Politique de confidentialité
Dernière mise à jour : 8 avril 2026
1. Responsable de traitement
Le responsable du traitement des données personnelles collectées via le site vitrinedirect.com et le service VitrineDirect est :
- AM AGENCY, SARL au capital de 1 000 €
- SIRET : 930 426 044 00010
- Siège social : 23 rue Geoffray, 69100 Villeurbanne, France
- Représentée par Morel Anton et Seguy Antoine, co-gérants
Pour toute question relative à la protection de vos données personnelles, vous pouvez nous contacter à : contact@vitrinedirect.com
2. Données personnelles collectées
Nous collectons les catégories de données suivantes, selon les interactions de l'Utilisateur avec le Service :
2.1. Données d'inscription
- Nom et prénom
- Adresse email
- Mot de passe (stocké sous forme chiffrée/hashée)
2.2. Données de l'onboarding et du profil professionnel
- Nom de l'entreprise
- Secteur d'activité
- Description de l'activité
- Zone géographique
- Adresse professionnelle (facultatif)
- Numéro de téléphone professionnel (facultatif)
- Numéro SIRET (facultatif)
- Logo et photographies professionnelles (facultatif)
2.3. Données de facturation
- Données de paiement (traitées exclusivement par Stripe — nous ne stockons jamais vos numéros de carte)
- Historique des transactions et factures
- Identifiant client Stripe
2.4. Données d'utilisation du Service
- Historique des conversations avec l'assistant IA (chat de modification)
- Historique des versions du Site Vitrine (contenus HTML/CSS)
- Solde et historique de consommation de crédits
- Configuration du domaine
2.5. Données des visiteurs des Sites Vitrines
- Statistiques anonymes de fréquentation via Cloudflare Web Analytics (aucun cookie déposé, aucune donnée personnelle collectée, conforme RGPD)
- Messages soumis via les formulaires de contact intégrés aux Sites Vitrines (nom, email, message du visiteur)
2.6. Données de consentement
- Date et heure d'acceptation des CGU et de la Politique de confidentialité
- Consentement marketing (opt-in)
- Historique des consentements (piste d'audit RGPD)
3. Finalités et bases légales du traitement
| Finalité | Base légale (Art. 6 RGPD) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (Art. 6.1.b) |
| Fourniture du Service (génération de site, chat IA, hébergement) | Exécution du contrat (Art. 6.1.b) |
| Gestion des abonnements et paiements | Exécution du contrat (Art. 6.1.b) |
| Envoi d'emails transactionnels (confirmation, factures, alertes) | Exécution du contrat (Art. 6.1.b) |
| Envoi de communications marketing et promotionnelles | Consentement (Art. 6.1.a) |
| Réception et transmission des messages de formulaires de contact | Intérêt légitime (Art. 6.1.f) — permettre à l'Utilisateur de recevoir les demandes de ses visiteurs |
| Suivi statistique anonyme des Sites Vitrines | Intérêt légitime (Art. 6.1.f) — amélioration du service |
| Conservation des preuves de consentement | Obligation légale (Art. 6.1.c) |
| Facturation et obligations comptables | Obligation légale (Art. 6.1.c) |
| Prévention des fraudes et sécurité du Service | Intérêt légitime (Art. 6.1.f) |
4. Destinataires et sous-traitants
Vos données personnelles peuvent être transmises aux sous-traitants suivants, dans le cadre strict de la fourniture du Service :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Authentification, base de données, stockage fichiers | États-Unis | DPA signé, clauses contractuelles types (CCT) |
| Stripe Inc. | Paiement, facturation, gestion des abonnements | États-Unis | Certifié PCI-DSS niveau 1, CCT |
| Cloudflare Inc. | Hébergement des Sites Vitrines (R2, Workers, KV), CDN, analytics anonymes | États-Unis / Global | DPA, CCT |
| Vercel Inc. | Hébergement de la plateforme VitrineDirect | États-Unis | DPA, CCT |
| Resend Inc. | Envoi d'emails transactionnels | États-Unis | DPA, CCT |
| Gandi SAS | Enregistrement de noms de domaine | France | Droit français, RGPD |
| Anthropic PBC | Intelligence artificielle (génération et modification de sites) | États-Unis | DPA, CCT |
| Google LLC | Génération d'images IA (via API Gemini) | États-Unis | DPA, CCT |
Nous ne vendons jamais vos données personnelles à des tiers. Vos données ne sont partagées qu'avec les sous-traitants listés ci-dessus, dans la limite strictement nécessaire à la fourniture du Service.
5. Transferts de données hors de l'Union européenne
Certains de nos sous-traitants sont établis aux États-Unis. Ces transferts sont encadrés par :
- Les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914)
- Le cas échéant, le EU-US Data Privacy Framework pour les sous-traitants certifiés
- Des mesures techniques supplémentaires (chiffrement en transit et au repos, pseudonymisation)
Vous pouvez obtenir une copie des garanties appropriées en nous contactant à contact@vitrinedirect.com.
