ilov'
Le modèleScorePremiumTester

Document légal

Politique de confidentialité

Version publique française, destinée à l'App Store et aux utilisateurs ilov'.

# Politique de confidentialité — ilov'

Version : 1.0 — mai 2026

Date d'entrée en vigueur : 28 juin 2026

Dernière mise à jour : 17 mai 2026

---

Préambule

ilov' (« nous », « notre », « l'application ») est une application mobile iOS de rencontres dite « intention-first », conçue pour favoriser la formation de liens affectifs durables, par opposition aux usages éphémères dits « hookup ». Ce positionnement scientifique (théorie de l'attachement, modèles de Sternberg, Fisher, Gottman, Aron, Finkel et al. 2012) implique le traitement de données particulièrement sensibles : préférences affectives, orientation sexuelle, vie relationnelle, contenus intimes (photos, voix, vidéo).

Cette sensibilité impose à ilov' un niveau d'exigence supérieur à la norme du secteur. La présente politique de confidentialité décrit, de manière exhaustive et conforme au Règlement (UE) 2016/679 (RGPD), à la loi française n°78-17 « Informatique et Libertés » modifiée, au California Consumer Privacy Act (CCPA / CPRA) et aux exigences Apple App Privacy, l'ensemble des traitements de données personnelles mis en œuvre par ilov'.

Nous nous engageons à appliquer le principe de minimisation (Art. 5.1.c RGPD) : seules les données strictement nécessaires sont collectées. Aucune donnée n'est revendue. Aucune publicité tierce n'est diffusée. Aucun profil n'est partagé avec un courtier de données.

---

Article 1 — Responsable du traitement

Identité : Gatherlab, SAS (société par actions simplifiée)

Siège social : 22 rue de la Baraterie, 49000 Angers, France

SIREN : 908 326 739

SIRET : 908 326 739 00012

Éditeur : Gatherlab

Contact général : support@ilov.app

Domaine officiel : ilov.app

Gatherlab agit en qualité de responsable du traitement au sens de l'Article 4.7 du RGPD pour l'ensemble des données traitées via l'application ilov'.

---

Article 2 — Point de contact protection des données

Compte tenu de la nature sensible des données traitées (orientation sexuelle, vie sexuelle au sens de l'Article 9 RGPD) et bien que la désignation formelle d'un DPO ne soit pas obligatoire au sens de l'Article 37 RGPD pour Gatherlab à ce stade, Gatherlab met à disposition un point de contact dédié :

Point de contact protection des données : Gatherlab

Adresse électronique : support@ilov.app

Délai de réponse cible : 30 jours calendaires maximum (Art. 12.3 RGPD)

Toute demande d'exercice de droits, question, plainte ou signalement relatif à vos données peut être adressée à support@ilov.app.

---

Article 3 — Données collectées

Les données collectées par ilov' sont organisées en quatre catégories principales :

3.1 Données de compte (obligatoires)

  • Adresse e-mail (identifiant unique, authentification)
  • Mot de passe ou secret de session (stocké sous forme hachée par Supabase Auth, jamais en clair)
  • Date de naissance (vérification de l'âge minimum 18 ans, conformément à l'Article 8 RGPD interprété strictement)
  • Prénom (affiché sur le profil)
  • Identifiant Apple anonyme (si connexion via « Sign in with Apple »)

3.2 Données de profil (obligatoires à la création, modifiables à tout moment)

  • Photos (entre 3 et 6, vérification d'authenticité par Apple Vision on-device, aucune image envoyée à un serveur tiers de reconnaissance faciale)
  • Prompt vocal (15 à 30 secondes, optionnel)
  • Prompt vidéo (15 secondes, optionnel)
  • Réponses au questionnaire ECR-R (Experiences in Close Relationships – Revised, mesure du style d'attachement adulte selon Brennan, Clark & Shaver, 1998)
  • Réponses au questionnaire Fisher Temperament Inventory (Helen Fisher, 2009) — typologie tempéramentale
  • Valeurs déclarées (liste fermée : famille, carrière, créativité, spiritualité, etc.)
  • Ville de résidence (granularité ville uniquement — pas d'adresse postale, pas de géolocalisation GPS continue)
  • Identité de genre déclarée
  • Orientation affective et sexuelle déclarée (donnée sensible, Art. 9 RGPD — consentement explicite requis, voir Article 5)

