1. Responsable du traitement
Lire cette section dans la version anglaise originale ↗Le responsable du traitement de l'ensemble des données personnelles traitées via la plateforme ComplianceGuard (complianceguardhq.com) est ComplianceGuard. Pour toute question relative à la vie privée ou pour exercer vos droits, contactez-nous à admin@complianceguardhq.com.
2. Données que nous collectons
Lire cette section dans la version anglaise originale ↗Nous ne collectons que ce qui est nécessaire à la fourniture du Service. Nous ne vendons pas de données personnelles et ne les utilisons pas à des fins publicitaires.
2.1 Données de compte
À la création de votre compte, nous collectons votre adresse e-mail et un mot de passe haché (votre mot de passe en clair ne nous est jamais visible — l'authentification est assurée par notre prestataire géré). Si vous le souhaitez, nous pouvons également conserver le nom de votre entreprise.
2.2 Données de scan
Lorsque vous soumettez une URL à analyser, nous collectons et conservons : la ou les URL soumises ; le code source HTML, le texte visible et des captures d'écran pleine page des pages publiquement accessibles à ces URL, au moment du scan ; les métadonnées des requêtes réseau observées lors du scan (par exemple, les domaines de traceurs tiers détectés avant le consentement aux cookies) ; et la sortie structurée de notre analyse algorithmique (manquements, scores de risque, recommandations et certificats).
Important : nous n'analysons que des pages publiquement accessibles. Nous n'accédons pas aux données personnelles de vos clients ou visiteurs, ne les stockons pas et ne les traitons pas. Nous n'explorons pas les pages authentifiées ou réservées. Toute donnée de visiteur apparaissant incidemment dans une capture d'écran d'une page publique n'est pas traitée comme une donnée personnelle et est supprimée selon le calendrier applicable à l'enregistrement de scan (section 6).
Soumissions anonymes : si vous soumettez un scan sans créer de compte, nous collectons également l'adresse e-mail que vous indiquez afin de vous envoyer le résultat et, à votre choix, un lien magique de connexion. Cette adresse est conservée 30 jours puis supprimée automatiquement, sauf si vous créez un compte ; dans ce cas, les scans anonymes effectués avec cette adresse sont rattachés à votre compte.
2.3 Données de paiement
Les données de paiement et de facturation (numéros de carte, adresse de facturation) sont traitées directement par notre prestataire de paiement (certifié PCI-DSS niveau 1). Nous ne recevons ni ne conservons les détails complets de la carte. Nous ne conservons que votre offre, l'état de votre abonnement et un identifiant client à des fins de gestion de la facturation.
2.4 Données d'usage et techniques
Nous conservons des journaux serveur classiques comprenant adresses IP, type de navigateur, URL de provenance et pages visitées sur notre plateforme, à des fins de supervision de sécurité, de limitation de débit et de prévention des abus. Ces données ne sont pas reliées à votre compte à des fins publicitaires.
2.5 Communications
Si vous nous contactez via notre formulaire ou par e-mail, nous conservons la correspondance pour répondre à votre demande et à des fins de traçabilité interne. Si vous vous abonnez aux notifications de scan, nous conservons votre adresse e-mail à cette fin.
3. Comment nous utilisons vos données
Lire cette section dans la version anglaise originale ↗Chaque finalité de traitement est ajustée au strict minimum de données requis :
| Finalité | Données utilisées |
|---|---|
| Fourniture du scan et de l'analyse | URL de scan, contenu de page, captures d'écran |
| Authentification et gestion de session | E-mail, mot de passe haché, jeton de session |
| Diffusion des rapports et des certificats | Résultats de scan, adresse e-mail |
| Alertes de re-scan automatique (Pro/Growth/Agency) | Adresse e-mail, résultats de scan |
| Traitement des paiements d'abonnement | Identifiant client, état de l'abonnement |
| Prévention de la fraude et limitation de débit | Adresse IP, journaux d'usage |
| Réponse aux demandes de support | Adresse e-mail, contenu de la correspondance |
| Amélioration de nos algorithmes (agrégée, non identifiable) | Schémas de scan anonymisés |
4. Base légale du traitement (RGPD art. 6)
Lire cette section dans la version anglaise originale ↗Pour les utilisateurs situés dans l'EEE, nos bases légales sont les suivantes :
Art. 6, § 1, b — Exécution d'un contrat : le traitement des données de compte, de scan et de référence de paiement est nécessaire à la fourniture du Service que vous avez souscrit.
Art. 6, § 1, f — Intérêts légitimes : le traitement des données techniques et d'usage à des fins de supervision de sécurité, de prévention de la fraude et de stabilité du service, sous réserve que vos droits ne prévalent pas.
