Politique de confidentialité

Dernière mise à jour : 24 avril 2026 — Version 2.0

1. Identité du responsable du traitement

Le service IndiceIA est exploité par Peritus slf., société de droit islandais établie à Mosfellsbær (Islande), ci-après « Peritus », « nous » ou « notre ». Peritus est le responsable du traitement au sens de l'article 4(7) du Règlement général sur la protection des données (UE) 2016/679 (« RGPD ») pour les données collectées via indiceia.fr, indiceia.es et indiceia.it.

Bien qu'établi hors de l'Union européenne, Peritus soumet ses traitements au RGPD dès lors que le Service cible des résidents de l'UE (article 3(2) RGPD), ainsi qu'à la loi islandaise sur la protection des données n° 90/2018.

Délégué à la protection des données : Peritus n'est pas tenu de désigner un DPO au sens de l'article 37 du RGPD. Pour toute question relative à vos données, contactez privacy@indiceia.fr.

2. Données que nous collectons

Informations que vous nous fournissez

Analyse gratuite (sans compte) : lorsque vous utilisez l'analyse gratuite, nous recevons uniquement l'intitulé du métier que vous recherchez. Aucun compte n'est créé, aucun profil utilisateur n'est conservé, et aucune information personnelle ne vous est demandée.

Achat de rapports et packs : lors de l'achat d'un rapport ou d'un pack, nous collectons votre adresse email afin de vous livrer le lien d'accès au rapport. Les informations de paiement (numéro de carte, adresse de facturation) sont traitées exclusivement par Paddle, notre Merchant of Record — nous ne recevons jamais vos données de carte bancaire.

Informations collectées automatiquement

Les requêtes HTTP reçues par notre infrastructure d'hébergement (Vercel) contiennent des métadonnées techniques standard (chemin d'URL, code de réponse, agent utilisateur). Ces métadonnées sont traitées par Vercel dans le cadre normal du service d'hébergement web.

Mesure d'audience — Vercel Analytics : nous utilisons Vercel Analytics pour obtenir des statistiques d'audience agrégées (pages vues, performances). Vercel Analytics est sans cookie et ne définit aucun identifiant de suivi persistant. Il n'est pas possible, à partir de ces statistiques, d'identifier un utilisateur individuel, de reconstituer son parcours entre sessions, ni d'effectuer un suivi entre sites.

Nous ne mettons en œuvre aucun autre outil d'analyse comportementale, aucune heatmap, aucun enregistrement de session ni aucun pixel de suivi tiers.

3. Finalités du traitement

• Exécution du service : fournir le résultat de l'analyse gratuite pour le métier recherché.
• Livraison des rapports : générer votre rapport, envoyer l'email de livraison avec lien d'accès, et faire respecter la durée d'accès (30 jours pour les acheteurs sans abonnement).
• Communications transactionnelles : confirmations d'achat, avis de renouvellement et messages relatifs au support.
• Sécurité et prévention des fraudes : protection contre les usages abusifs du Service.

Nous ne vendons pas vos données personnelles. Nous ne les utilisons ni à des fins publicitaires, ni à des fins de profilage comportemental.

Décisions automatisées (article 22 RGPD) : les scores d'exposition à l'IA produits par le Service concernent des métiers, non des personnes. Le Service ne prend aucune décision produisant des effets juridiques ou significatifs vous concernant au sens de l'article 22 du RGPD.

4. Bases juridiques du traitement

• Exécution d'un contrat (art. 6(1)(b) RGPD) : traitement de votre email, de vos achats pour délivrer les produits et services que vous avez achetés.
• Intérêt légitime (art. 6(1)(f) RGPD) : protection de la sécurité du Service et prévention des abus. Cet intérêt ne prévaut pas sur vos droits et libertés.
• Consentement (art. 6(1)(a) RGPD) : pour toute communication optionnelle au-delà des emails transactionnels. Vous pouvez retirer votre consentement à tout moment sans que cela affecte la licéité des traitements antérieurs.
• Obligation légale (art. 6(1)(c) RGPD) : les registres de paiement sont conservés par Paddle conformément aux obligations fiscales et comptables applicables.

5. Sous-traitants tiers

Nous faisons appel aux sous-traitants suivants (article 28 RGPD). Chacun traite les données uniquement sur nos instructions, dans le cadre d'un accord de traitement des données, et dans le respect du RGPD :

• Paddle.com Market Limited (Londres, Royaume-Uni) — Merchant of Record et processeur de paiement. Reçoit vos données de carte, votre email de facturation et votre pays pour traiter les paiements, émettre des factures conformes à la TVA, et gérer les remboursements. Paddle agit comme responsable de traitement indépendant pour les données de paiement.
• Supabase — authentification et base de données. Région UE (Francfort). Stocke votre email, votre mot de passe haché (le cas échéant), les jetons de session d'authentification.
• Resend — envoi des emails transactionnels. Reçoit votre adresse email et le contenu des emails (liens de livraison, notifications).
• Vercel — hébergement de l'application et mesure d'audience (Vercel Analytics). Traite les métadonnées de requêtes HTTP dans le cadre normal du service web et produit des statistiques agrégées sans cookie.

