Politique de confidentialité

Le responsable du traitement des données personnelles est :

Aïssa BELKOUSSA
Entrepreneur individuel (micro-entreprise)
SIRET : 937 690 592 00012
Adresse : Albi, 81000 — Occitanie, France
Email : contact@aissabelkoussa.fr

Dans le cadre de l'utilisation du site, les données suivantes peuvent être collectées :

Via le formulaire de contact :

• Nom complet
• Adresse email
• Type de besoin sélectionné
• Message libre (optionnel)
• Plan sélectionné le cas échéant
• Langue de navigation (français ou anglais)

Via la navigation sur le site (données anonymisées) :

• Pages visitées et parcours de navigation
• Referrer (page d'origine)
• Largeur d'écran (résolution)
• Langue du navigateur
• Métriques de performance web (Core Web Vitals) via Vercel Analytics

Ces données de navigation sont collectées de manière anonymisée, sans identification personnelle, et servent exclusivement à améliorer l'expérience utilisateur et les performances du site.

Les données collectées sont utilisées pour les finalités suivantes :

• Répondre aux demandes de contact et de devis (base légale : mesures précontractuelles, art. 6.1.b RGPD)
• Envoyer un email de confirmation automatique au demandeur (base légale : intérêt légitime, art. 6.1.f RGPD)
• Mesurer l'audience et les performances du site de manière anonymisée (base légale : intérêt légitime, art. 6.1.f RGPD)

Les données ne sont jamais utilisées à des fins de prospection commerciale, de profilage ou de revente à des tiers.

Le site utilise un nombre limité de cookies et technologies de stockage local, strictement nécessaires à son fonctionnement et à l'amélioration de l'expérience utilisateur.

Cookies strictement nécessaires (exemptés de consentement — art. 5.3 directive ePrivacy) :

• Préférence de langue (localStorage) — stocke le choix de langue (français/anglais) pour assurer la continuité de navigation. Aucune donnée personnelle n'est concernée.

Cookies d'analyse anonymisée (intérêt légitime — art. 6.1.f RGPD) :

• Vercel Analytics — mesure d'audience anonymisée et métriques de performance (Core Web Vitals). Vercel Analytics ne collecte aucune donnée personnelle identifiable (pas d'adresse IP stockée, pas de fingerprinting, pas de cookie de suivi inter-sites). Ces données servent exclusivement à optimiser les performances du site. Fournisseur : Vercel Inc., conforme au EU-US Data Privacy Framework.
• Beacon de navigation — système de mesure interne enregistrant les pages visitées, le referrer, la largeur d'écran et la langue du navigateur. Aucune donnée personnelle identifiable n'est collectée. Ce beacon respecte le signal Do Not Track du navigateur : si activé, aucune donnée n'est envoyée.

Cookies déposés par les services tiers lors de l'utilisation de liens externes :

• Calendly — lorsque vous cliquez sur le lien de prise de rendez-vous, vous êtes redirigé vers calendly.com qui dépose ses propres cookies (fonctionnement, session, préférences). La politique de cookies de Calendly s'applique sur leur domaine : calendly.com/privacy.
• WhatsApp — le lien de contact WhatsApp redirige vers wa.me / web.whatsapp.com, soumis à la politique de confidentialité de Meta : whatsapp.com/legal/privacy-policy.

Polices de caractères :

• Google Fonts — les polices Inter et Outfit sont chargées depuis les serveurs de Google (fonts.googleapis.com / fonts.gstatic.com). Google peut collecter l'adresse IP du visiteur lors du chargement des polices. Aucune autre donnée n'est transmise. Politique de confidentialité : policies.google.com/privacy.

Le site n'utilise aucun cookie publicitaire, aucun outil de retargeting, aucun pixel de suivi (Facebook Pixel, Google Ads, etc.) et aucun cookie de profilage.

