1. Identification du responsable du traitement
- Relevante.IA SL
- [En cours de constitution]
- Barcelone, Espagne
- Email: contacto@relevanteia.com
- Web: https://relevanteia.com
- En attente de designation. Jusqu'a sa designation, les communications peuvent etre adressees a contacto@relevanteia.com.
2. Objet et champ d'application
La presente Politique de confidentialite decrit comment Relevante.IA SL (« Relevante.IA », « nous » ou « la Plateforme ») collecte, utilise, stocke et protege les donnees personnelles des utilisateurs qui accedent a notre plateforme d'AI Readiness et de Search Relevance Optimization (SRO), disponible sur relevanteia.com, app.relevanteia.com et ses sous-domaines, ainsi qu'a travers des widgets integrables sur des sites tiers (le « Widget d'audit gratuit »).
Cette politique s'applique a tous les utilisateurs, inscrits ou non (utilisateurs du Widget d'audit gratuit), dans tout pays depuis lequel ils accedent au service.
Cadre reglementaire applicable :
- Reglement general sur la protection des donnees (UE) 2016/679 (RGPD).
- Loi organique 3/2018 relative a la protection des donnees personnelles et a la garantie des droits numeriques (LOPDGDD) — Espagne.
- Nouvelle loi federale sur la protection des donnees (nLPD / nDSG) — Suisse, en vigueur depuis le 1er septembre 2023.
- Loi Informatique et Libertes et reglementation CNIL — France.
- Bundesdatenschutzgesetz (BDSG) — Allemagne et Autriche.
En vous inscrivant ou en utilisant l'un de nos services, vous acceptez le traitement de vos donnees conformement a la presente politique et a la reglementation applicable dans votre juridiction.
3. Donnees personnelles que nous collectons
3.1 Donnees fournies directement par les utilisateurs inscrits
- Donnees d'inscription : nom, adresse e-mail, mot de passe chiffre, langue preferee (espagnol/anglais/francais/allemand).
- Donnees de l'entreprise : denomination commerciale, URL du site web, secteur/niche (une parmi 12 categories), localisation geographique.
- Donnees de facturation : traitees directement par Stripe, Inc. Relevante.IA ne stocke pas les donnees completes de carte bancaire ni d'informations bancaires.
- Communications : messages envoyes via les formulaires de contact ou d'assistance. Historique de chat avec l'assistant IA integre : messages envoyes au chatbot de la Plateforme pour des consultations sur l'analyse de l'entreprise.
- Identifiants d'integration : mots de passe applicatifs WordPress et jetons OAuth de Google Search Console, stockes avec chiffrement AES-256-GCM.
3.2 Donnees fournies par les utilisateurs non inscrits (Widget d'audit gratuit)
- URL du site web a analyser.
- Adresse IP (pour le controle d'utilisation : maximum 1 audit par IP et par jour).
- Donnees techniques du navigateur (User-Agent, resolution).
Base juridique : consentement expres de l'utilisateur lors de l'envoi de l'URL a analyser (art. 6.1.a RGPD).
3.3 Donnees collectees automatiquement
- Donnees techniques : adresse IP, type de navigateur, systeme d'exploitation, pages visitees, date et heure d'acces.
- Donnees d'utilisation : interactions avec la plateforme, modules utilises, frequence d'utilisation, preferences de configuration.
- Cookies et technologies similaires : voir notre Politique de cookies.
3.4 Donnees obtenues de sources externes
Pour fournir le service d'analyse SRO, nous collectons et traitons des informations publiques liees a l'entreprise de l'utilisateur :
- Contenu public du site web de l'utilisateur (jusqu'a 50 pages via scraping automatise).
- Mentions publiques de la marque sur internet et les reseaux sociaux.
- Presence dans les annuaires publics (y compris Google Business Profile).
- Backlinks, profils sociaux publics et liens sameAs.
- Donnees publiques du Knowledge Graph (Google Knowledge Graph, Wikidata).
- Resultats de visibilite dans les moteurs d'IA (ChatGPT, Gemini, Perplexity).
- Metriques Core Web Vitals (via Google PageSpeed Insights API).