6. Durées de conservation
| Données | Durée de conservation |
|---|---|
| Données du compte et du profil | Durée de l'abonnement + 90 jours après résiliation |
| Site Vitrine et versions | Durée de l'abonnement + 90 jours après résiliation |
| Historique des conversations IA | Durée de l'abonnement + 90 jours après résiliation |
| Données de facturation et factures | 10 ans (obligation légale comptable — Art. L.123-22 du Code de commerce) |
| Preuves de consentement | 5 ans à compter du retrait du consentement ou de la suppression du compte |
| Messages de formulaires de contact | Durée de l'abonnement de l'Utilisateur destinataire |
| Logs de sécurité et de connexion | 12 mois (obligation LCEN — Art. 6 II) |
À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
7. Vos droits
Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (Art. 15 RGPD) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie
- Droit de rectification (Art. 16 RGPD) : demander la correction de données inexactes ou incomplètes
- Droit à l'effacement (Art. 17 RGPD) : demander la suppression de vos données, sous réserve des obligations légales de conservation
- Droit à la limitation(Art. 18 RGPD) : demander la limitation du traitement dans certains cas (contestation de l'exactitude, traitement illicite, etc.)
- Droit à la portabilité (Art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
- Droit d'opposition(Art. 21 RGPD) : vous opposer au traitement de vos données fondé sur l'intérêt légitime, y compris le profilage
- Retrait du consentement (Art. 7 RGPD) : retirer votre consentement à tout moment pour les traitements fondés sur celui-ci (emails marketing), sans affecter la licéité du traitement antérieur
- Directives post-mortem(Art. 85 loi Informatique et Libertés) : définir des directives relatives à la conservation, l'effacement et la communication de vos données après votre décès
Comment exercer vos droits
Vous pouvez exercer vos droits en nous contactant :
- Par email : contact@vitrinedirect.com
- Par courrier : AM AGENCY — 23 rue Geoffray, 69100 Villeurbanne, France
Nous répondrons à votre demande dans un délai maximum d'un (1) mois à compter de sa réception. Ce délai peut être prolongé de deux (2) mois en cas de demande complexe, auquel cas nous vous en informerons.
Une pièce d'identité pourra être demandée en cas de doute raisonnable sur votre identité.
8. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : www.cnil.fr/fr/plaintes
- Par courrier : CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
9. Cookies et traceurs
9.1. Cookies techniques (strictement nécessaires)
Le Service utilise uniquement des cookies techniques strictement nécessaires au fonctionnement de la plateforme :
- Cookie de session Supabase : authentification et maintien de la session utilisateur. Durée : session ou renouvellement automatique.
Ces cookies étant indispensables au fonctionnement du Service, ils ne requièrent pas de consentement préalable conformément à l'article 82 de la loi Informatique et Libertés.
9.2. Absence de cookies tiers
VitrineDirect n'utilise aucun :
- Cookie publicitaire ou de ciblage
- Cookie de réseau social
- Cookie analytique tiers (Google Analytics, etc.)
- Pixel de suivi ou traceur marketing
9.3. Analytics des Sites Vitrines
Les statistiques de fréquentation des Sites Vitrines sont collectées via Cloudflare Web Analytics, un outil qui :
- Ne dépose aucun cookie
- Ne collecte aucune donnée personnelle identifiante
- Ne suit pas les visiteurs entre les sites (pas de fingerprinting)
- Est conforme au RGPD sans nécessiter de consentement
10. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre la destruction accidentelle ou illicite, la perte, l'altération, la divulgation ou l'accès non autorisé, notamment :
- Chiffrement des données en transit (HTTPS/TLS) et au repos
- Mots de passe hashés avec des algorithmes cryptographiques modernes (bcrypt via Supabase Auth)
- Politiques de sécurité au niveau de la base de données (Row Level Security — RLS)
- Rate limiting et protection anti-abus
- Protection CSRF, sanitisation des entrées, en-têtes de sécurité (CSP, HSTS, X-Frame-Options)
- Accès aux données restreint aux seuls personnels et sous-traitants autorisés
11. Mineurs
Le Service s'adresse aux professionnels et aux personnes majeures. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans. Si nous découvrons qu'un mineur de moins de 16 ans a fourni des données personnelles, nous supprimerons ces données dans les meilleurs délais. Si vous êtes parent ou tuteur et que vous pensez que votre enfant nous a fourni des données, contactez-nous à contact@vitrinedirect.com.
12. Traitement des données par l'intelligence artificielle
Dans le cadre du Service, les données suivantes sont transmises à des modèles d'intelligence artificielle (Anthropic Claude, Google Gemini) pour la génération et la modification des Sites Vitrines :
- Informations professionnelles fournies lors de l'onboarding (nom de l'entreprise, secteur, description, coordonnées)
- Instructions de modification saisies dans le chat
- Contenu HTML existant du Site Vitrine
Ces données sont transmises via des API sécurisées (HTTPS) et ne sont pas utilisées par les fournisseurs d'IA pour l'entraînement de leurs modèles (conformément aux conditions d'utilisation des API d'Anthropic et de Google).
Aucune décision automatisée au sens de l'article 22 du RGPD n'est prise sur la base de ces traitements. L'IA génère des suggestions que l'Utilisateur peut librement accepter, modifier ou refuser.
13. Modification de la politique de confidentialité
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, nous informerons les Utilisateurs par email ou par notification dans le Service au moins trente (30) jours avant l'entrée en vigueur des modifications. La date de dernière mise à jour est indiquée en haut de cette page.
14. Contact
Pour toute question relative à la présente politique ou pour exercer vos droits :
- Email : contact@vitrinedirect.com
- Téléphone : 09 83 06 34 06
- Courrier : AM AGENCY — 23 rue Geoffray, 69100 Villeurbanne, France