En dehors des données collectées via le site internet (décrites ci-dessus), le prestataire peut être amené à accéder et traiter des données sensibles appartenant au client dans le cadre de l'exécution des prestations (création de site, automatisation, intégration, maintenance). Ces données peuvent inclure :

• Coordonnées bancaires et informations financières (IBAN, RIB, numéros de compte)
• Identifiants et accès techniques (mots de passe, clés API, accès serveurs)
• Données clients du client (fichiers clients, contacts, historiques)
• Données métier confidentielles (chiffre d'affaires, tarification, stratégie)

Le traitement de ces données est encadré par le contrat de prestation et les conditions générales de vente. Le prestataire s'engage à :

• N'accéder aux données que dans la mesure strictement nécessaire à la mission
• Appliquer les mesures de sécurité appropriées (chiffrement, accès restreints, authentification forte)
• Ne jamais divulguer de données confidentielles à des tiers
• Supprimer ou restituer toutes les données et accès à l'issue de la mission

Le prestataire est tenu à une obligation de moyens en matière de protection des données et ne saurait être tenu responsable des fuites, pertes ou accès non autorisés résultant de défaillances des systèmes du client, de services tiers, ou d'attaques informatiques hors de son contrôle direct.

Pour le détail complet des responsabilités et obligations de chaque partie, consultez les conditions générales de vente, article « Confidentialité et données sensibles du client ».

Les données sont transmises uniquement aux sous-traitants techniques suivants, dans le strict cadre de leur mission :

• Vercel Inc. (hébergement du site et analytics) — conforme au EU-US Data Privacy Framework (clauses contractuelles types). Siège : Covina, CA 91723, États-Unis.
• Resend (envoi d'emails transactionnels) — serveurs en Union Européenne (Irlande). Les données transitent par Resend pour l'envoi des emails de notification et de confirmation, sans stockage durable.
• Render (hébergement de l'API backend) — hébergeur du système de tracking interne et de l'API de contact. Les données anonymisées de navigation sont stockées dans une base MongoDB hébergée.
• Google LLC (polices de caractères) — les polices Inter et Outfit sont servies via Google Fonts. Seule l'adresse IP du visiteur peut être collectée lors du chargement.
• OVHcloud (registrar du nom de domaine) — 2 rue Kellermann, 59100 Roubaix, France.

Aucune donnée n'est vendue, louée ou cédée à un tiers à des fins commerciales.

Certains sous-traitants sont situés aux États-Unis. Les transferts de données vers ces prestataires sont encadrés par :

• Le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) pour Vercel Inc. et Google LLC
• Les clauses contractuelles types (CCT) adoptées par la Commission européenne, le cas échéant

Ces mécanismes garantissent un niveau de protection des données équivalent à celui du RGPD.

• Données du formulaire de contact : conservées dans la boîte email du responsable du traitement pour la durée nécessaire au traitement de la demande, puis archivées pendant une durée maximale de 3 ans à compter du dernier contact, conformément aux recommandations de la CNIL.
• Données de navigation anonymisées : conservées pendant une durée maximale de 25 mois conformément aux recommandations de la CNIL.
• Préférence de langue (localStorage) : conservée indéfiniment dans le navigateur de l'utilisateur. L'utilisateur peut la supprimer à tout moment via les paramètres de son navigateur.

Des mesures techniques et organisationnelles appropriées sont mises en œuvre pour protéger les données personnelles :

• Chiffrement des communications via HTTPS (certificat SSL/TLS)
• Clé API Resend stockée exclusivement côté serveur (jamais exposée côté client)
• Rate limiting sur le formulaire de contact (3 requêtes par IP toutes les 15 minutes)
• Protection anti-spam par champ honeypot
• Validation et échappement (escaping) de toutes les données avant traitement
• En-têtes de sécurité HTTP : Strict-Transport-Security, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Content-Security-Policy
• Respect du signal Do Not Track pour le système de tracking interne

Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :

• Droit d'accès : obtenir la confirmation que vos données sont traitées et en obtenir une copie
• Droit de rectification : faire corriger des données inexactes ou incomplètes
• Droit à l'effacement : demander la suppression de vos données
• Droit à la limitation : demander la suspension du traitement
• Droit à la portabilité : recevoir vos données dans un format structuré et lisible
• Droit d'opposition : vous opposer au traitement de vos données, y compris au tracking analytique (vous pouvez activer le signal Do Not Track dans votre navigateur)

Pour exercer ces droits, contactez : contact@aissabelkoussa.fr. Une réponse vous sera apportée dans un délai d'un mois conformément à l'article 12 du RGPD.

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.

La présente politique de confidentialité peut être modifiée à tout moment. Les modifications prennent effet dès leur publication sur cette page. La date de dernière mise à jour est indiquée en haut de ce document. En cas de modification substantielle, une mention visible sera affichée sur le site.