3.3 Données comportementales (générées par l'usage)

  • Profils consultés dans la sélection quotidienne (3 profils/jour en gratuit, jusqu'à 10 en Premium ou Premium+ AI)
  • Demandes de connexion et passes
  • Matches obtenus
  • Messages échangés (texte uniquement, conservés pendant la durée de l'échange + 7 jours conformément à la fenêtre de conversation)
  • Horodatage des connexions
  • Statistiques d'engagement (durée moyenne par session)
  • Résultats du ilov' Score (calcul de compatibilité, voir Article 4)

3.4 Données dérivées et techniques

  • Identifiant d'appareil iOS (Vendor Identifier — IDFV, non IDFA)
  • Modèle de téléphone, version d'iOS
  • Langue système, fuseau horaire
  • Adresse IP (transitoire, journalisée 7 jours pour anti-fraude, puis effacée)
  • Logs d'erreurs anonymisés (crashlytics opt-in)

3.5 Données NON collectées (engagement explicite)

ilov' s'engage à NE PAS collecter :

  • L'IDFA (Identifier for Advertisers Apple)
  • La géolocalisation précise GPS
  • Les contacts du téléphone
  • Le calendrier
  • Les autres applications installées
  • L'historique de navigation
  • Les données de santé Apple HealthKit (sauf consentement futur explicite pour fonctionnalité dédiée)
  • Les empreintes biométriques (Face ID reste local à iOS, ilov' n'y accède pas)

---

Article 4 — Finalités du traitement

Chaque catégorie de données est traitée pour une ou plusieurs finalités déterminées, explicites et légitimes (Art. 5.1.b RGPD) :

4.1 Matching et fonctionnement de l'application

Calcul du ilov' Score (algorithme de compatibilité fondé sur la complémentarité d'attachement, la convergence de valeurs et la compatibilité tempéramentale). Affichage de la sélection quotidienne limitée. Activation des conversations sur match mutuel.

4.2 Sécurité et lutte contre la fraude

Détection de comptes multiples, de bots, de catfishing. Vérification d'âge. Modération automatisée des contenus visuels (filtrage de nudité explicite par Apple Vision on-device) et textuels (détection des « Four Horsemen » de Gottman — critique, mépris, défensive, mur de pierre — via modèle NLP Core ML on-device, aucun texte n'est envoyé à un serveur tiers d'analyse).

4.3 Support utilisateur

Réponse aux demandes envoyées à support@ilov.app ou via le formulaire intégré.

4.4 Statistiques anonymisées

Production d'agrégats anonymes pour amélioration produit (aucune ré-identification possible). Ces agrégats peuvent être publiés dans un bilan annuel anonymisé.

4.5 Modération et sauvegarde des utilisateurs vulnérables

Détection des signaux de détresse (idéations suicidaires, situations de violence) par NLP on-device et escalade vers les dispositifs adaptés (voir Politique de Sauvegarde / `safeguarding-policy.md`).

4.6 Obligations légales

Conservation des logs nécessaires à la coopération avec les autorités judiciaires (CPP Art. 60-1, LCEN Art. 6).

---

Article 5 — Bases légales du traitement (Art. 6 et 9 RGPD)

| Finalité | Base légale | Référence RGPD |

|---|---|---|

| Création de compte, matching, messagerie | Exécution du contrat | Art. 6.1.b |

| Données sensibles (orientation, vie sexuelle) | Consentement explicite | Art. 9.2.a |

| Anti-fraude, sécurité du service | Intérêt légitime | Art. 6.1.f |

| Signalements aux autorités | Obligation légale | Art. 6.1.c |

| Statistiques anonymisées | Intérêt légitime (post-anonymisation) | Art. 6.1.f |

| Analytics produit (opt-in) | Consentement | Art. 6.1.a |

| Sauvegarde des personnes vulnérables | Sauvegarde des intérêts vitaux | Art. 6.1.d |

Le consentement explicite pour les données sensibles est recueilli au moment de la création du profil par une case à cocher non pré-cochée, accompagnée d'un texte clair indiquant les finalités précises. Ce consentement peut être retiré à tout moment dans les paramètres de l'application sans affecter la licéité du traitement passé (Art. 7.3 RGPD).

