Responsable du traitement
Le responsable du traitement est DPLIANCE SAS, 24 Boulevard du Grand Cerf — HTAG Bureau 11, 86000 Poitiers, France (RCS Poitiers 853 089 142).
Contact : contact@dpliance.com.
Délégué à la protection des données (DPO) : dpo@dpliance.com.
La présente politique décrit la manière dont DPLIANCE SAS collecte, utilise et protège les données à caractère personnel dans le cadre du tableau de bord Mirage Analytics et de son script de mesure d’audience, conformément au Règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés.
Définitions
- Client : la personne morale ou le professionnel qui souscrit un abonnement au tableau de bord Mirage Analytics.
- Visiteur : l’internaute dont l’activité est mesurée sur le site web exploité par le Client.
- Service : le tableau de bord d’analyse d’audience Mirage Analytics, accessible en ligne.
- Script de mesure : le composant logiciel, fourni par DPLIANCE et installé par le Client sur son site, qui collecte les données d’usage des Visiteurs.
Données relatives au compte Client
La création et la gestion du compte d’accès au tableau de bord reposent sur un nombre minimal de données :
- une adresse e-mail, servant d’identifiant de connexion ;
- un mot de passe (conservé sous forme hachée, jamais en clair) ;
- le cas échéant, l’URL du site analysé.
Aucune autre donnée d’identité (nom, prénom, fonction) n’est requise. La finalité de ce traitement est la création du compte, l’authentification du Client et la fourniture du Service ; sa base légale est l’exécution du contrat.
Données de paiement
Le paiement de l’abonnement fait l’objet d’un traitement distinct, opéré par notre prestataire de paiement Mollie. Les informations nécessaires au paiement (notamment les données de carte bancaire et de facturation) sont collectées et traitées directement par Mollie, en qualité de prestataire, conformément à sa propre politique de confidentialité. DPLIANCE n’a pas accès aux numéros de carte bancaire.
Données collectées par le script de mesure
Le Script de mesure installé sur le site du Client collecte des données relatives à l’usage de ce site par les Visiteurs :
- pages vues et parcours de navigation ;
- événements d’interaction (clics, défilement, soumissions de formulaire) ;
- enregistrement de session (session replay) ;
- cartes de chaleur (heatmaps) ;
- type d’appareil, de système d’exploitation et de navigateur ;
- source de trafic (référent) ;
- localisation approximative (pays, région) déduite de l’adresse IP.
Mirage n’utilise aucun cookie et ne stocke pas l’adresse IP en clair : celle-ci est utilisée de manière transitoire pour en déduire une localisation approximative, puis n’est pas conservée sous forme identifiante. Aucune donnée directement identifiante (nom, e-mail) du Visiteur n’est requise ni collectée par le Script de mesure.
Finalités et bases légales
- Gestion du compte et de l’abonnement — base légale : exécution du contrat conclu avec le Client.
- Mesure d’audience — base légale : intérêt légitime du Client à connaître l’audience de son site. La mesure étant réalisée sans cookie et avec des données non directement identifiantes, elle s’inscrit dans les conditions de l’exemption de consentement prévue par la CNIL pour la mesure d’audience.
- Communications liées au Service — base légale : exécution du contrat et intérêt légitime, pour les e-mails transactionnels et les informations relatives au Service.
- Sécurité et prévention de la fraude — base légale : intérêt légitime.
Destinataires et sous-traitants
Les données sont destinées aux services internes de DPLIANCE habilités. Mirage Analytics a recours aux sous-traitants suivants, qui agissent sur instructions et présentent des garanties suffisantes :
- Scaleway (hébergement et stockage des données, Paris, France) ;
- Brevo (envoi des e-mails transactionnels) ;
- Mollie (traitement des paiements).
L’ensemble de ces prestataires est situé dans l’Union européenne. Aucune donnée n’est cédée ou vendue à des tiers.
Intégrations tierces (audit SEO)
Lorsque le Client active la fonctionnalité d’audit SEO, Mirage Analytics interroge des services tiers afin de récupérer des données de référencement. Seules des données non personnelles sont concernées (données techniques et de référencement publiques : nom de domaine, URL, mots-clés, indicateurs de positionnement et de performance). Aucune donnée personnelle, ni aucune donnée des Visiteurs, n’est transmise à ces services : les données proviennent de ces services et sont restituées dans le tableau de bord.
- Google Search Console — sur autorisation du Client via OAuth, accès en lecture seule aux statistiques de référencement de sa propre propriété (requêtes, pages, impressions, clics). Les jetons d’accès sont conservés de manière chiffrée et peuvent être révoqués à tout moment par le Client.
- Google PageSpeed Insights — restitution d’indicateurs de performance pour une page analysée.
- DataForSEO — restitution de données de positionnement et de marché.
Ces échanges ne portant que sur des données non personnelles, ils ne constituent pas un transfert de données à caractère personnel en dehors de l’Union européenne.
Hébergement et localisation des données
Les données du compte et de mesure sont hébergées en France, chez Scaleway, et ne font l’objet d’aucun transfert en dehors de l’Union européenne. La fonctionnalité optionnelle d’audit SEO n’échange que des données non personnelles avec des services tiers (voir « Intégrations tierces »).
Durées de conservation
- Données de compte : conservées pendant toute la durée de l’abonnement, puis archivées pendant la durée nécessaire au respect de nos obligations légales et comptables (jusqu’à 10 ans pour les pièces comptables).
- Données de mesure (sessions) : conservées 36 mois, puis supprimées ou agrégées de manière anonyme.
- Enregistrements vidéo de sessions (session replays) : conservés 3 mois.
Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données à caractère personnel :
- droit d’accès ;
- droit de rectification ;
- droit à l’effacement ;
- droit à la limitation du traitement ;
- droit à la portabilité ;
- droit d’opposition.
Vous pouvez exercer ces droits en écrivant à contact@dpliance.com ou à notre DPO à dpo@dpliance.com. Vous disposez également du droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL).
Sécurité
DPLIANCE met en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données contre toute destruction, perte, altération ou accès non autorisé : chiffrement des communications en transit (HTTPS/TLS), hachage des mots de passe, restriction des accès aux seules personnes habilitées, journalisation et sauvegardes régulières.
Mineurs
Le Service est destiné à des professionnels et n’est pas conçu pour des mineurs. Nous ne collectons pas sciemment de données concernant des mineurs. Si vous estimez que des données d’un mineur nous ont été transmises, contactez-nous afin que nous procédions à leur suppression.
Modifications de la politique
La présente politique de confidentialité peut être amenée à évoluer afin de refléter les changements de nos pratiques ou de la réglementation. La date de dernière mise à jour figure en tête du document. Nous vous invitons à la consulter régulièrement.