Confidentialité · RGPD

Tes données, sous contrôle.

Ce qu'on collecte, pourquoi, et les leviers que tu as pour décider.

⚠ Document RGPD en cours de finalisation. Les informations fournies sont exactes à date mais certaines durées de conservation peuvent évoluer après audit. Les champs marqués [TODO] sont à compléter.

1. Responsable de traitement

Le responsable de traitement est FairCheck, [TODO — forme juridique + raison sociale + SIRET], dont le siège est situé [TODO — adresse complète].

Pour toute question relative à tes données ou pour exercer tes droits, contacte-nous à privacy@faircheck.fr.

2. Données collectées et finalités

2.1 Données de compte

  • Email, prénom, mot de passe (haché) — création et authentification du compte.
  • Statut d'abonnement, tier, Stripe Customer ID — gestion de la facturation.
  • Consentements — opt-in / opt-out emails, préférences affichage.

Base légale : exécution du contrat (fourniture du Service).

2.2 Documents scannés

  • Images et PDF que tu téléverses pour analyse.
  • Contenu extrait (texte, prestataire, SIRET, prix, etc.).
  • Verdict et analyse généré par l'IA.

Base légale : exécution du contrat. Ces documents sont stockés dans un bucket privé Supabase (région Europe, Francfort) avec chiffrement au repos. L'accès est restreint à ton compte via Row Level Security.

2.3 Données d'usage

  • Évènements de navigation (page vue, upload, scan réussi) pour améliorer le produit.
  • Logs techniques (IP, user-agent) pour sécurité et prévention d'abus.

Base légale : intérêt légitime (amélioration du produit, sécurité).

3. Destinataires et sous-traitants

Tes données sont partagées avec les sous-traitants suivants, strictement dans le cadre du Service :

  • Vercel Inc.— hébergement de l'application (transfert US avec clauses contractuelles types et Data Processing Addendum).
  • Supabase Inc. — base de données + stockage documents (région UE Francfort).
  • Anthropic PBC— analyse IA des documents. Anthropic s'engage contractuellement à ne pas entraîner ses modèles sur tes données et à ne pas les conserver après traitement (zero retention policy).
  • Stripe Inc. — traitement des paiements (PCI DSS Level 1).
  • Resend Inc. — envoi des emails transactionnels.
  • Insee (API Sirene) — vérification publique des SIRET prestataires (aucune donnée personnelle transmise).

Aucune donnée n'est vendue à des tiers. Aucune publicité ciblée. Aucun partage avec EasyNDF ou autre produit distinct.

4. Durées de conservation

  • Compte actif : tant que tu utilises le Service.
  • Compte inactif : [TODO — 3 ans d'inactivité puis suppression].
  • Documents scannés : tant que ton compte est actif (tu peux les supprimer à tout moment).
  • Facturation : 10 ans (obligation légale).
  • Logs de sécurité : 12 mois glissants.

5. Tes droits

En vertu du RGPD, tu disposes des droits suivants :

  • Accès : obtenir une copie de tes données.
  • Rectification : corriger des données inexactes.
  • Effacement : demander la suppression de ton compte et de tes données.
  • Portabilité : récupérer tes données dans un format structuré (JSON).
  • Opposition : t'opposer au traitement pour motif légitime.
  • Limitation : limiter le traitement en cas de contestation.

Pour exercer ces droits, écris-nous à privacy@faircheck.fr. Nous te répondons sous 30 jours maximum. Si tu estimes que la réponse est insatisfaisante, tu peux saisir la CNIL.

6. Cookies et traceurs

FairCheck utilise un minimum de cookies techniques indispensables (session d'authentification, préférences). Nous n'utilisons pas de cookies publicitaires ni de traceurs tiers à des fins marketing.

Vercel Analytics et Supabase Analytics sont utilisés pour la mesure d'audience en mode anonymisé (pas d'identifiant individuel, pas de partage avec des annonceurs).

7. Sécurité

  • Chiffrement TLS 1.3 pour toutes les communications.
  • Chiffrement au repos (AES-256) des documents scannés sur Supabase Storage.
  • Mot de passe haché (bcrypt) via Supabase Auth — jamais stocké en clair.
  • Row Level Security Postgres : chaque utilisateur n'accède qu'à ses propres données.
  • Journal d'audit sur les actions sensibles (modification rôles, suppressions).

8. Transferts hors UE

Les données sont stockées dans l'Union européenne (Supabase Francfort). Certains sous-traitants sont basés aux États-Unis (Vercel, Stripe, Anthropic, Resend) : les transferts sont encadrés par des Clauses Contractuelles Types approuvées par la Commission européenne et, lorsque applicable, par les certifications Data Privacy Framework.

9. Mise à jour de la politique

Toute modification substantielle de la présente politique te sera notifiée par email 15 jours avant son entrée en vigueur.

Version 1.0 — dernière mise à jour : [TODO — JJ mois AAAA].