- Donnees de Google Search Console (uniquement si l'utilisateur connecte volontairement son compte via OAuth).
- Donnees de Bing Webmaster Tools (uniquement si l'utilisateur connecte son compte via cle API).
- Donnees Shopify (uniquement si l'utilisateur connecte sa boutique via OAuth, disponibilite en attente).
Ces informations sont obtenues a partir de sources publiquement accessibles (ou avec l'autorisation expresse de l'utilisateur dans le cas de Search Console) et sont traitees exclusivement pour fournir le service contracte.
4. Finalites et base juridique du traitement
| Finalite | Base juridique (art. 6 RGPD) |
|---|---|
| Inscription et gestion du compte utilisateur | Execution d'un contrat (art. 6.1.b) |
| Fourniture des services SRO (M1, M2, M3, Plan d'action) | Execution d'un contrat (art. 6.1.b) |
| Analyse du site web et de la presence numerique | Execution d'un contrat (art. 6.1.b) |
| Generation de rapports, scores et recommandations automatisees | Execution d'un contrat (art. 6.1.b) |
| Audit gratuit via Widget (utilisateurs non inscrits) | Consentement (art. 6.1.a) |
| Integration WordPress (lecture/ecriture de pages) | Execution d'un contrat (art. 6.1.b) |
| Integration Google Search Console / Bing Webmaster Tools | Consentement (art. 6.1.a) |
| Traitement des paiements et facturation | Execution d'un contrat (art. 6.1.b) et obligation legale (art. 6.1.c) |
| Notifications de service (alertes SRO, plan termine) | Execution d'un contrat (art. 6.1.b) |
| Communications commerciales et newsletters | Consentement expres (art. 6.1.a) |
| Amelioration et developpement de la plateforme | Interet legitime (art. 6.1.f) |
| Prevention de la fraude et securite | Interet legitime (art. 6.1.f) |
| Respect des obligations legales et fiscales | Obligation legale (art. 6.1.c) |
5. Utilisation de l'intelligence artificielle et prestataires d'IA
Notre plateforme utilise des services d'IA tiers pour realiser des analyses, generer du contenu, evaluer la visibilite et fournir des recommandations.
5.1 Prestataires d'IA utilises
| Prestataire | Finalite | Localisation | Garantie |
|---|---|---|---|
| DeepSeek (深度求索) | Moteur principal d'analyse SRO : scoring, generation d'actions, classification, contenu, recommandations | Chine (Republique populaire) | CCT + TIA |
| Anthropic (Claude) | Moteur d'analyse SRO secondaire/de secours. Consolidation du contexte M3. | Etats-Unis | CCT (DPF) |
| OpenAI | Embeddings semantiques pour la recherche (RAG). Requetes de visibilite M3. | Etats-Unis | CCT (DPF) |
| Perplexity AI | Contexte de l'entreprise (M1), requetes de visibilite M3, validation d'actions externes | Etats-Unis | CCT |
| Google (API Gemini) | Requetes de visibilite M3 | Etats-Unis/UE | CCT (DPF) |
CCT = Clauses contractuelles types approuvees par la Commission europeenne. DPF = Participant au EU-US Data Privacy Framework. TIA = Evaluation d'impact du transfert.
5.2 Note speciale sur DeepSeek (transfert vers la Chine)
DeepSeek a son siege a Hangzhou, en Chine. La Republique populaire de Chine ne beneficie pas d'une decision d'adequation de la Commission europeenne. Pour ce transfert, en plus des clauses contractuelles types, nous avons realise une evaluation d'impact du transfert (TIA) conformement aux recommandations du CEPD (Comite europeen de la protection des donnees) analysant la legislation chinoise sur l'acces aux donnees par les autorites publiques et les mesures techniques et organisationnelles complementaires mises en oeuvre.
Mesures techniques complementaires :
- Les donnees envoyees a DeepSeek sont limitees au contenu public du site web de l'utilisateur et a la denomination commerciale. Aucune donnee personnelle de l'utilisateur final (e-mail, mot de passe, donnees de paiement) n'est envoyee.