Art. 6, § 1, a — Consentement : pour toute communication marketing optionnelle (que nous n'envoyons pas actuellement), nous nous appuierons sur un consentement libre, spécifique et éclairé, que vous pouvez retirer à tout moment.
Art. 6, § 1, c — Obligation légale : lorsque nous sommes tenus de conserver certaines pièces à des fins fiscales, comptables ou de conformité.
5. Prestataires de services (sous-traitants) au sens de l'article 28 RGPD
Lire cette section dans la version anglaise originale ↗Nous faisons appel à un nombre restreint de prestataires soigneusement évalués. Chacun est lié par un contrat de sous-traitance écrit conforme à l'article 28 RGPD — incluant des obligations de confidentialité, de sécurité, des restrictions à l'engagement de sous-traitants ultérieurs, des droits d'audit et une assistance à l'exercice de vos droits.
Notre liste actuelle est regroupée ci-dessous par fonction plutôt que par marque. L'objectif est de vous donner une vue claire de la manière dont chaque fonction traite vos données tout en évitant que les détails opérationnels de notre stack technique ne soient agrégés à des fins de sécurité — sans limiter votre capacité à exercer vos droits au titre des articles 15 à 22 RGPD.
| Catégorie | Finalité | Localisation et mécanisme de transfert |
|---|---|---|
| Base de données et infrastructure d'authentification gérées dans le cloud | Stockage de votre compte, de votre historique de scans et authentification des sessions | Juridiction couverte par une décision d'adéquation de l'UE (décision d'exécution (UE) 2019/419) |
| Hébergement applicatif et CDN en périphérie | Diffusion du site public et du tableau de bord client | Infrastructure UE et États-Unis ; transferts vers les États-Unis couverts par les clauses contractuelles types de la Commission européenne (décision 2021/914/UE) |
| Rendu de navigateur sans interface cloud | Chargement des sites publics que vous nous demandez d'auditer et capture de leur contenu | États-Unis ; clauses contractuelles types |
| Orchestration de jobs en arrière-plan | Coordination de chaque scan, de la soumission au résultat | États-Unis ; clauses contractuelles types |
| Analyse de contenu par grand modèle de langage | Compléter nos détecteurs déterministes par une interprétation du contenu ; le prestataire est contractuellement tenu de ne pas utiliser vos données pour entraîner ses modèles | États-Unis ; clauses contractuelles types |
| Distribution d'e-mails transactionnels | Envoi des notifications de fin de scan, des e-mails de compte et des avis de certificat | États-Unis ; clauses contractuelles types |
| Surveillance des erreurs et des performances | Diagnostic des incidents et garantie de disponibilité | Union européenne (Francfort, Allemagne) |
| Traitement des paiements | Gestion de la facturation de votre abonnement | Union européenne |
Vous pouvez obtenir à tout moment, gratuitement, la liste nominative actuelle de nos sous-traitants en écrivant à admin@complianceguardhq.com. Nous répondrons sous 30 jours.
Avant tout ajout ou remplacement d'un sous-traitant susceptible d'affecter sensiblement la manière dont nous traitons vos données, nous vous en informerons au moins 30 jours à l'avance, afin que vous puissiez vous y opposer avant son effet.
6. Durées de conservation
Lire cette section dans la version anglaise originale ↗Nous conservons les données pour la durée minimale nécessaire à chaque finalité :
| Type de donnée | Durée de conservation |
|---|---|
| Données de compte (e-mail, authentification) | Durée du compte + 30 jours après la demande de suppression |
| Résultats et rapports de scan | Durée de l'abonnement actif + 90 jours après résiliation |
| Captures d'écran pleine page | 90 jours à compter de la date du scan |
| HTML brut / texte de page capturé lors du scan | 30 jours à compter de la date du scan |
| Certificats de conformité émis | 7 ans (obligation de conservation légale) |
| Pièces des transactions de paiement | 7 ans (obligations fiscales/comptables) |
| Journaux serveur / sécurité | 90 jours |
| Correspondance de support | 3 ans à compter de la dernière interaction |
Lorsque vous supprimez votre compte, nous lançons la suppression sous 30 jours. Certains documents (certificats, pièces de paiement) sont conservés plus longtemps uniquement pour satisfaire des obligations légales ; ils ne vous sont plus accessibles et ne sont utilisés à aucune autre fin.
