POLITIQUE DE CONFIDENTIALITÉ
La présente politique décrit comment Estran (service d'audit GEO multi-IA édité par Afervescence SAS) collecte, traite et protège vos données personnelles, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la Loi Informatique et Libertés du 6 janvier 1978 modifiée.
Document en vigueur depuis le 25 mai 2026, version v2.0. Contact dédié : dpo@afervescence.com.
1. Qui édite Estran et qui est responsable de vos données
Estran (« le Service ») est un service d'audit GEO multi-IA édité et exploité par la société Afervescence, SAS au capital de 2 000 €, immatriculée au RCS de Pontoise sous le numéro 900 617 622 (RCS Pontoise), dont le siège social est situé 18 rue Anatole France, 95120 Ermont, France.
Afervescence est le responsable de traitement au sens de l'article 4.7 du RGPD et de la Loi Informatique et Libertés.
Contact dédié aux données personnelles : dpo@afervescence.com
2. Quelles données nous collectons
2.1 Démo gratuite (sans paiement, sans création de compte)
Lorsque vous testez la démo gratuite d'Estran, nous collectons :
- Votre adresse email (champ obligatoire pour vous envoyer le rapport)
- L'URL de votre marque ou site web (objet de l'audit)
- 3 sujets de votre choix (prompts utilisés pour interroger les IA)
- Votre adresse IP (uniquement pour appliquer la limite de 1 audit gratuit par 24 heures, conformément à l'art. 6.1.f RGPD : intérêt légitime à prévenir l'abus du service)
- Votre User-Agent (navigateur et système d'exploitation, à des fins de diagnostic technique)
Nous ne collectons aucune autre donnée lors de la démo gratuite. Pas de cookie de tracking, pas de profil utilisateur, pas de géolocalisation, pas de données comportementales.
Données produites par les IA tierces. Le rapport d'audit qui vous est restitué contient les réponses textuelles produites par les cinq modèles d'IA interrogés (cf § 5). Ces réponses sont des contenus générés automatiquement : leur exactitude n'est pas garantie et peut comporter des erreurs factuelles propres au comportement des grands modèles de langage. Nous documentons systématiquement la provenance de chaque réponse (modèle, version, date d'interrogation) dans le rapport, et nous indiquons les limitations connues sur la page méthodologie estran.afervescence.com/methodologie.
2.2 Audit complet payant
Lorsque vous achetez un audit complet (79 € HT ponctuel, 39 € HT/mois ou 384 € HT/an), nous collectons en plus :
- Vos nom et prénom (facultatif, pour personnaliser le rapport)
- Le nom de votre entreprise (facultatif)
- Vos données de facturation (raison sociale, adresse, TVA intracom le cas échéant)
- Vos données de paiement, traitées exclusivement par Stripe Payments Europe, Limited (Irlande). Nous ne stockons aucune donnée de carte bancaire.
2.3 Cookies et traceurs
Estran utilise uniquement des cookies fonctionnels strictement nécessaires au service : cookie de session Next.js, cookie de consentement TarteAuCitron (durée 13 mois max), cookies Stripe pour le paiement, cookie technique Supabase (auth).
Aucun cookie tiers de tracking, publicitaire, analytique ou de marketing n'est déposé. Estran n'utilise pas Google Analytics, Plausible, Hotjar, Facebook Pixel, ou tout autre service de mesure d'audience. Le bandeau de consentement est géré par TarteAuCitron.js (Amaury Balmer / BeAPI, France), conforme aux lignes directrices CNIL.
