Politique de confidentialité

1. Qui sommes-nous — responsable du traitement

Le responsable du traitement des données collectées via le site et le service Veille concurrentielle est :

• [Raison sociale ou nom]
• [Adresse du siège]
• Contact données personnelles : [privacy@exemple.fr]

Il n’est pas désigné de DPO au sens du RGPD sauf obligation légale ; le contact ci-dessus assure le lien avec les personnes concernées. [Adapter si DPO nommé]

2. Données collectées et finalités

Les catégories de données et finalités suivantes sont notamment concernées (alignées sur le registre des traitements) :

• Compte utilisateur — identifiant fourni par le prestataire d’authentification, adresse e-mail, plan d’abonnement, préférences de notification et de digest — pour créer et gérer le compte, la facturation et les communications liées au service.
• Workspace — nom du workspace, éventuellement URL de webhook Slack (souvent chiffrée en base) — pour le fonctionnement du produit et les notifications.
• Veille — concurrents, URLs surveillées, snapshots (contenu textuel, hash, liens vers fichiers sur stockage objet), changements détectés, résumés ou métadonnées produits par l’IA — pour la détection de changements, l’historique selon le plan, les alertes et digests.
• Alertes et digests — traces d’envoi (canal, statut) et contenus de digest — pour la traçabilité et l’envoi des e-mails.
• Usage IA — journaux techniques (fonctionnalité, modèle, volumes de tokens, coût agrégé ; pas de stockage systématique des prompts dans les exports utilisateur prévus) — pour quotas, facturation interne et sécurité du service.
• Journaux techniques — adresse IP, user-agent, logs hébergeur — pour la sécurité, le diagnostic et la conformité.
• Paiement — données gérées par Stripe (pas de numéro de carte complet stocké sur nos serveurs) — pour l’abonnement.
• Analytics (optionnel) — événements produit avec identifiant pseudonymisé si vous avez consenti — pour améliorer le produit.

3. Bases légales

Selon les traitements : exécution du contrat ou mesures précontractuelles (fourniture du service, facturation, support) ; intérêt légitime (sécurité, amélioration du service, limites de débit, certains journages techniques) ; consentement pour les traceurs analytics non strictement nécessaires et l’envoi d’événements analytics associés lorsque requis ; obligations légales le cas échéant (conservation comptable, réponse aux autorités).

4. Durées de conservation

Données de compte et de workspace : pendant la durée de la relation contractuelle, puis suppression ou anonymisation sous réserve des obligations légales (ex. comptabilité). Données de veille (snapshots, changements) : selon les paramètres du plan et la politique produit (durées indicatives typiques de l’ordre de quelques semaines à un an pour certains contenus — à affiner contractuellement). Journaux techniques hébergeur : selon les politiques du prestataire (souvent de l’ordre de quelques jours à quelques semaines). Les durées exactes peuvent être précisées sur demande ou dans les conditions particulières.

5. Destinataires et sous-traitants

Des données peuvent être transmises aux prestataires suivants, dans la stricte mesure nécessaire à leurs missions :

• Clerk (authentification) — États-Unis — transfert encadré par les clauses contractuelles types de la Commission européenne et/ou le Data Privacy Framework (DPF) lorsque applicable.
• Stripe (paiement) — États-Unis / pays du traitement Stripe — SCC et/ou DPF selon les offres.
• Resend (e-mails) et Cloudflare (réseau, R2) — en fonction des régions et produits activés — mécanismes de transfert conformes aux exigences applicables (SCC, DPF, ou hébergement UE selon configuration).
• Supabase (base de données) — selon la région du projet (UE, USA, etc.) configurée dans votre console.
• Anthropic (traitements d’IA sur les contenus nécessaires aux fonctionnalités) — États-Unis — SCC et mesures complémentaires selon l’état de la documentation fournisseur.
• PostHog (analytics optionnel) — selon la région d’hébergement du projet (UE ou USA) et votre consentement.
• Vercel (hébergement applicatif), Upstash (Redis), Sentry (supervision d’erreurs, sans données d’identification directe volontairement transmises dans la configuration recommandée) — selon documentation contractuelle du prestataire.

La liste peut évoluer ; une mise à jour substantielle de cette politique pourra vous être notifiée.

6. Vos droits

Dans les conditions prévues par le RGPD, vous disposez des droits suivants :

• Droit d’accès et de rectification — via l’espace compte (Clerk) pour les données de profil, et par contact pour les données supplémentaires détenues dans nos bases.
• Droit à l’effacement — bouton de suppression de compte dans les paramètres du service (effets décrits au moment de l’action), sous réserves légales.
• Droit à la portabilité — export structuré (ZIP / JSON) disponible depuis les paramètres du compte.
• Droit d’opposition — notamment au traitement fondé sur l’intérêt légitime, dans les limites prévues par la loi ; pour l’analytics non essentiel, via les préférences cookies.
• Droit de limitation et retrait du consentement lorsque le traitement est fondé sur le consentement.

Pour exercer ces droits : [privacy@exemple.fr] en joignant un justificatif d’identité si nécessaire. Réponse sous un délai d’un mois en règle générale, prolongeable selon la complexité.

7. Transferts hors Union européenne

Certains sous-traitants sont situés ou peuvent traiter des données depuis des pays ne bénéficiant pas d’une décision d’adéquation. Dans ce cas, nous nous appuyons sur les instruments reconnus (clauses contractuelles types, DPF le cas échéant, mesures techniques et organisationnelles complémentaires) conformément aux exigences du RGPD.

8. Sécurité

Des mesures techniques et organisationnelles appropriées sont mises en œuvre (connexions chiffrées, contrôle d’accès, isolation des données par compte, secrets et clés hors dépôt public, limitation de débit, journalisation limitée au nécessaire). Aucune mesure n’étant absolue, une compromission ne peut être exclue ; en cas d’incident affectant vos données, une notification pourra être effectuée selon la réglementation.

9. Modifications de cette politique

La présente politique peut être mise à jour pour refléter l’évolution du service ou des obligations légales. La date de mise à jour figure en tête de page ; une information plus visible pourra être donnée en cas de changement majeur.

10. Contact

Référent données : [privacy@exemple.fr]

11. Réclamation auprès de l’autorité de contrôle

Vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr) ou de l’autorité de votre pays de résidence habituelle.