---

Article 6 — Données sensibles (Art. 9 RGPD)

Conformément à l'Article 9.1 du RGPD, ilov' traite les catégories particulières de données suivantes :

  • Données concernant la vie sexuelle (orientation déclarée, préférences relationnelles)
  • Données pouvant révéler des opinions philosophiques (valeurs déclarées)

Ces traitements reposent sur l'exception prévue à l'Article 9.2.a : consentement explicite de la personne concernée pour une ou plusieurs finalités spécifiques.

Conformément aux recommandations de la CNIL (délibération n°2019-093 du 4 juillet 2019 et lignes directrices applications de rencontres), ces données :

  • Ne sont jamais utilisées pour de la publicité ciblée
  • Ne sont jamais transmises à des tiers commerciaux
  • Sont chiffrées au repos
  • Font l'objet d'un consentement granulaire distinct du consentement général aux CGU

---

Article 7 — Durée de conservation

| Catégorie | Durée de conservation |

|---|---|

| Compte actif (e-mail, profil) | Jusqu'à suppression du compte par l'utilisateur |

| Compte inactif | Anonymisation après 24 mois sans connexion, notification préalable à J-30 |

| Messages échangés | Durée de la conversation active + 7 jours (fenêtre dialogue) puis suppression automatique |

| Photos, voix, vidéos | Jusqu'à suppression du compte |

| Réponses ECR-R, Fisher | Jusqu'à suppression du compte |

| Logs anti-fraude (IP) | 7 jours glissants |

| Logs de signalements (modération) | 1 an, puis archivage anonymisé |

| Données de facturation (App Store via Apple) | 10 ans (obligation comptable, Code de commerce L123-22) |

| Signalements aux autorités | Conformément aux délais légaux applicables |

À l'issue de ces durées, les données sont effacées de manière irréversible ou anonymisées selon les standards CNIL (irréversibilité statistique).

---

Article 8 — Destinataires des données

Vos données sont accessibles uniquement aux entités strictement nécessaires :

8.1 Gatherlab

Accès limité aux fins de support, modération, sécurité. Engagement de confidentialité absolu.

8.2 Sous-traitants techniques (Art. 28 RGPD)

| Sous-traitant | Service | Localisation des données | Garanties |

|---|---|---|---|

| Supabase, Inc. | Authentification, Postgres, Storage, Edge Functions | UE (région Europe à privilégier) + USA (transferts résiduels) | DPA Supabase + Clauses Contractuelles Types (SCC) 2021/914 + mesures supplémentaires Schrems II |

| Apple Inc. | App Store, Sign in with Apple, paiements in-app | UE + USA | DPA Apple + SCC 2021/914 |

| Veriff / Onfido (uniquement si KYC volontaire activé par l'utilisateur) | Vérification d'identité renforcée optionnelle | UE | DPA dédié, conservation 90 jours puis suppression |

| Sentry (logs d'erreurs) | Sentry | UE (`de1.sentry.io`) | DPA |

8.3 Autorités publiques

Sur réquisition judiciaire valide uniquement (Procureur, juge d'instruction, OPJ habilité). Aucune transmission spontanée hors cas d'obligation légale (signalement de mineurs en danger, contenus pédopornographiques, terrorisme).

8.4 Aucune revente, aucun partenaire marketing

ilov' s'engage formellement à ne jamais revendre, louer, échanger ou monétiser de quelque manière que ce soit les données personnelles de ses utilisateurs auprès de courtiers de données, régies publicitaires, ou partenaires commerciaux. Ce point est opposable contractuellement.

---

Article 9 — Transferts hors Union européenne

Certains sous-traitants (Apple, Supabase) sont des entreprises américaines susceptibles de traiter des données hors UE. Conformément aux Articles 44 à 49 du RGPD et à la jurisprudence Schrems II (CJUE, 16 juillet 2020, C-311/18), les transferts hors UE sont encadrés par :

1. Clauses Contractuelles Types (Décision UE 2021/914 du 4 juin 2021)

2. Mesures supplémentaires techniques : chiffrement TLS 1.3 en transit, AES-256 au repos, hachage SHA-256 des identifiants techniques

3. Évaluation d'impact des transferts (TIA) documentée par Gatherlab

4. EU-US Data Privacy Framework : Apple et les sous-traitants éligibles sont vérifiés avant mise en production, couvrant les transferts vers les USA le cas échéant

L'utilisateur est informé de ces transferts. Il peut, à tout moment, demander la liste mise à jour des sous-traitants à support@ilov.app.