3. Pourquoi nous traitons vos données (finalités)
| Finalité | Données traitées | Base légale (art. 6 RGPD) |
|---|---|---|
| Exécution du service d'audit (démo gratuite) | Email, URL, sujets, IP, User-Agent | 6.1.b : mesures précontractuelles à votre demande |
| Exécution du service d'audit (payant) | Toutes données sect. 2.1 + 2.2 | 6.1.b : exécution du contrat |
| Facturation et conservation comptable | Données facturation | 6.1.c : obligation légale (Code de commerce art. L123-22) |
| Prévention des abus (rate-limit) | Adresse IP | 6.1.f : intérêt légitime |
| Communications transactionnelles | 6.1.b : exécution du contrat | |
| Marketing direct B2B (newsletter) | Email professionnel | 6.1.f : intérêt légitime, sous réserve droit d'opposition (art. 21) |
| Sécurité et diagnostic technique | IP, User-Agent, logs | 6.1.f : intérêt légitime |
4. Combien de temps nous conservons vos données
| Type de données | Durée de conservation |
|---|---|
| Données démo gratuite (audit non converti) | 36 mois à compter du dernier audit, puis suppression automatique |
| Données client audit payant | 10 ans à compter de la fin de la relation contractuelle (obligation comptable et fiscale) |
| Données de facturation | 10 ans (Code de commerce) |
| Données marketing (contacts non-clients) | 36 mois sans interaction, puis suppression ou anonymisation |
| Adresse IP (rate-limit) | 24 heures glissantes |
| Cookies | Maximum 13 mois (recommandation CNIL) |
| Logs techniques | 12 mois |
Au-delà de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
5. Qui a accès à vos données (destinataires et sous-traitants)
Vos données sont accessibles aux personnels habilités d'Afervescence. Elles sont également transmises aux sous-traitants suivants, qui agissent uniquement sur nos instructions :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase Inc. (via AWS) | Hébergement base de données | Dublin, Irlande (eu-west-1) · UE |
| Hostinger International Ltd. | Hébergement application | Frankfurt, Allemagne · UE |
| Brevo (ex-Sendinblue) | Email transactionnel et marketing | Paris, France · UE |
| Stripe Payments Europe, Ltd. | Traitement paiements | Dublin, Irlande · UE |
| Mistral AI | LLM utilisé pour l'audit (Mistral Large) | Paris, France · UE |
| OpenAI, LLC | LLM utilisé pour l'audit (GPT-5) | États-Unis · voir § 6 |
| Anthropic, PBC | LLM utilisé pour l'audit (Claude Sonnet 4.7) | États-Unis · voir § 6 |
| Google LLC | LLM utilisé pour l'audit (Gemini 2.5) | États-Unis · voir § 6 |
| Perplexity AI, Inc. | LLM utilisé pour l'audit (Sonar Pro) | États-Unis · voir § 6 |
Aucune autre transmission de données à des tiers (revente, partage publicitaire, courtage de données) n'est effectuée.
6. Transferts de données hors Union européenne
En bref : quatre des cinq IA utilisées sont américaines (OpenAI, Anthropic, Google, Perplexity), une est française (Mistral). Vos URL et sujets sont transmis à ces sociétés pour produire l'audit. Aucune de vos données directement identifiantes (email, nom, données de facturation) n'est transmise hors de l'Union européenne. Ces transferts sont encadrés par les Clauses contractuelles types européennes. Une option « EU-only » (Mistral seul) sera proposée dans une version ultérieure.
L'exécution d'un audit Estran implique l'interrogation de cinq modèles d'intelligence artificielle. Quatre de ces modèles sont opérés par des sociétés américaines : OpenAI, Anthropic, Google, et Perplexity AI. Un modèle, Mistral Large, est opéré depuis la France.
Les URL et sujets que vous saisissez dans le formulaire d'audit sont transmis à ces sociétés via leurs API officielles, sous forme de prompts. Votre email, votre nom et vos données de facturation ne sont jamais transmis à ces sociétés : ils restent stockés exclusivement chez nos sous-traitants européens (Supabase Dublin, Brevo Paris, Stripe Dublin).
