Politique de confidentialité
Conformément aux articles 13 et 14 du Règlement Général sur la Protection des Données (UE) 2016/679 et à la loi Informatique et Libertés modifiée.
Dernière mise à jour : 25 mai 2026 · Version 1.1
1. Identité du responsable de traitement
Le responsable du traitement de vos données personnelles est l'éditeur du site ScanRGPD.fr (entrepreneur individuel, SIRET 103 442 430 00015). Les coordonnées complètes figurent dans nos mentions légales.
- Email : contact@scanrgpd.fr
- Point de contact RGPD : contact@scanrgpd.fr (objet : « Demande RGPD »)
- Adresse postale : figurant dans les mentions légales
2. Données personnelles collectées
Seules les données strictement nécessaires à la fourniture du service sont collectées. Aucune donnée n'est collectée à votre insu.
2.1 — Données collectées lors de la commande d'un audit
| Catégorie | Données précises | Origine |
|---|---|---|
| Identification | Nom, prénom, raison sociale, SIRET | Formulaire que vous remplissez |
| Contact | Email professionnel, téléphone (optionnel) | Formulaire |
| Activité | Secteur d'activité, nombre de salariés, outils utilisés, sous-traitants | Formulaire de contexte business |
| Site web | URL du site audité, données techniques scannées (cookies, headers, formulaires détectés) | Vous + scan automatisé |
| Paiement | Email de facturation, données de carte bancaire (traitées par Stripe — jamais visibles par ScanRGPD.fr) | Stripe |
2.2 — Données collectées lors d'une visite simple du site (et du scan gratuit)
| Catégorie | Données | Quand |
|---|---|---|
| Adresse IP | Stockée 72h pour sécurité (anti-abus du scan gratuit) | À chaque visite |
| Données techniques | Type de navigateur, système d'exploitation, page consultée (logs serveur) | À chaque visite |
| URL scannée gratuitement | L'URL que vous saisissez dans le pré-diagnostic gratuit | Si vous l'utilisez (non persistée en base) |
| Statistiques d'audience | Vercel Web Analytics et Umami Analytics (self-hosted en Allemagne sur Vercel + Neon Postgres Frankfurt) — anonymisées, agrégées, sans aucun cookie sur le navigateur, sans identifiant persistant. Vous pouvez vous opposer à toute mesure en ajoutant manuellement le cookie disable-analytics=1 sur scanrgpd.fr. | À chaque visite |
Ce qui n'est jamais collecté : aucun cookie publicitaire, aucun pixel de tracking, aucun outil d'analyse comportementale (pas de Google Analytics, pas de Meta Pixel, pas de Hotjar, pas de session recording).
3. Finalités et bases légales du traitement
Vos données sont traitées pour les finalités suivantes, chacune reposant sur une base légale précise :
| Finalité | Base légale (Art. 6 RGPD) |
|---|---|
| Réaliser l'audit RGPD commandé et livrer les documents | Exécution du contrat (Art. 6.1.b) |
| Émettre les factures et conserver la comptabilité | Obligation légale (Art. 6.1.c) — Code de commerce, 10 ans |
| Répondre à vos demandes par email | Intérêt légitime (Art. 6.1.f) — vous communiquer |
| Détecter les abus du scan gratuit (anti-spam, anti-DDoS) | Intérêt légitime (Art. 6.1.f) — sécurité du service |
| Améliorer la qualité du service (analyse anonymisée des audits) | Intérêt légitime (Art. 6.1.f), avec données préalablement anonymisées |
| Prospection commerciale envers des clients existants (upsell éventuel) | Intérêt légitime (Art. 6.1.f) — droit d'opposition possible à tout moment |
Ce qui n'est jamais fait : aucune utilisation de vos données pour de la prospection commerciale envers des tiers, aucune vente de vos données, aucun partage à des fins publicitaires.
4. Durées de conservation
| Type de donnée | Durée de conservation |
|---|---|
| Données client (compte, audit, documents générés) | 12 mois après la livraison du dernier audit, puis archivage en base intermédiaire pendant 3 ans à des fins probatoires, puis suppression définitive |
| Factures et données comptables | 10 ans (obligation légale Code de commerce) |
| Logs serveur, adresse IP | 72 heures pour les visites anonymes — 12 mois pour les comptes clients |
| URL scannée gratuitement (sans création de compte) | Non persistée en base — supprimée immédiatement après le scan |
| Données de prospection (si vous nous écrivez sans devenir client) | 3 ans après le dernier contact |
| Cookies techniques | 13 mois maximum |
5. Destinataires de vos données — sous-traitants
Vos données sont accessibles uniquement à l'éditeur du site et aux sous-traitants techniques strictement nécessaires au fonctionnement du service. Tous ces sous-traitants ont signé un accord de traitement de données (DPA) conforme à l'article 28 du RGPD.