7. Transferts internationaux de données
Lire cette section dans la version anglaise originale ↗Certains des prestataires mentionnés par fonction à la section 5 opèrent en dehors de l'EEE. Les données personnelles que nous détenons peuvent ainsi être transférées vers : une juridiction couverte par une décision d'adéquation de l'UE au titre de l'article 45 RGPD (en l'espèce, le pays reconnu par la décision d'exécution (UE) 2019/419), lorsque la décision constitue le mécanisme de transfert légal sans garanties supplémentaires ; les États-Unis, où nous nous appuyons sur les clauses contractuelles types adoptées par la Commission européenne en vertu de la décision d'exécution (UE) 2021/914 (les « CCT ») ; et l'Union européenne, où aucun mécanisme de transfert supplémentaire n'est requis.
Lorsque nous nous appuyons sur les CCT, nous avons réalisé une analyse d'impact sur les transferts (TIA) qui soutient leur utilisation continue. Les mesures supplémentaires que nous mobilisons à côté des CCT comprennent le chiffrement en transit (TLS) et au repos, des contrôles d'accès fondés sur les rôles dans nos systèmes internes, et l'interdiction contractuelle faite au prestataire de grand modèle de langage d'utiliser vos données pour entraîner ses modèles.
Des copies des CCT sur lesquelles nous nous appuyons ainsi qu'un résumé de l'analyse d'impact sont disponibles sur demande à admin@complianceguardhq.com.
8. Vos droits au titre du RGPD
Lire cette section dans la version anglaise originale ↗Si vous êtes situé dans l'EEE, vous disposez des droits suivants concernant vos données personnelles. Pour les exercer, écrivez à admin@complianceguardhq.com. Nous répondons sous 30 jours.
- Droit d'accès (art. 15): Demander une copie de l'ensemble des données personnelles que nous détenons à votre sujet.
- Droit de rectification (art. 16): Demander la correction de données inexactes ou incomplètes.
- Droit à l'effacement (art. 17): Demander la suppression de vos données (« droit à l'oubli »), sous réserve des obligations légales de conservation.
- Droit à la limitation (art. 18): Demander la limitation du traitement le temps d'un litige.
- Droit à la portabilité (art. 20): Recevoir vos données de compte et de scan dans un format structuré et lisible par machine (JSON/CSV).
- Droit d'opposition (art. 21): Vous opposer à un traitement fondé sur l'intérêt légitime.
- Droit de retrait du consentement (art. 7, § 3): Retirer à tout moment un consentement préalable, sans remettre en cause la licéité antérieure du traitement.
- Droit d'introduire une réclamation: Vous avez le droit d'introduire une réclamation auprès de votre autorité de contrôle nationale. La liste des autorités européennes est disponible sur edpb.europa.eu.
Nous pourrons vous demander de vérifier votre identité avant de répondre à votre demande. Aucune redevance n'est perçue pour les demandes standard.
10. Données des mineurs
Lire cette section dans la version anglaise originale ↗Le Service s'adresse aux utilisateurs professionnels (marchands, développeurs, agences) et n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous estimez que cela s'est produit par inadvertance, contactez-nous à admin@complianceguardhq.com — nous supprimerons les données rapidement.
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées, notamment :
- Chiffrement en transit (TLS 1.2+) pour l'ensemble des données
- Chiffrement au repos (AES-256) des enregistrements de base de données
- Politiques Row-Level Security garantissant que les utilisateurs n'accèdent qu'à leurs propres scans
- Séparation de la clé de rôle service — les opérations d'administration utilisent une clé serveur jamais exposée au navigateur
- Limitation de débit sur tous les points de terminaison de scan et d'authentification
- Clés API stockées en variables d'environnement côté serveur, jamais dans les bundles client
Aucun système n'est totalement sécurisé. Si vous découvrez une vulnérabilité, divulguez-la de manière responsable à admin@complianceguardhq.com.
12. Modifications de la présente politique
Lire cette section dans la version anglaise originale ↗Nous pouvons mettre à jour cette politique de temps à autre. En cas de modifications substantielles, nous mettrons à jour la date « Dernière mise à jour » en haut de la page et, lorsque les changements affectent significativement vos droits, nous vous en informerons par e-mail au moins 14 jours à l'avance. La poursuite de l'utilisation après la date d'effet vaut acceptation de la politique mise à jour.
13. Contact et demandes de protection des données
Lire cette section dans la version anglaise originale ↗Pour toute question relative à la vie privée, demande d'exercice de droit ou réclamation, contactez-nous à admin@complianceguardhq.com. Contact général : complianceguardhq.com/contact.
Si notre réponse ne vous satisfait pas, vous avez le droit d'introduire une réclamation auprès de votre autorité nationale de protection des données. Trouvez votre autorité sur edpb.europa.eu.