- Minimisation : les prompts sont construits avec le minimum d'information necessaire a l'analyse.
- Les resultats generes sont stockes exclusivement sur notre infrastructure europeenne (Supabase UE).
- Les utilisateurs peuvent demander a tout moment que leurs analyses soient traitees exclusivement avec des prestataires dont le siege est aux Etats-Unis/UE (Anthropic/Claude) en ecrivant a contacto@relevanteia.com.
5.3 Garanties generales
- Les donnees envoyees aux prestataires d'IA sont limitees au strict necessaire pour le service (principe de minimisation).
- Tous les prestataires operent sous des accords de traitement des donnees conformes au RGPD (DPA signes).
- Vos donnees ne sont pas utilisees pour entrainer des modeles d'IA tiers. Tous les prestataires sont configures avec opt-out d'entrainement lorsque leurs conditions le permettent.
- Les resultats generes sont stockes sur notre infrastructure sous votre controle.
- Vous pouvez demander des informations detaillees sur la TIA de DeepSeek en ecrivant a contacto@relevanteia.com.
6. Destinataires et transferts internationaux
6.1 Liste complete des destinataires
Voici la liste de tous les tiers pouvant acceder aux donnees personnelles ou aux donnees d'entreprise dans le cadre de la fourniture du service :
| Destinataire | Finalite | Localisation | Garantie |
|---|---|---|---|
| Supabase Inc. | Base de donnees, authentification, stockage de fichiers | UE/Etats-Unis | CCT (DPF) |
| Vercel Inc. | Hebergement frontend de l'application web | UE/Etats-Unis | CCT (DPF) |
| Railway Inc. | Hebergement backend et file de taches (Redis/BullMQ) | Etats-Unis | CCT |
| Stripe Inc. | Traitement des paiements et abonnements | Etats-Unis | CCT (DPF) |
| DeepSeek (深度求索) | Moteur principal d'IA pour l'analyse SRO | Chine | CCT + TIA |
| Anthropic PBC | Moteur d'IA secondaire (fallback) | Etats-Unis | CCT (DPF) |
| OpenAI Inc. | Embeddings semantiques et mesure de visibilite M3 | Etats-Unis | CCT (DPF) |
| Perplexity AI Inc. | Contexte de l'entreprise et mesure de visibilite M3 | Etats-Unis | CCT |
| Google LLC | API Gemini, Knowledge Graph API, Places API, PageSpeed API, Search Console API, OAuth | Etats-Unis/UE | CCT (DPF) |
| Firecrawl | Extraction de contenu web (scraping) | Etats-Unis | CCT |
| SerpAPI | Resultats de recherche, mentions et analyse d'annuaires | Etats-Unis | CCT |
| Resend | Envoi d'e-mails transactionnels | Etats-Unis | CCT |
6.2 Transferts internationaux
La plupart de nos prestataires sont situes aux Etats-Unis. Pour ces transferts, nous nous appuyons sur les Clauses contractuelles types (CCT) approuvees par la Commission europeenne (Decision 2021/914) et, lorsque le prestataire participe au EU-US Data Privacy Framework (DPF), sur la decision d'adequation de la Commission du 10 juillet 2023.
Pour le transfert vers la Chine (DeepSeek), nous appliquons les CCT conjointement avec une evaluation d'impact du transfert (TIA) et des mesures techniques complementaires detaillees en Section 5.2.
Pour les utilisateurs en Suisse : les transferts sont realises sous la nLPD et les Clauses contractuelles types reconnues par le PFPDT (Prepose federal a la protection des donnees et a la transparence).
Nous ne vendons, ne louons ni ne partageons vos donnees personnelles avec des tiers a des fins marketing sans votre consentement expres.
