ne sont jamais journalisés en clair).

Cookies et traceurs

Un cookie est un petit fichier déposé sur votre terminal lors de la consultation d'un site. Nous utilisons les catégories de cookies et traceurs suivantes :

  • Cookies strictement nécessaires au fonctionnement du Site (session, panier, sécurité, gestion du choix de langue, empreinte navigateur de prévention des abus). Ces cookies sont déposés sans consentement préalable, conformément à l'article 82 de la loi Informatique et Libertés.
  • Cookies de mesure d'audience et de performance : nous utilisons Shopify Analytics (statistiques d'audience de la boutique) et PostHog (analyse du parcours utilisateur).
  • Cookies publicitaires et de mesure de conversion : le Meta Pixel est déposé sur le Site pour mesurer l'efficacité de nos campagnes publicitaires sur les services Meta (Facebook, Instagram). En complément, à la finalisation d'un achat, un événement de conversion est envoyé côté serveur à Meta via son API de conversions (CAPI). Les données envoyées comprennent notamment : courriel, nom, prénom, ville, code postal, pays et région, tous préalablement hachés au moyen de l'algorithme SHA-256 ; ainsi que, le cas échéant, votre adresse IP, votre agent utilisateur et les identifiants _fbp / _fbc déposés par Meta ; et des données techniques relatives à la commande (identifiant, montant, devise, identifiants des produits commandés).

Les cookies non strictement nécessaires (mesure d'audience étendue et traceurs publicitaires) ne sont déposés ou activés qu'après obtention de votre consentement, recueilli par la bannière de consentement présentée lors de votre première visite. Vous pouvez à tout moment retirer votre consentement, modifier votre choix ou effacer les cookies de votre navigateur depuis les paramètres de celui-ci. Le retrait du consentement ne remet pas en cause la licéité des traitements effectués sur la base du consentement avant son retrait.

Vous pouvez également vous opposer au dépôt de cookies tiers directement depuis les paramètres de votre navigateur ou via les outils des éditeurs concernés (paramètres de votre compte Meta pour le Pixel, paramètres de votre compte Google, etc.).

Vos droits

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • droit d'accès à vos données ;
  • droit de rectification de données inexactes ou incomplètes ;
  • droit à l'effacement (« droit à l'oubli »), sous réserve des obligations légales de conservation auxquelles nous sommes tenus ;
  • droit à la limitation du traitement ;
  • droit à la portabilité de vos données ;
  • droit d'opposition au traitement fondé sur l'intérêt légitime, en particulier au traitement à des fins de prospection commerciale ;
  • droit de retirer votre consentement à tout moment, sans remettre en cause la licéité du traitement effectué avant ce retrait ;
  • droit de définir des directives relatives au sort de vos données après votre décès, conformément à l'article 85 de la loi Informatique et Libertés.

Pour exercer vos droits, écrivez-nous à hello@thelma.pet en précisant votre demande. Nous pourrons vous demander un justificatif d'identité en cas de doute raisonnable sur la qualité du demandeur. Nous nous engageons à vous répondre dans un délai d'un mois à compter de la réception de la demande, prolongeable de deux mois compte tenu de la complexité ou du nombre de demandes.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — cnil.fr.

Décisions automatisées et profilage

La génération de votre portrait par notre modèle d'intelligence artificielle constitue un traitement automatisé, indissociable du Service que vous nous demandez d'exécuter. Ce traitement ne produit toutefois aucun effet juridique vous concernant ni aucune décision ayant une incidence significative sur votre vie, au sens de l'article 22 du RGPD. Nous ne pratiquons pas de profilage à des fins de décision automatisée sur vos données.

Modifications

La présente politique peut être modifiée pour refléter l'évolution de nos pratiques, l'ajout de nouveaux sous-traitants ou les évolutions de la réglementation applicable. La version applicable est celle en vigueur au jour de votre visite, telle que datée en haut de cette page. En cas de modification substantielle, nous vous en informerons par tout moyen approprié.

Last updated: May 23, 2026
Back to top