§ Confidentialité
Politique de confidentialité
Dernière mise à jour : 4 mai 2026
Conform-RGAA respecte le Règlement (UE) 2016/679 (RGPD) et la loi Informatique et Libertés du 6 janvier 1978 modifiée. Cette politique décrit les traitements de données mis en œuvre, leurs finalités, leurs durées de conservation et vos droits.
§ 01
Responsable de traitement
Le responsable de traitement est la SAS IAC IAVARONE CONSEIL, immatriculée au RCS de Clermont-Ferrand sous le numéro 932 210 339, dont le siège social est situé au 8 Boulevard Léon Malfreyt, 63000 Clermont-Ferrand, France.
Compte tenu de la taille de la structure et de la nature non sensible des traitements (absence de données particulières au sens de l'article 9 RGPD, pas de profilage automatisé à effet juridique), aucun délégué à la protection des données (DPO) n'a été désigné. Pour toute question relative à vos données, contactez : contact@rgaa-ia.fr.
§ 02
Données collectées et finalités
Le tableau ci-dessous récapitule, par catégorie, les données traitées, leur finalité, leur base légale RGPD et leur durée de conservation.
| Catégorie | Données | Finalité | Base légale | Conservation |
|---|---|---|---|---|
| Audit (preview) | URL du site soumis, adresse IP, user agent | Lancer l'analyse RGAA, prévenir l'abus (rate limit 3 audits / IP / heure) | Intérêt légitime (art. 6.1.f RGPD) | 12 mois puis purge automatique (cron pg_cron) |
| Compte client | Email, nom, raison sociale, SIRET (facultatif) | Envoi du lien magique de téléchargement, facturation, support | Exécution du contrat (art. 6.1.b RGPD) | 5 ans après dernière commande (durée légale comptable) |
| Paiement | Données de carte (chiffrées par Stripe), montant, date, ID transaction | Traitement du paiement, lutte anti-fraude, comptabilité | Exécution du contrat + obligation légale (art. 6.1.b et 6.1.c RGPD) | 10 ans (obligation comptable, art. L.123-22 Code de commerce) |
| Livrables | Findings d'audit, scores, contenu des documents générés | Mise à disposition au Client via lien magique 30 jours | Exécution du contrat (art. 6.1.b RGPD) | 12 mois (sauf demande de suppression anticipée) |
| Logs serveur | IP, horodatage, route HTTP, code réponse, agent utilisateur | Sécurité, détection d'incidents, performance | Intérêt légitime (art. 6.1.f RGPD) | 30 jours en production, 90 jours sur erreurs |
| Erreurs applicatives (Sentry) | Stack trace, version build, contexte (PII scrubées : SIRET et email retirés via beforeSend) | Diagnostic et correction des bugs | Intérêt légitime (art. 6.1.f RGPD) | 90 jours |
| Analytics produit (PostHog) | Événements anonymisés (audit_submitted, payment_completed, …), parcours, device | Mesure d'usage, amélioration du tunnel d'achat | Consentement (art. 6.1.a RGPD) | 13 mois |
| Statistiques (Google Analytics 4) | Pages vues, source de trafic, durée de session — IP anonymisée | Statistiques de fréquentation | Consentement (art. 6.1.a RGPD) | 14 mois |
§ 03
Destinataires et sous-traitants
Vos données ne sont jamais vendues ni communiquées à des tiers à des fins commerciales. Elles sont uniquement transmises aux sous-traitants techniques suivants, sélectionnés pour leur conformité RGPD :
| Sous-traitant | Rôle | Pays | Cadre RGPD |
|---|---|---|---|
| Vercel Inc. | Hébergement frontend (CDN Edge) | États-Unis (DPF) | Data Privacy Framework + Clauses Contractuelles Types (CCT) |
| Supabase Inc. | Base de données PostgreSQL (région eu-central-1, Francfort) | Singapour (entité) / UE (stockage) | Stockage exclusivement en UE — CCT 2021/914 |
| Railway Corp. | Worker d'audit Playwright | États-Unis (entité) / UE (exécution) | DPF + CCT — exécution région eu-west1 (Amsterdam) |
| Upstash Inc. | Redis (file de jobs, rate limiting) | États-Unis (entité) / UE (stockage) | Région eu-west-1 (Irlande) — DPF + CCT |