7. Conservation des donnees
| Categorie de donnees | Duree de conservation |
|---|---|
| Donnees de compte et de profil | Tant que le compte est actif + 5 ans apres l'annulation |
| Donnees d'analyse SRO et rapports (M1, M2, M3) | Tant que le compte est actif + 1 an apres l'annulation |
| Contenu du site web scrappe (scraped_content) | Tant que le compte est actif. Supprime dans un delai maximal de 30 jours apres l'annulation. |
| Donnees de facturation | 6 ans (obligation legale fiscale, art. 29 du Code de commerce espagnol) |
| Journaux d'acces et de securite | 12 mois |
| Communications d'assistance | 3 ans a compter de la derniere interaction |
| Health snapshots (monitoring hebdomadaire) | Tant que le compte est actif + 6 mois apres l'annulation |
| Audits gratuits (Widget) | 90 jours a compter de leur generation |
| Identifiants d'integration (WordPress, GSC, Bing) | Supprimes immediatement a la deconnexion de l'integration |
| Historique des versions WordPress (wp_page_snapshots) | Tant que l'integration WordPress est active + 30 jours apres la deconnexion |
Apres les delais indiques, les donnees seront supprimees ou anonymisees de maniere irreversible.
8. Droits des personnes concernees
Conformement au RGPD (et a la nLPD pour les utilisateurs en Suisse), vous pouvez exercer les droits suivants :
| Droit | Description |
|---|---|
| Acces (art. 15 RGPD) | Obtenir la confirmation du traitement de vos donnees et en obtenir une copie |
| Rectification (art. 16 RGPD) | Corriger les donnees inexactes ou completer les donnees incompletes |
| Effacement (art. 17 RGPD) | Demander la suppression de vos donnees (droit a l'oubli) |
| Limitation (art. 18 RGPD) | Demander la limitation du traitement dans certains cas |
| Portabilite (art. 20 RGPD) | Recevoir vos donnees dans un format structure (JSON) et les transmettre a un autre responsable |
| Opposition (art. 21 RGPD) | Vous opposer au traitement fonde sur l'interet legitime |
| Decisions automatisees (art. 22 RGPD) | Demander une intervention humaine dans les analyses automatisees |
| Retrait du consentement | Retirer votre consentement a tout moment, sans effet retroactif |
8.1 Comment exercer vos droits
Envoyez votre demande a contacto@relevanteia.com en indiquant : votre nom complet, l'adresse e-mail associee au compte, le droit que vous souhaitez exercer et une copie d'un document d'identite (Carte nationale d'identite/passeport ou autre document officiel). Nous repondrons dans un delai maximum de 30 jours (prolongeable a 60 jours dans les cas complexes, avec notification prealable).
8.2 Autorites de protection des donnees
Si vous estimez que le traitement de vos donnees viole la reglementation applicable, vous pouvez deposer une plainte aupres de :
- Espagne : Agence espagnole de protection des donnees (AEPD) — www.aepd.es
- France : Commission Nationale de l'Informatique et des Libertes (CNIL) — www.cnil.fr
- Allemagne : Commissaire federal a la protection des donnees (BfDI) — www.bfdi.bund.de, ou l'autorite du Land correspondant
- Autriche : Datenschutzbehorde (DSB) — www.dsb.gv.at
- Suisse : Prepose federal a la protection des donnees et a la transparence (PFPDT) — www.edoeb.admin.ch
9. Decisions automatisees et profilage
Notre plateforme genere des analyses, des scores, des classements, des alertes et des recommandations de maniere automatisee grace a l'intelligence artificielle. Plus precisement :
- Score SRO combine (M1 × 0,4 + M2 × 0,6) qui evalue la preparation semantique de votre site web.
- Classements de visibilite IA (pourcentage d'apparition dans ChatGPT, Gemini, Perplexity).
- Detection automatique de patterns (chutes de visibilite, degradation technique, vieillissement du contenu, incoherence d'entite) apres l'accumulation de 3 snapshots hebdomadaires ou plus.
- Plan d'action automatise avec classification par phase et estimation d'impact.
- Validation SRO automatique des contenus generes.
Nature des decisions :
Ces scores et recommandations sont consultatifs et visent uniquement a aider l'utilisateur a ameliorer sa presence numerique. Ils ne produisent pas d'effets juridiques contraignants sur l'utilisateur. La decision finale d'appliquer une recommandation appartient toujours a l'utilisateur.