---

Article 10 — Droits des utilisateurs (Art. 15 à 22 RGPD)

Vous disposez en permanence des droits suivants :

10.1 Droit d'accès (Art. 15)

Obtenir une copie complète des données traitées vous concernant, dans un format lisible.

10.2 Droit de rectification (Art. 16)

Corriger toute donnée inexacte ou incomplète. La majorité des modifications est réalisable directement dans les paramètres de l'application.

10.3 Droit à l'effacement (« droit à l'oubli ») (Art. 17)

Demander la suppression définitive de votre compte et de toutes les données associées. La suppression est irréversible sous 30 jours, sauf obligation légale de conservation (facturation, logs de signalement).

10.4 Droit à la limitation du traitement (Art. 18)

Demander la suspension d'un traitement contesté pendant l'instruction de votre demande.

10.5 Droit à la portabilité (Art. 20)

Récupérer vos données dans un format structuré (JSON), couramment utilisé et lisible par machine, en vue d'un transfert vers un autre service.

10.6 Droit d'opposition (Art. 21)

Vous opposer, pour des motifs tenant à votre situation particulière, à un traitement fondé sur l'intérêt légitime (anti-fraude, statistiques).

10.7 Droit de retrait du consentement (Art. 7.3)

Retirer votre consentement aux traitements fondés sur celui-ci (données sensibles, analytics) à tout moment et sans justification.

10.8 Droit de ne pas faire l'objet d'une décision exclusivement automatisée (Art. 22)

ilov' précise que l'ilov' Score est informatif et n'emporte aucune conséquence juridique, financière, ni de refus de service. Aucun utilisateur n'est exclu, suspendu ou rétrogradé sur la seule base d'un score automatisé. Toute décision de modération sensible (suspension, bannissement) fait intervenir une revue humaine.

10.9 Droit de définir des directives post-mortem

Conformément à l'Article 85 de la loi Informatique et Libertés, vous pouvez communiquer à support@ilov.app vos directives concernant le sort de vos données après votre décès.

---

Article 11 — Procédure d'exercice des droits

Pour exercer vos droits, contactez support@ilov.app en indiquant :

1. Le droit que vous souhaitez exercer

2. Un moyen de vous identifier (e-mail du compte ; en cas de doute légitime, justificatif d'identité, supprimé après vérification)

Délai de réponse : 30 jours calendaires, prorogeable de deux mois en cas de complexité (Art. 12.3 RGPD), avec notification dans le premier délai.

Coût : gratuit, sauf demandes manifestement infondées ou excessives (Art. 12.5 RGPD).

Recours en cas de réponse insatisfaisante : réclamation auprès de la CNIL (Article 13 ci-dessous).

---

Article 12 — Sécurité des données (Art. 32 RGPD)

ilov' met en œuvre les mesures techniques et organisationnelles suivantes :

12.1 Mesures techniques

  • Chiffrement en transit : TLS 1.3, HSTS activé sur ilov.app
  • Chiffrement au repos : chiffrement managé Supabase Postgres et Storage, avec secrets d'accès séparés par environnement
  • Chiffrement de bout en bout (E2EE) optionnel pour les messages les plus sensibles (roadmap Q4 2026, basé sur Signal Protocol)
  • Hachage des identifiants techniques (SHA-256 + sel) avant journalisation
  • Vérification photo via Apple Vision on-device : le selfie validé peut être stocké dans Supabase Storage pour modération anti-faux profils et revue humaine, sans affichage public ; aucune image n'est envoyée à un service tiers de reconnaissance faciale et les embeddings biométriques Apple Vision ne quittent jamais le téléphone
  • NLP Four Horsemen on-device via Core ML : aucun message n'est jamais transmis à un service cloud d'analyse ; la détection des signaux toxiques s'exécute localement sur l'iPhone de l'utilisateur
  • Pas d'IDFA, pas de SDK publicitaire tiers
  • Audit de sécurité trimestriel (interne) + revue annuelle par tiers indépendant à compter du seuil de 10 000 utilisateurs

