Aller au contenu principal
RGAA Scanner

Politique de confidentialité

Responsable du traitement

Thomas GRUSON — Entrepreneur individuel (GRUSON IT)
SIREN : 894 638 964
89 rue du Maréchal Joffre, 59120 Loos, France
Contact : contact@rgaa-scanner.fr

Données collectées

Dans le cadre de l'utilisation du service RGAA Scanner, les données suivantes sont collectées :

  • URLs des sites soumis à l'analyse
  • Adresses IP des utilisateurs, pseudonymisées par hachage SHA-256 avec salt (pour le rate limiting uniquement — aucune IP en clair n'est stockée)
  • Résultats d'analyse (score, violations détectées, correspondance RGAA)
  • Pour les utilisateurs inscrits : adresse email, nom, entreprise (optionnel)
  • Pour les utilisateurs payants : données de facturation traitées par Stripe (nous ne stockons pas vos données de carte bancaire)
  • Images uploadées dans le générateur de texte alternatif (transmises à l'API du sous-traitant IA pour analyse, non stockées par nos soins)
  • Textes soumis au simplificateur FALC (transmis à l'API du sous-traitant IA pour simplification, non stockés par nos soins)
  • Pour les utilisateurs ayant configuré des alertes de monitoring : adresse email de notification (stockée en base de données, transmise à Resend pour l'envoi des alertes)

Visibilité des résultats

  • Scans gratuits (sans compte) : les résultats sont publiquement accessibles via leur URL et indexés par les moteurs de recherche.
  • Scans authentifiés (avec compte) : les résultats sont privés par défaut. Vous pouvez les rendre publics à tout moment via le bouton de partage dans votre tableau de bord.

Finalités du traitement

  • Fournir le service d'analyse d'accessibilité RGAA
  • Générer des textes alternatifs et des simplifications FALC à l'aide de l'intelligence artificielle
  • Limiter les abus et garantir la disponibilité du service (rate limiting)
  • Envoyer des alertes email en cas de dégradation du score d'accessibilité (monitoring programmé, opt-in uniquement)
  • Mesurer la fréquentation du site et les performances de chargement (mesure d'audience — voir section « Mesure d'audience »)

Base juridique

  • Exécution contractuelle (Article 6.1.b du RGPD) : le traitement est nécessaire à la fourniture du service de scan demandé par l'utilisateur.
  • Intérêt légitime (Article 6.1.f du RGPD) : la collecte des adresses IP pour le rate limiting vise à protéger le service contre les abus.
  • Intérêt légitime (Article 6.1.f du RGPD) : la mesure d'audience anonyme. Ces outils ne déposant aucun cookie et ne collectant aucune donnée personnelle, ils remplissent les conditions d'exemption de consentement prévues par les lignes directrices de la CNIL sur les cookies et traceurs.

Durée de conservation

  • Résultats de scan gratuit (sans compte) : 30 jours, puis supprimés automatiquement
  • Résultats de scan authentifié (avec compte) : 30 jours (offre Gratuite), 1 an (offre Pro), 2 ans (offre Business). Les résultats au-delà de la durée de rétention sont supprimés automatiquement.
  • Empreintes IP (SHA-256 avec salt) : conservées temporairement dans le cache de rate limiting (environ 5 heures), puis automatiquement supprimées. Aucune empreinte IP n'est stockée de manière permanente. Ces empreintes sont irréversibles — il est techniquement impossible de retrouver l'adresse IP d'origine à partir du hash.

Sous-traitants

Les données sont traitées par les sous-traitants suivants :

