Politique de confidentialité

Dernière mise à jour : avril 2026

AVRIS s'engage à protéger la vie privée de ses utilisateurs conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

1. Responsable du traitement

• Identité : [À COMPLÉTER : nom / raison sociale]
• Adresse : [À COMPLÉTER : adresse]
• Email : [À COMPLÉTER : dpo@avris.fr ou contact@avris.fr]

2. Données collectées

2.1 Données de compte

• Adresse email
• Mot de passe (hashé, jamais stocké en clair)
• Nom (optionnel)
• Date d'inscription

2.2 Données de navigation

• Pages visitées (via Plausible Analytics, sans cookies, sans données personnelles)
• Événements d'utilisation anonymisés (scans, analyses, actions)

2.3 Données de paiement

• Informations de facturation (traitées par Stripe, jamais stockées sur nos serveurs)
• Historique des abonnements

2.4 Données de projet

• URLs analysées
• Concurrents identifiés
• Scores et analyses générés
• Actions recommandées et leur statut

3. Finalités et bases légales

• Exécution du contrat(art. 6.1.b RGPD) : gestion du compte, fourniture du service d'analyse, traitement des paiements
• Intérêt légitime (art. 6.1.f RGPD) : amélioration du service, analyses statistiques anonymisées, prévention de la fraude
• Consentement (art. 6.1.a RGPD) : cookies marketing (si acceptés), emails de conversion (désinscription possible)
• Obligation légale (art. 6.1.c RGPD) : conservation des factures, réponse aux demandes des autorités

4. Durée de conservation

• Données de compte : durée de l'abonnement + 3 ans après suppression
• Données de projet : durée de l'abonnement + 6 mois
• Données de paiement : 10 ans (obligation comptable)
• Logs de sécurité : 12 mois
• Données analytiques : agrégées et anonymisées (conservation illimitée)

5. Destinataires des données

Vos données peuvent être transmises aux sous-traitants suivants :

• Supabase (base de données) — Région EU Frankfurt — Politique de confidentialité
• Stripe (paiements) — Certifié PCI DSS — Politique de confidentialité
• Vercel (hébergement) — Politique de confidentialité
• Plausible Analytics (analytics cookieless) — Hébergé en UE — Politique données
• Resend (emails transactionnels) — Politique de confidentialité
• Google Gemini API (analyse IA) — Les données envoyées à l'API ne sont pas utilisées pour l'entraînement

6. Transferts hors UE

Certains sous-traitants (Vercel, Stripe, Google) sont basés aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne et/ou le EU-US Data Privacy Framework.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès (art. 15) : obtenir une copie de vos données
• Droit de rectification (art. 16) : corriger vos données inexactes
• Droit à l'effacement (art. 17) : demander la suppression de vos données
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré
• Droit d'opposition (art. 21) : vous opposer au traitement de vos données
• Droit à la limitation (art. 18) : limiter le traitement de vos données

Pour exercer ces droits, contactez-nous à : [À COMPLÉTER : dpo@avris.fr ou contact@avris.fr]. Nous répondrons dans un délai de 30 jours.

8. Sécurité

AVRIS met en œuvre les mesures de sécurité suivantes :

• Chiffrement TLS en transit (HTTPS obligatoire)
• Chiffrement AES-256 au repos (Supabase)
• Row Level Security (RLS) sur toutes les tables
• Authentification JWT avec tokens de courte durée
• Rate limiting sur les endpoints sensibles
• Protection SSRF, CSRF, XSS
• Mots de passe hashés (bcrypt via Supabase Auth)

9. Réclamation

Si vous estimez que le traitement de vos données n'est pas conforme, vous pouvez introduire une réclamation auprès de la CNIL(Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.