Droit a l'intervention humaine :
Conformement a l'article 22 du RGPD, vous avez le droit de demander une intervention humaine dans toute analyse automatisee, d'exprimer votre point de vue et de contester le resultat. Pour ce faire, contactez contacto@relevanteia.com.
10. Mesures de securite
Nous mettons en oeuvre les mesures techniques et organisationnelles suivantes pour proteger vos donnees :
- Chiffrement en transit (HTTPS/TLS) pour toutes les communications.
- Chiffrement des mots de passe avec des algorithmes securises (bcrypt via Supabase Auth).
- Chiffrement AES-256-GCM pour les identifiants d'integration sensibles (WordPress, Google Search Console, Bing).
- Authentification par JWT (JSON Web Token) avec verification a chaque requete.
- Controle d'acces base sur les roles (utilisateur/administrateur) avec Row Level Security (RLS) dans la base de donnees.
- Limitation du debit : 100 requetes/minute par utilisateur ; 1 audit gratuit/IP/jour.
- En-tetes HTTP de securite (Helmet) : Content-Security-Policy, X-Frame-Options, etc.
- Protection CORS avec liste blanche des origines autorisees.
- Jeton interne pour la communication securisee serveur-worker (x-internal-worker-token).
- Monitoring et journalisation des erreurs.
- Sauvegardes periodiques de la base de donnees.
- Acces aux donnees restreint au personnel autorise (principe du moindre privilege).
11. Politique de cookies
Pour des informations detaillees sur l'utilisation des cookies et des technologies similaires, consultez notre Politique de cookies sur /legal/cookies. En resume, nous utilisons des cookies strictement necessaires, fonctionnels, de paiement (Stripe) et analytiques (sans Google Analytics ni Facebook Pixel).
12. Mineurs
Nos services sont exclusivement destines aux entreprises et aux professionnels majeurs. Nous ne collectons pas intentionnellement de donnees de mineurs. Si nous detectons que nous avons collecte des donnees d'un mineur, nous procederons a leur suppression immediate.
13. Dispositions specifiques par juridiction
13.1 Suisse
Pour les utilisateurs residant en Suisse, le traitement des donnees est egalement regi par la nouvelle loi federale sur la protection des donnees (nLPD/nDSG) en vigueur depuis le 1er septembre 2023. En cas de conflit entre le RGPD et la nLPD, la disposition la plus protectrice s'applique. Le responsable designera un representant en Suisse conformement a l'article 14 de la nLPD lorsque cela sera requis.
13.2 France
Pour les utilisateurs residant en France, cette politique est interpretee conformement a la loi n° 78-17 du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes, modifiee. La CNIL est l'autorite competente pour les plaintes. Les documents contractuels seront disponibles en francais conformement a la loi Toubon.
13.3 Allemagne et Autriche
Pour les utilisateurs residant en Allemagne ou en Autriche, cette politique est interpretee conformement au BDSG (Bundesdatenschutzgesetz) qui complete le RGPD. Les autorites competentes en matiere de protection des donnees sont le BfDI (niveau federal) ou l'autorite du Land correspondant en Allemagne, et la DSB (Datenschutzbehorde) en Autriche. L'Impressum conformement a la TMG/DDG est disponible sur relevanteia.com/legal/impressum.
14. Modifications de cette politique
Nous nous reservons le droit de mettre a jour cette Politique de confidentialite pour refleter les changements dans nos pratiques, chez les prestataires utilises ou dans la reglementation applicable. Les modifications substantielles seront notifiees au moins 15 jours a l'avance par e-mail a l'adresse associee a votre compte et via un avis visible sur la plateforme. L'utilisation continue du service apres l'entree en vigueur des modifications implique leur acceptation.
15. Contact
Pour toute question relative a cette Politique de confidentialite ou au traitement de vos donnees personnelles :
- Email: contacto@relevanteia.com
- Barcelone, Espagne
Ce document a ete redige conformement au Reglement general sur la protection des donnees (UE) 2016/679, a la loi organique 3/2018 (LOPDGDD), a la nouvelle loi federale suisse sur la protection des donnees (nLPD/nDSG), a la loi francaise Informatique et Libertes et au Bundesdatenschutzgesetz (BDSG) allemand.