Document légal
Politique de confidentialité
Dernière mise à jour : 6 juillet 2026
La présente politique explique quelles données personnelles Heatpoints (édité par [Raison sociale], « nous ») collecte, pourquoi, combien de temps elles sont conservées, et quels sont vos droits. Le responsable de traitement est [Raison sociale, adresse].
1. Données que nous traitons
Compte
- Email et nom — création et gestion du compte, connexion, communications de service.
- Mot de passe — stocké uniquement sous forme de hachage (PBKDF2), jamais en clair.
- Clé API — pour authentifier vos appels programmatiques.
- Compteurs d'usage — nombre d'analyses consommées, pour appliquer votre quota.
Contenu que vous analysez
- URL et captures d'écran — lorsque vous analysez une page, notre serveur la visite, en réalise des captures (desktop / tablette / mobile) et calcule des cartes d'attention. Ces images composites et les métriques sont stockées pour vous permettre de rouvrir et partager vos rapports.
- Images uploadées — les designs que vous envoyez à l'outil sont traités pour produire une heatmap. Elles ne sont pas conservées au-delà du traitement, sauf intégration dans un rapport que vous enregistrez.
- Textes — le copy analysé (audit de texte, réécriture) est transmis au modèle de langage pour produire l'analyse.
Paiement
- Identifiant client Stripe et statut d'abonnement. Nous ne stockons aucune donnée de carte bancaire : le paiement est intégralement géré par Stripe.
Fonctionnalité Pulse (analytics comportementale)
Si vous installez le script Pulse sur votre propre site, il envoie des agrégats anonymes(compteurs de zones de survol, clics par sélecteur, profondeur de scroll) — sans cookie, sans identifiant de session, sans coordonnées brutes. L'adresse IP des visiteurs de votre site n'est utilisée que pour limiter le débit et n'est jamais stockée. Vos propres visiteurs ne sont pas pistés par notre service.
Journaux techniques
Adresse IP et métadonnées de requête pour la sécurité, la prévention d'abus et le rate-limiting.
2. Bases légales
- Exécution du contrat — compte, réalisation des analyses, facturation.
- Intérêt légitime — sécurité, prévention de la fraude, amélioration du service.
- Obligation légale — conservation des factures.
3. Sous-traitants et destinataires
Vos données peuvent être traitées par les prestataires suivants, dans le seul cadre du service :
| Prestataire | Finalité | Données |
|---|---|---|
| Hébergeur ([DigitalOcean]) | Hébergement, base de données, stockage des images | Toutes |
| Stripe | Paiement et abonnements | Email, données de facturation |
| NVIDIA NIM | Inférence des modèles de langage (audits, réécritures) | Textes et métriques analysés |
| [Fournisseur email / SMTP] | Emails transactionnels (codes, bienvenue) |
Certains prestataires peuvent être situés hors de l'Union européenne ; les transferts éventuels sont encadrés par les clauses contractuelles types de la Commission européenne. [Vérifier la localisation réelle de chaque prestataire retenu.]
4. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte (email, nom) | Jusqu'à suppression du compte |
| Rapports et captures associées | Jusqu'à suppression par vous, ou à la clôture du compte |
| Images uploadées (hors rapport enregistré) | Non conservées après traitement |
| Résultats de l'outil public « Score » | Cache de 24 h, puis purge [à confirmer] |
| Codes de vérification email | 10 minutes |
| Factures | Durée légale (10 ans) |
| Journaux techniques | [ex. 30 jours] |
| Agrégats Pulse | Anonymes ; conservés tant que le site est actif [à confirmer] |
5. Vos droits
Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité. Vous pouvez :
- modifier votre profil et régénérer votre clé API depuis vos paramètres ;
- supprimer vos rapports à tout moment ;
- demander la suppression complète de votre compte et de vos données en écrivant à [privacy@heatpoints.com].
Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).
6. Sécurité
Mots de passe hachés, accès aux rapports protégé (propriétaire ou jeton de partage), authentification par jeton ou clé API, chiffrement en transit (HTTPS). Aucun système n'est infaillible ; en cas de violation de données, nous appliquerons les obligations de notification prévues par le RGPD.
7. Contact
Pour toute question ou demande relative à vos données : [privacy@heatpoints.com]. [Désigner un DPO si applicable.]