6. Données que nous ne collectons pas

Pour être explicite, les données suivantes ne sont pas collectées :

• Adresses IP brutes persistées en base
• Cookies publicitaires ou de remarketing
• Cookies ou pixels d'analyse comportementale
• Numéros de téléphone
• Adresses postales physiques
• Numéros de carte bancaire ou codes CVV
• Numéros d'identification nationale
• Empreintes de navigateur ou identifiants d'appareil
• Données de profilage comportemental (enregistrements de session, heatmaps, suivi individuel)

7. Durées de conservation

• Registres de paiement : conservés par Paddle selon les obligations fiscales applicables (typiquement 7 ans). Nous ne conservons que les identifiants de transaction et d'abonnement Paddle nécessaires à la gestion de votre compte.
• Données de compte (email) : conservées tant que votre compte est actif. Sur demande vérifiée de suppression, elles sont effacées dans un délai de 30 jours, sauf obligation légale de conservation.
• Contenu des rapports : les liens d'accès aux rapports pour acheteurs sans abonnement restent actifs pendant 30 jours à compter de la génération.
• Enregistrements de consentement : 5 ans après la dernière interaction, à des fins de preuve.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Droit d'accès (art. 15) : obtenir une copie des données personnelles que nous détenons à votre sujet.
• Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
• Droit à l'effacement (art. 17) : demander la suppression de vos données (« droit à l'oubli »), sous réserve de nos obligations légales de conservation.
• Droit à la limitation (art. 18) : demander la restriction du traitement dans certains cas.
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
• Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime.
• Droit de retirer votre consentement (art. 7(3)) : lorsque le traitement repose sur le consentement, vous pouvez le retirer à tout moment sans affecter la licéité des traitements antérieurs.

Pour exercer ces droits, écrivez à privacy@indiceia.fr. Nous répondrons dans un délai de 30 jours (article 12(3) RGPD), sans frais.

9. Transferts hors Union européenne

Peritus est établi en Islande, membre de l'Espace économique européen (EEE). L'Islande applique le RGPD et bénéficie à ce titre du même niveau de protection que les États membres de l'UE.

Certains de nos sous-traitants peuvent traiter des données depuis des serveurs situés hors EEE (notamment Vercel aux États-Unis). Ces transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (article 46(2)(c) RGPD) et, lorsqu'applicable, par la décision d'adéquation du EU–US Data Privacy Framework (décision de la Commission du 10 juillet 2023).

10. Cookies

Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement du Service. Conformément à la directive ePrivacy (2002/58/CE) et à l'article 82 de la loi Informatique et Libertés, ces cookies ne requièrent pas votre consentement préalable car ils sont indispensables à la fourniture du service que vous demandez.

• indiceia-locale — cookie de routage linguistique, mémorise la langue sélectionnée pour servir le domaine correspondant. Durée : 365 jours.
• Cookies de session Supabase — définis uniquement lorsque vous vous connectez à un compte. Nécessaires à l'authentification.

Nous ne mettons en place ni ne tolérons :

• Cookies publicitaires ou de remarketing
• Cookies d'analyse comportementale
• Pixels de suivi tiers ou pixels sociaux
• Identifiants de suivi persistants de quelque nature que ce soit

11. Sécurité

Conformément à l'article 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles appropriées :

• Chiffrement TLS pour toutes les données en transit (imposé par Vercel).
• Row-Level Security (RLS) sur toutes les tables Supabase, afin qu'un utilisateur ne puisse accéder qu'à ses propres données.
• Jetons d'accès aux rapports générés cryptographiquement, sans identifiants prévisibles.
• Comparaisons en temps constant pour la vérification des signatures de webhooks et autres secrets.
• Hébergement en Europe (Supabase région Francfort, Resend infrastructure européenne).

Aucune méthode de transmission ou de stockage électronique n'étant totalement sûre, signalez toute préoccupation de sécurité à privacy@indiceia.fr.

12. Modifications de la présente politique

Nous pouvons mettre à jour cette politique pour refléter les évolutions du Service, de la législation applicable ou de nos pratiques de traitement. Toute modification substantielle sera communiquée par email aux utilisateurs enregistrés au moins 14 jours avant son entrée en vigueur. La date de « Dernière mise à jour » en haut de cette page indique la dernière révision.

13. Contact et autorité de contrôle

Pour toute question relative à la présente politique ou pour exercer vos droits :

Peritus slf.
Kvíslartunga 70
270 Mosfellsbær, Islande
Email : privacy@indiceia.fr

Si vous n'êtes pas satisfait de notre réponse, vous avez le droit d' introduire une réclamation auprès d'une autorité de contrôle, notamment :

• CNIL (Commission nationale de l'informatique et des libertés), autorité française : www.cnil.fr
• Persónuvernd, autorité islandaise de protection des données : personuvernd.is