12.2 Mesures organisationnelles

  • Politique de mots de passe robuste (12 caractères, MFA obligatoire pour les administrateurs)
  • Journalisation des accès administrateur
  • Charte de confidentialité signée par tout intervenant
  • Plan de réponse aux incidents documenté, notification CNIL sous 72h (Art. 33 RGPD) et utilisateurs concernés (Art. 34 RGPD) en cas de violation à risque élevé

---

Article 13 — Suppression de compte

À tout moment, depuis « Réglages > Compte > Supprimer mon compte », vous pouvez initier la suppression définitive :

1. Confirmation à J0

2. Désactivation immédiate (profil non visible)

3. Hard-delete irréversible sous 30 jours (incluant photos, voix, vidéo, messages, réponses ECR-R/Fisher, score)

4. Conservation résiduelle uniquement pour : facturation (10 ans, obligation comptable), logs de signalement (1 an, sécurité juridique)

5. Confirmation par e-mail à l'issue du processus

---

Article 14 — Protection des mineurs

ilov' est strictement réservé aux personnes majeures (18 ans révolus). La vérification d'âge est effectuée :

1. À l'inscription (déclaration de date de naissance)

2. Par cohérence apparente détectée localement (Apple Vision on-device) et, en cas de risque, revue humaine du selfie de vérification conservé hors affichage public

3. Optionnellement par KYC renforcé (Veriff) pour comptes signalés

4. Par signalement communautaire

En cas de suspicion de mineur sur la plateforme :

  • Suspension immédiate du compte
  • Signalement à la plateforme PHAROS (Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements — Ministère de l'Intérieur, internet-signalement.gouv.fr)
  • Signalement à NCMEC (National Center for Missing & Exploited Children, États-Unis) en cas de contenu pédopornographique
  • Notification à cyber-violence@interieur.gouv.fr en cas de cyberviolence
  • Coopération immédiate avec les autorités judiciaires (CPP Art. 60-1)

Voir Politique de Sauvegarde (`safeguarding-policy.md`).

---

Article 15 — Cookies, traceurs, identifiants

ilov' étant une application mobile native iOS, aucun cookie web tiers n'est utilisé. Le site marketing ilov.app n'utilise que des cookies strictement nécessaires (session) et un outil d'analyse respectueux de la vie privée (analyse first-party activée uniquement après consentement, sans SDK publicitaire).

Au sein de l'application :

  • Analytics produit : désactivés par défaut, opt-in explicite via paramètres
  • Sentry : opt-in
  • Aucun SDK publicitaire, aucun pixel Meta/TikTok/Google Ads, aucun SDK de tracking comportemental

---

Article 16 — Modifications de la présente politique

Toute modification substantielle fera l'objet :

  • D'une notification dans l'application 30 jours avant l'entrée en vigueur
  • D'un e-mail aux utilisateurs concernés
  • D'une publication de la version archivée sur ilov.app/legal/archive

L'utilisateur conserve la faculté de supprimer son compte sans préjudice s'il refuse les nouvelles conditions.

---

Article 17 — Réclamation auprès de l'autorité de contrôle

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL

3 Place de Fontenoy

TSA 80715

75334 PARIS CEDEX 07

Téléphone : +33 (0)1 53 73 22 22

Site : [www.cnil.fr/plaintes](https://www.cnil.fr/plaintes)

Vous pouvez également saisir l'autorité de contrôle de votre pays de résidence si différent.

---

Article 18 — Contact

Pour toute question relative à cette politique :

  • Protection des données : support@ilov.app
  • Support général / données personnelles : support@ilov.app
  • Signalement urgent (sécurité, mineurs) : support@ilov.app avec "URGENT" en objet

---

*Fait à Angers, le 17 mai 2026.*

*Pour Gatherlab.*

Une app de rencontre pour les gens qui préfèrent comprendre une bonne compatibilité plutôt que consommer cent profils.

Gatherlab · ilov.app · 2026
À proposScienceScoringSécuritéPresseBetaInstagramSupportStatusMentionsConfidentialitéCGU