POLITIQUE DE CONFIDENTIALITÉ

Le responsable du traitement est Afervescence SAS, identifié sous le SIREN 900 617 622, dont le siège social est établi 18 rue Anatole France, 95120 Ermont, France. La directrice de la publication est Tania Gombert, Présidente.

Toute demande relative à vos données personnelles peut être adressée à privacy@afervescence.com ou par courrier au siège social.

Estran collecte uniquement les données nécessaires à l'exécution du service et au respect de ses obligations légales. Le tableau ci-dessous récapitule chaque catégorie de donnée, sa finalité et sa base légale au sens de l'article 6 du RGPD.

Vos données sont uniquement accessibles aux équipes Afervescence habilitées et aux sous-traitants techniques listés ci-dessous. Chacun a signé un accord de traitement des données (DPA) conforme au RGPD. La liste est mise à jour à chaque évolution technique.

• Hostinger International Ltd. (Chypre, UE) : hébergement du serveur dédié (VPS) qui sert estran.afervescence.com. Infrastructure physique localisée en région Frankfurt (Allemagne). Aucun transfert hors Union européenne du fait de l'hébergement.
• Supabase Inc. (États-Unis) : base de données et authentification. Stockage hébergé en région européenne Irlande (eu-west-1, AWS Dublin) avec chiffrement au repos AES-256. Aucune donnée client ne quitte l'Union européenne du fait de Supabase.
• OpenAI LLC, Anthropic PBC, Google LLC, Perplexity AI Inc., Mistral AI : interrogation des modèles d'IA pour l'audit. Anthropic et OpenAI sont aux États-Unis (transferts CCT). Mistral AI est française.
• Stripe Payments Europe Ltd (Irlande) : traitement des paiements. Stripe Inc. (États-Unis) intervient sur certains traitements techniques, encadré par CCT.
• Brevo SA (France) : envoi des emails transactionnels et de la newsletter mensuelle. Hébergement européen.
• Sentry Inc. (États-Unis) : monitoring des erreurs techniques. Données pseudonymisées. Transferts encadrés par CCT.
• Axeptio (France) : gestion du consentement cookies (CMP). Hébergement européen.

Aucune donnée n'est cédée, vendue ou louée à des tiers à des fins commerciales.

L'hébergement principal d'Estran (Hostinger Chypre, infrastructure Frankfurt) est intégralement situé dans l'Union européenne. Aucun transfert hors UE n'est effectué du fait de l'hébergement.

Certains sous-traitants techniques sont néanmoins établis aux États-Unis (Anthropic, OpenAI, Google, Perplexity, Sentry, Stripe Inc.) pour l'interrogation des modèles d'IA et le traitement des paiements. Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914), complétées par les certifications Data Privacy Framework lorsque disponibles.

Estran privilégie autant que possible les opérateurs européens : Mistral AI (France), Supabase (région Irlande, AWS Dublin), Brevo (France), Axeptio (France), Hostinger (Chypre, infrastructure Frankfurt).

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (art. 15) : obtenir la copie de toutes les données que nous détenons sur vous.
• Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
• Droit à l'effacement (art. 17) : demander la suppression de vos données.
• Droit à la limitation (art. 18) : restreindre temporairement le traitement.
• Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré et exploitable (JSON).
• Droit d'opposition (art. 21) : vous opposer au traitement pour des motifs tenant à votre situation particulière.
• Droit de retirer votre consentement à tout moment, sans porter atteinte à la licéité des traitements antérieurs.

Ces droits s'exercent par email à privacy@afervescence.com ou via votre espace personnel pour les abonnés (page « Mes données »). Nous répondons sous un mois maximum.

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) si vous estimez que le traitement de vos données n'est pas conforme.

Afervescence met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité de vos données : chiffrement TLS pour toutes les communications, chiffrement au repos sur Supabase, Row Level Security PostgreSQL, authentification forte (SCA) pour les paiements via Stripe, monitoring continu via Sentry, rate limiting anti-abus.

En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous notifions la CNIL dans les 72 heures et vous informons sans délai lorsque le risque est élevé, conformément aux articles 33 et 34 du RGPD.

L'algorithme de scoring Estran produit un score chiffré 0-100 et 3 actions priorisées à partir des réponses des modèles d'IA interrogés. Ce traitement automatisé n'est pas une décision produisant des effets juridiques au sens de l'article 22 du RGPD : il s'agit d'un diagnostic indicatif que vous restez libre d'exploiter ou non.

La méthodologie GEO Afervescence en 10 critères est publiée de manière transparente. Vous pouvez à tout moment demander des explications sur un scoring spécifique en écrivant à privacy@afervescence.com.

8.1 URL de la marque auditée et sujets. Les URLs et les trois sujets que vous renseignez dans le service sont stockés en clair pendant douze mois maximum pour vous permettre de consulter l'historique de vos audits depuis votre espace abonné. Au-delà de cette durée, ces données sont anonymisées : l'audit reste consultable dans nos statistiques agrégées, mais sans association à un compte utilisateur identifiable.

8.2 Outputs des IA capturés. Les réponses générées par les cinq IA tierces (ChatGPT, Perplexity, Claude, Gemini, Mistral) sont stockées dans le rapport de votre audit, accessible depuis votre espace abonné. Ces réponses ne sont pas réutilisées à d'autres fins que la restitution de votre rapport et l'amélioration continue de notre méthodologie de scoring (analyses agrégées et anonymisées uniquement).

8.3 Pas d'entraînement de modèle sur vos données. Afervescence n'utilise pas vos données pour entraîner un modèle d'IA. Les prompts envoyés aux fournisseurs d'IA tiers sont régis par leurs propres politiques de confidentialité, dont Afervescence vérifie la conformité au moment du déploiement. Sur les API utilisées par Estran : Mistral et Perplexity (Sonar) sont configurés en mode Zero Data Retention contractuel, OpenAI et Anthropic n'utilisent pas les inputs API pour l'entraînement de leurs modèles depuis 2023, Google Gemini est utilisé via Vertex Enterprise (pas d'entraînement). Voir le document interne apps/estran/lib/audit/COMPLIANCE.md pour le détail des contraintes ToS appliquées dans le code.

L'usage des cookies et traceurs sur estran.afervescence.com fait l'objet d'une politique de cookies dédiée.

Toute modification substantielle de cette politique fera l'objet d'une notification par email aux abonnés actifs et d'une mise à jour datée sur cette page. La date de version courante est indiquée en tête de document.