Document légal

Politique de confidentialité

Dernière mise à jour : 6 juillet 2026

Modèle conforme à l'esprit du RGPD, à faire valider par un juriste. Les mentions [à compléter] (identité du responsable de traitement, DPO éventuel, durées exactes) doivent être renseignées avant publication.

La présente politique explique quelles données personnelles Heatpoints (édité par [Raison sociale], « nous ») collecte, pourquoi, combien de temps elles sont conservées, et quels sont vos droits. Le responsable de traitement est [Raison sociale, adresse].

1. Données que nous traitons

Compte

  • Email et nom — création et gestion du compte, connexion, communications de service.
  • Mot de passe — stocké uniquement sous forme de hachage (PBKDF2), jamais en clair.
  • Clé API — pour authentifier vos appels programmatiques.
  • Compteurs d'usage — nombre d'analyses consommées, pour appliquer votre quota.

Contenu que vous analysez

  • URL et captures d'écran — lorsque vous analysez une page, notre serveur la visite, en réalise des captures (desktop / tablette / mobile) et calcule des cartes d'attention. Ces images composites et les métriques sont stockées pour vous permettre de rouvrir et partager vos rapports.
  • Images uploadées — les designs que vous envoyez à l'outil sont traités pour produire une heatmap. Elles ne sont pas conservées au-delà du traitement, sauf intégration dans un rapport que vous enregistrez.
  • Textes — le copy analysé (audit de texte, réécriture) est transmis au modèle de langage pour produire l'analyse.

Paiement

  • Identifiant client Stripe et statut d'abonnement. Nous ne stockons aucune donnée de carte bancaire : le paiement est intégralement géré par Stripe.

Fonctionnalité Pulse (analytics comportementale)

Si vous installez le script Pulse sur votre propre site, il envoie des agrégats anonymes(compteurs de zones de survol, clics par sélecteur, profondeur de scroll) — sans cookie, sans identifiant de session, sans coordonnées brutes. L'adresse IP des visiteurs de votre site n'est utilisée que pour limiter le débit et n'est jamais stockée. Vos propres visiteurs ne sont pas pistés par notre service.

Journaux techniques

Adresse IP et métadonnées de requête pour la sécurité, la prévention d'abus et le rate-limiting.

2. Bases légales

  • Exécution du contrat — compte, réalisation des analyses, facturation.
  • Intérêt légitime — sécurité, prévention de la fraude, amélioration du service.
  • Obligation légale — conservation des factures.

3. Sous-traitants et destinataires

Vos données peuvent être traitées par les prestataires suivants, dans le seul cadre du service :

PrestataireFinalitéDonnées
Hébergeur ([DigitalOcean])Hébergement, base de données, stockage des imagesToutes
StripePaiement et abonnementsEmail, données de facturation
NVIDIA NIMInférence des modèles de langage (audits, réécritures)Textes et métriques analysés
[Fournisseur email / SMTP]Emails transactionnels (codes, bienvenue)Email

Certains prestataires peuvent être situés hors de l'Union européenne ; les transferts éventuels sont encadrés par les clauses contractuelles types de la Commission européenne. [Vérifier la localisation réelle de chaque prestataire retenu.]

4. Durées de conservation

DonnéeDurée
Compte (email, nom)Jusqu'à suppression du compte
Rapports et captures associéesJusqu'à suppression par vous, ou à la clôture du compte
Images uploadées (hors rapport enregistré)Non conservées après traitement
Résultats de l'outil public « Score »Cache de 24 h, puis purge [à confirmer]
Codes de vérification email10 minutes
FacturesDurée légale (10 ans)
Journaux techniques[ex. 30 jours]
Agrégats PulseAnonymes ; conservés tant que le site est actif [à confirmer]

5. Vos droits

Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité. Vous pouvez :

  • modifier votre profil et régénérer votre clé API depuis vos paramètres ;
  • supprimer vos rapports à tout moment ;
  • demander la suppression complète de votre compte et de vos données en écrivant à [privacy@heatpoints.com].

Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).

6. Sécurité

Mots de passe hachés, accès aux rapports protégé (propriétaire ou jeton de partage), authentification par jeton ou clé API, chiffrement en transit (HTTPS). Aucun système n'est infaillible ; en cas de violation de données, nous appliquerons les obligations de notification prévues par le RGPD.

7. Contact

Pour toute question ou demande relative à vos données : [privacy@heatpoints.com]. [Désigner un DPO si applicable.]