| Sous-traitant | Rôle | Localisation des données | DPA |
|---|---|---|---|
| Vercel Inc. | Hébergement du site web (frontend) | Frankfurt, Allemagne (UE) | ✓ Signé |
| Supabase Inc. | Base de données et stockage des audits | Paris, France (eu-west-3) | ✓ Signé |
| Anthropic PBC | Génération automatique du rapport (IA Claude) — fournisseur principal | États-Unis (DPF certifié) — données non utilisées pour l'entraînement | ✓ Signé (Zero Data Retention) |
| Mistral AI | Génération du rapport — sous-traitant de secours, activé uniquement si l'accès au fournisseur principal est indisponible (réversibilité, cf. CGV Art. 12.2) | Union européenne (France) | ✓ Conditions de traitement Mistral (UE) |
| Stripe Payments Europe Ltd | Traitement des paiements | Irlande (UE), avec activité USA pour la fraude (DPF certifié) | ✓ Signé |
| Resend | Envoi des emails transactionnels | USA (DPF certifié) | ✓ Signé |
| Neon, Inc. | Base de données PostgreSQL hébergeant Umami Analytics (self-hosted). Stocke uniquement des statistiques d'audience anonymisées (pages vues, referrers, événements UTM). Aucune donnée client, aucun cookie, aucun identifiant persistant. | Frankfurt, Allemagne (AWS eu-central-1) | Conditions disponibles à neon.tech/dpa |
| Upstash, Inc. | Compteur Redis distribué pour le rate-limit anti-abus (limitation du nombre de requêtes par adresse IP sur le pré-diagnostic gratuit, le checkout et la création de compte). Aucune donnée d'audit ni d'identité client n'y transite — uniquement l'adresse IP source associée à un compteur numérique. | Serveurs AWS eu-west-1 (Irlande, UE) — durée de conservation : 1 heure maximum (TTL Redis appliqué à chaque clé compteur). | Conditions sous-traitant disponibles à upstash.com/trust |
Plan de secours (réversibilité) : afin de garantir la continuité du service en cas d'indisponibilité d'Anthropic (panne, suspension réglementaire, contrôle des exportations), la génération peut basculer automatiquement vers un modèle souverain européen (Mistral AI, France). Dans ce cas, les données restent traitées au sein de l'Union européenne — sans transfert hors UE.
6. Transferts hors Union européenne
Certains sous-traitants (Anthropic, Stripe pour la partie fraude, Resend) ont leur siège aux États-Unis. Ces transferts sont encadrés par :
- L'EU-US Data Privacy Framework (DPF), adopté par décision d'adéquation de la Commission européenne du 10 juillet 2023
- Des Clauses Contractuelles Types (CCT) de la Commission européenne, signées avec chaque sous-traitant
- Des mesures supplémentaires techniques : chiffrement TLS 1.3 en transit, AES-256 au repos, configurations de rétention minimale
7. Sécurité de vos données
Des mesures techniques et organisationnelles appropriées sont mises en œuvre pour protéger vos données :
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
- Authentification forte sur tous les comptes administrateurs (2FA)
- Accès aux données strictement limité aux personnes ayant un besoin justifié
- Sauvegardes chiffrées et redondées (Paris, France)
- Mises à jour de sécurité automatiques
- Liens de téléchargement des livrables : URLs signées à expiration courte (24h)
- Procédure de notification des violations dans les 72 heures (Art. 33 RGPD)
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants concernant vos données personnelles :
- Droit d'accès (Art. 15) — Obtenir la confirmation que vos données sont traitées et en obtenir une copie
- Droit de rectification (Art. 16) — Corriger des données inexactes ou incomplètes
- Droit à l'effacement (Art. 17) — Demander la suppression de vos données (« droit à l'oubli »), sous réserve des obligations légales (notamment factures conservées 10 ans)
- Droit à la limitation du traitement (Art. 18) — Geler temporairement le traitement dans certains cas
- Droit à la portabilité (Art. 20) — Recevoir vos données dans un format structuré et lisible
- Droit d'opposition (Art. 21) — S'opposer au traitement basé sur l'intérêt légitime (notamment prospection)
- Droit de définir des directives post-mortem (article 85 LIL)
- Droit de retirer votre consentement à tout moment, lorsque le traitement repose sur le consentement
Comment exercer vos droits
Pour exercer ces droits :
- Email : contact@scanrgpd.fr (objet : « Demande RGPD »)
- Courrier : 25 chemin des Cornets, 69700 Givors, France (mention « Demande RGPD »)
Réponse dans un délai de 72 heures pour les demandes simples, et dans un délai maximum de 1 mois pour les demandes complexes (avec possibilité de prolongation de 2 mois supplémentaires si nécessaire, conformément à l'article 12.3 du RGPD).
Pour des raisons de sécurité, une vérification de votre identité pourra vous être demandée (en cas de doute uniquement, conformément à l'article 12.6 du RGPD).
9. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Site web : www.cnil.fr/fr/plaintes
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
10. Cookies et traceurs
L'usage des cookies sur ce site est détaillé sur notre page dédiée à la gestion des cookies.
En résumé : seuls des cookies techniques strictement nécessaires au fonctionnement du site (session, sécurité) sont utilisés. Aucun cookie tiers, aucun cookie publicitaire, aucun cookie d'analyse comportementale n'est déposé. Aucun consentement n'est donc requis pour ces cookies (Art. 82 LIL, exemption pour les cookies strictement nécessaires).
11. Mineurs
Le service s'adresse exclusivement à des entreprises et professionnels. Aucune donnée de mineurs n'est sciemment collectée. Si vous êtes mineur, merci de ne pas utiliser ce service sans l'accord d'un représentant légal.
12. Modifications de la politique
Cette politique peut être modifiée pour refléter les évolutions du service ou de la réglementation. La date de dernière mise à jour est indiquée en haut de ce document. En cas de modification substantielle, les clients seront informés par email.
13. Contact
Pour toute question concernant cette politique :
- Email : contact@scanrgpd.fr