| Stripe Payments Europe Ltd. | Traitement des paiements | Irlande | Sous-traitant PCI-DSS niveau 1, DPA RGPD signée |
| Resend (R Software Ltd.) | Envoi d'emails transactionnels (factures, magic link) | États-Unis | DPF + CCT — option résidence UE activée |
| Sentry (Functional Software Inc.) | Monitoring d'erreurs applicatives | États-Unis | Région data UE (Francfort) — DPF + CCT, scrub PII actif |
| PostHog Inc. | Analytics produit | États-Unis (entité) / UE (stockage) | Cloud EU (Francfort) — DPF + CCT |
| Google LLC (GA4) | Statistiques de fréquentation | États-Unis | DPF + CCT, IP anonymisée, conservation 14 mois |
| Anthropic PBC | Génération assistée des livrables (Claude Sonnet) | États-Unis | DPF + CCT — pas d'entraînement sur les données API (zero data retention) |
| Google LLC (Gemini API) | Pré-tri des critères RGAA | États-Unis | DPF + CCT — pas d'entraînement sur les données API |
☞ Pour les transferts hors Union européenne, l'Éditeur s'appuie sur les décisions d'adéquation (notamment EU-US Data Privacy Framework pour les prestataires américains certifiés) et, à défaut, sur les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914).
§ 04
Cookies et traceurs
Conform-RGAA utilise un nombre minimal de cookies. Aucun cookie publicitaire ni de profilage n'est déposé sans votre consentement préalable.
Cookies strictement nécessaires (sans consentement)
- Session — identifiant temporaire du tunnel d'achat (durée : session). Indispensable au fonctionnement du paiement.
- Stripe — cookies anti-fraude déposés directement par Stripe lors du paiement (durée : 1 an). Cf. politique cookies Stripe.
- CSP nonce — jeton de sécurité de session, non lisible côté client.
Cookies soumis à consentement
- PostHog — analyse du parcours produit (durée : 13 mois).
- Google Analytics 4 — statistiques de fréquentation, IP anonymisée (durée : 14 mois).
Vous pouvez à tout moment modifier vos préférences depuis le bandeau cookies (lien « Gérer les cookies » en pied de page) ou directement dans votre navigateur.
§ 05
Vos droits RGPD
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès — obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
- Droit de rectification — corriger des données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») — demander la suppression de vos données, sous réserve des obligations légales de conservation (notamment comptables).
- Droit à la limitation — suspendre le traitement le temps de vérifier l'exactitude ou la légitimité.
- Droit à la portabilité — recevoir vos données dans un format structuré (JSON / CSV) ou les transférer à un tiers.
- Droit d'opposition — vous opposer aux traitements fondés sur l'intérêt légitime ou la prospection.
- Droit de définir des directives post-mortem — sur le sort de vos données après votre décès (art. 85 loi Informatique et Libertés).
Pour exercer ces droits, écrivez à contact@rgaa-ia.fr en précisant votre demande et en joignant un justificatif d'identité si nécessaire. Une réponse vous sera apportée dans le délai d'un mois (article 12.3 RGPD), prorogeable de deux mois en cas de complexité.
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
§ 06
Sécurité et mesures techniques
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256).
- Politique de sécurité du contenu (CSP) stricte avec nonces générés par requête.
- HSTS, X-Frame-Options, Permissions-Policy configurés sur l'ensemble du domaine.
- Liens magiques de téléchargement à usage unique, expiration 30 jours, jeton de 32 octets aléatoires.
- Rate limiting global (3 audits / IP / heure) via Upstash Ratelimit.
- Cloisonnement des rôles Supabase : Row Level Security (RLS) activée sur toutes les tables, clé service-role limitée aux flux serveur.
- Sentry beforeSend filtre les emails et SIRET avant envoi (cf. lib/shared/scrub-pii.ts).
- Sauvegardes automatiques quotidiennes (Supabase) chiffrées, restauration testée.