Politique de Confidentialité
Dernière mise à jour : 23 avril 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles est SIERA LA MOTTE-PICQUET SAS, société par actions simplifiée au capital de 3 000 €, immatriculée au RCS Paris sous le numéro 891 689 366 (SIRET 891 689 366 00021), ayant son siège social au 78 avenue de Suffren, 75015 Paris, France. Éditeur du service GoSiteAudit accessible à l'adresse gositeaudit.com.
Contact RGPD / point de contact protection des données : [email protected].
2. Données collectées
Dans le cadre de nos services, nous collectons :
- URL du site audité : nécessaire à la réalisation de l'audit.
- Adresse email : pour la livraison des rapports et la création de compte.
- Adresse IP : pour la limitation du nombre d'audits gratuits et la détection d'abus.
- Données de paiement : traitées exclusivement par Stripe ; nous n'avons jamais accès à vos informations bancaires.
- Contenu des sites audités : analysé à la volée, non stocké au-delà de la durée de conservation des audits.
- Données de prospection B2B : nom professionnel, email professionnel, fonction, URL de l'entreprise — obtenues via sites publics d'entreprises et annuaires professionnels publics (Pappers, LinkedIn) pour les contacts de prospection.
3. Finalités et bases légales
- Exécution contractuelle (RGPD Art. 6§1.b) : réalisation des audits, livraison des rapports, gestion du compte client, traitement des paiements.
- Intérêt légitime (RGPD Art. 6§1.f) : prévention des abus (limitation de fréquence), prospection B2B ciblée vers professionnels depuis sources publiques, amélioration du service.
- Obligation légale (RGPD Art. 6§1.c) : conservation des factures (10 ans, Art. L123-22 Code de commerce).
- Consentement (RGPD Art. 6§1.a) : inscription aux communications marketing optionnelles.
Nous n'utilisons jamais vos données à des fins publicitaires tierces et ne les revendons à personne.
4. Durées de conservation
- Audits ponctuels : 90 jours après génération du rapport.
- Données de monitoring continu : 30 jours après résiliation du plan.
- Factures : 10 ans (obligation légale Art. L123-22 Code de commerce).
- Adresses IP : anonymisées après 24 heures.
- Sessions d'authentification : durée du cookie de session.
- Prospects non-répondants : 3 ans sans interaction, puis effacement automatique.
- Prospects devenus clients : 5 ans après fin de la relation commerciale (prescription commerciale Art. L110-4 Code de commerce).
- Liste d'opposition (désabonnements) : 3 ans minimum (preuve de respect du droit d'opposition).
5. Sous-traitants et destinataires
Nous faisons appel aux sous-traitants listés ci-dessous. Chacun est lié par un DPA (Data Processing Agreement) conforme à l'Art. 28 RGPD.
| Sous-traitant | Finalité | Pays | Garantie transfert |
|---|---|---|---|
| Stripe Payments Europe Ltd | Paiement (PCI DSS) | Irlande (UE) | UE |
| Resend Inc. | Email transactionnel | États-Unis | DPF + CCT |
| Anthropic PBC | Analyse IA (Claude) | États-Unis | DPF |
| OpenAI OpCo LLC | Visibilité IA (GPT) | États-Unis | DPF |
| Google LLC | Visibilité IA (Gemini) | États-Unis | DPF |
| Perplexity AI Inc. | Visibilité IA | États-Unis | CCT |
| xAI LLC | Visibilité IA (Grok) | États-Unis | CCT |
| Mistral AI SAS | Visibilité IA | France (UE) | UE |
| Groq Inc. | Visibilité IA (Llama/Qwen) | États-Unis | CCT |
| Cohere Inc. | Visibilité IA | Canada | Décision d'adéquation UE→Canada |
| DataForSEO OÜ | SERP, AI Overviews, backlinks | Estonie (UE) | UE |
| Twilio Inc. | WhatsApp Business, voice | États-Unis | DPF |
| Railway Corp. | Hébergement applicatif | États-Unis (région UE possible) | CCT |
| Cloudflare Inc. | CDN, DNS, Email Routing | États-Unis | DPF + CCT |
DPF : EU-US Data Privacy Framework (décision d'adéquation de juillet 2023). CCT : Clauses Contractuelles Types de la Commission européenne (Module 2). Nous désactivons à la demande tout sous-traitant hors UE pour les clients dont la politique interne l'exige.
6. Transferts hors UE
Certains traitements impliquent un transfert de données vers des pays tiers (États-Unis, Canada). Ces transferts sont encadrés selon le cas par :
- la décision d'adéquation UE-US Data Privacy Framework (DPF) du 10 juillet 2023 pour les prestataires auto-certifiés ;
- les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914/UE, Module 2) pour les prestataires non-DPF ;
- la décision d'adéquation UE-Canada pour Cohere.
Vous pouvez obtenir copie des garanties en écrivant à [email protected].
7. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (Art. 15) : obtenir confirmation et copie de vos données.
- Droit de rectification (Art. 16) : faire corriger des données inexactes.
- Droit à l'effacement (Art. 17) : demander la suppression de vos données.
- Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré.
- Droit d'opposition (Art. 21) : vous opposer au traitement pour des motifs tenant à votre situation, et à tout moment pour la prospection commerciale.
- Droit à la limitation (Art. 18) : demander la suspension d'un traitement contesté.
Pour exercer ces droits : écrivez à [email protected]. Nous répondons dans un délai maximal d'un mois (Art. 12§3 RGPD). Vous pouvez aussi utiliser nos endpoints automatisés : /api/user/export et /api/user/delete (après authentification).
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr/plaintes.
8. Prospection B2B
Nous pratiquons une prospection commerciale ciblée auprès de professionnels depuis des sources publiques (sites web d'entreprises, annuaires Pappers, LinkedIn public). Conformément à la doctrine CNIL B2B 2020, cette prospection repose sur l'intérêt légitime (RGPD Art. 6§1.f) et respecte les conditions suivantes :
- Ciblage strictement professionnel, en rapport avec la fonction du destinataire.
- Information complète au premier contact (source, responsable, finalités, droits).
- Droit d'opposition simple et gratuit présent dans chaque message.
- Divulgation de l'assistance par intelligence artificielle dans les messages concernés.
Pour être retiré de nos listes de prospection à tout moment : cliquez sur le lien de désinscription présent dans chaque email, ou écrivez à [email protected].
9. Cookies
GoSiteAudit n'utilise pas de cookies de suivi ou publicitaires. Seuls des cookies strictement nécessaires au fonctionnement du site sont déposés, sans exigence de consentement préalable (Art. 82 LIL) :
session: authentification, durée de la session, HttpOnly, SameSite=Lax.- Cookies techniques Stripe lors du paiement (strictement nécessaires au checkout).
10. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : TLS 1.3, cookies HttpOnly/SameSite, HSTS, CSP, rate-limiting, hachage bcrypt des mots de passe (12 rounds), journalisation des accès administratifs.
11. Modifications
Nous nous réservons le droit de modifier cette politique. Toute mise à jour est publiée sur cette page avec la date de dernière mise à jour. En cas de modification substantielle, les utilisateurs enregistrés sont informés par email.