  • Vercel, Inc. (hébergement de l'application web, exécution des crons RGPD, mesure d'audience via Vercel Web Analytics et Speed Insights) — 340 S Lemon Ave #4133, Walnut, CA 91789, États-Unis. Fonctions serverless en région iad1 (US East) par défaut. Vercel est certifié sous le EU-U.S. Data Privacy Framework (DPF).
  • Supabase, Inc. (base de données PostgreSQL, stockage des scans, authentification) — 65 Chulia Street #38-02/03, OCBC Centre, Singapore 049513. Données traitées en région UE (eu-west-3, Paris).
  • Stripe, Inc. (traitement des paiements, gestion des abonnements) — 354 Oyster Point Blvd, South San Francisco, CA 94080, États-Unis. Certifié PCI DSS Level 1. Données de paiement traitées directement par Stripe — nous ne stockons ni ne traitons vos données de carte bancaire.
  • Anthropic, PBC (analyse IA : génération de rapports en langage clair, simplification FALC) — 548 Market St, San Francisco, CA 94104, États-Unis. Les textes et résultats de scan sont transmis à l'API Claude pour traitement. Anthropic s'engage à ne pas utiliser les données transmises via l'API pour entraîner ses modèles.
  • Google LLC (analyse IA : génération de textes alternatifs pour les images) — 1600 Amphitheatre Parkway, Mountain View, CA 94043, États-Unis. Les images uploadées sont transmises à l'API Gemini pour analyse. Google s'engage à ne pas utiliser les données transmises via l'API payante pour entraîner ses modèles.
  • Google Cloud Platform (hébergement du scanner premium et archivage des résultats bruts d'audit) — même entité que ci-dessus. Service Cloud Run et stockage Google Cloud Storage en région europe-west1 (Belgique). Les résultats bruts sont automatiquement supprimés selon la durée de rétention de votre offre (30 jours, 1 an ou 2 ans).
  • Resend, Inc. (envoi d'emails transactionnels : alertes de dégradation d'accessibilité, notifications de renouvellement) — 2261 Market Street #4059, San Francisco, CA 94114, États-Unis. Données traitées en région UE (eu-west-1, Irlande). Seule l'adresse email du destinataire est transmise à Resend.
  • Upstash, Inc. (rate limiting serverless via Redis) — 1148 Holly Ann Pl, San Jose, CA 95120, États-Unis. Seules des clés techniques anonymisées (hash d'IP ou identifiant utilisateur) sont stockées temporairement pour limiter le nombre de requêtes. Aucune donnée personnelle identifiante n'est transmise. Certifié sous le EU-U.S. Data Privacy Framework (DPF).

Transferts hors UE

Les données personnelles sont stockées en France (base de données Supabase en région eu-west-3, Paris). Le traitement applicatif (serveur web, fonctions serverless) est effectué par Vercel en région iad1 (US East). Nos sous-traitants (Vercel, Supabase, Stripe, Anthropic, Google, Resend, Upstash) sont des sociétés soumises au droit américain (Supabase, Inc. est une société du Delaware disposant de bureaux à Singapour). Les transferts de données sont encadrés, selon le sous-traitant, par le EU-U.S. Data Privacy Framework (DPF) et/ou les Clauses Contractuelles Types (SCCs) approuvées par la Commission européenne.

Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès à vos données
  • Droit de rectification
  • Droit à l'effacement
  • Droit à la limitation du traitement
  • Droit à la portabilité
  • Droit d'opposition au traitement

Pour exercer vos droits, contactez-nous à : contact@rgaa-scanner.fr

Réclamation

Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr(nouvelle fenêtre)

Vous pouvez également saisir le Défenseur des droits : www.defenseurdesdroits.fr(nouvelle fenêtre)

Cookies

Ce site n'utilise aucun cookie de suivi ou publicitaire. Seuls des cookies techniques strictement nécessaires au fonctionnement du service peuvent être utilisés (session d'authentification). Les outils de mesure d'audience déployés (voir section suivante) ne déposent aucun cookie.

Mesure d'audience

Ce site utilise Vercel Web Analytics et Vercel Speed Insights pour mesurer la fréquentation et les performances de chargement des pages.

Ces outils :

  • Ne déposent aucun cookie
  • Ne collectent aucune donnée personnelle identifiante
  • Ne permettent aucun suivi cross-site (les visiteurs ne peuvent pas être suivis entre différents sites ou au-delà de 24 heures)
  • Ne collectent pas les adresses IP des visiteurs (selon la documentation Vercel Analytics(nouvelle fenêtre)). La géolocalisation (ville, pays) est dérivée de la requête puis l'IP est immédiatement écartée.

Conformément aux lignes directrices de la CNIL(nouvelle fenêtre), ces outils remplissent les conditions d'exemption du recueil de consentement car ils sont strictement limités à la production de statistiques anonymes, ne déposent aucun cookie, ne collectent aucune donnée personnelle et ne permettent pas le suivi de la navigation sur d'autres sites.

Les données collectées (pages vues, référents, type d'appareil, pays, métriques de performance) sont agrégées et ne permettent pas d'identifier un visiteur individuel. Elles sont hébergées par Vercel, Inc. et soumises à leur politique de confidentialité(nouvelle fenêtre).

Mesures de sécurité

Les mesures suivantes sont mises en œuvre pour protéger vos données :

  • Pseudonymisation irréversible des adresses IP par hachage SHA-256 avec salt secret (aucune IP en clair stockée)
  • Communications chiffrées (HTTPS/TLS)
  • Contrôle d'accès strict à l'API (CORS, authentification IAM, rate limiting)
  • Données stockées dans l'Union européenne (Supabase : région eu-west-3 Paris ; Google Cloud Storage : région europe-west1 Belgique), traitement applicatif aux États-Unis (Vercel, région iad1)

Dernière mise à jour : mars 2026