Ces transferts sont encadrés par :
- Les Clauses contractuelles types de la Commission européenne (Décision d'exécution 2021/914 du 4 juin 2021), incluses dans les contrats commerciaux entre Afervescence et chacun de ces fournisseurs
- L'évaluation au cas par cas du niveau de protection effectif des données dans le pays tiers, conformément à l'arrêt CJUE Schrems II du 16 juillet 2020
- L'absence de transmission de données directement identifiantes (email, nom, facturation) aux LLM US
Si vous souhaitez que vos audits soient exécutés uniquement avec des LLM hébergés en Union européenne (Mistral AI seul), contactez-nous à dpo@afervescence.com. Une option « EU-only » sera proposée dans une version ultérieure du service.
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : connaître les données que nous détenons sur vous
- Droit de rectification (art. 16) : corriger des données inexactes
- Droit d'effacement (art. 17) : supprimer vos données (« droit à l'oubli »)
- Droit d'opposition (art. 21) : vous opposer au traitement, notamment à des fins de prospection marketing
- Droit à la limitation (art. 18) : suspendre temporairement le traitement
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine. Modalités d'export : sur demande à dpo@afervescence.com, format CSV ou JSON au choix, fourni dans un délai maximum de 30 jours. L'export inclut vos audits réalisés, vos rapports, vos données de compte si applicable.
Pour exercer ces droits, écrivez à dpo@afervescence.com. Nous vous répondrons dans un délai maximum de 30 jours (art. 12.3 RGPD), gratuitement.
En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 · cnil.fr/fr/plaintes.
8. Sécurité
Vos données sont protégées par :
- Chiffrement TLS 1.3 pour tous les échanges entre votre navigateur et nos serveurs
- Chiffrement AES-256 au repos sur les bases de données Supabase
- Authentification forte Supabase Auth (PostgREST + Row Level Security)
- Sauvegardes chiffrées quotidiennes sur infrastructure AWS Dublin
- Accès restreint aux personnels d'Afervescence sur le principe du moindre privilège
- Mises à jour de sécurité appliquées dans les 48 heures pour les CVE critiques
En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous vous en informerons sans délai injustifié et notifierons la CNIL dans les 72 heures (art. 33 et 34 RGPD).
9. Données des mineurs
Estran est un service strictement réservé aux professionnels et n'est pas destiné aux personnes de moins de 18 ans. Aucune collecte intentionnelle de données concernant des mineurs n'est effectuée.
10. Modifications de la présente politique
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment, notamment pour l'adapter aux évolutions législatives et réglementaires. Toute modification substantielle vous sera notifiée par email si vous êtes client, ou par bandeau visible sur estran.afervescence.com.
La version en vigueur est toujours celle accessible à l'adresse estran.afervescence.com/politique-de-confidentialite.
11. Contact
Pour toute question relative à la présente politique de confidentialité ou à vos données personnelles :
- Afervescence · Service données personnelles
- Email : dpo@afervescence.com
- Courrier : 18 rue Anatole France, 95120 Ermont, France
12. Traitement de données par intelligence artificielle
Afervescence assume publiquement l'usage de l'intelligence artificielle dans son service et dans ses communications. Cette transparence est une règle non négociable de l'entreprise.
12.1 Audit produit par IA
Le service Estran consiste à interroger cinq grands modèles de langage (LLM) sur votre marque et à scorer leurs réponses. Le rapport qui vous est livré est donc, par construction, le résultat d'un traitement entièrement automatisé au sens de l'article 22 du RGPD, dans la limite où il ne produit pas d'effet juridique vous concernant ni ne vous affecte de manière significative (un audit GEO est une analyse marketing, pas une décision sur votre personne). Vous restez libre d'utiliser ou non les recommandations du rapport.
Les modèles utilisés et leurs versions sont listés dans le § 5 de la présente politique et détaillés sur la page méthodologie publique estran.afervescence.com/methodologie.
12.2 Communications signées par des agents IA
Certaines de nos communications externes (emails commerciaux, contenus de fond, accompagnement client) sont signées par des agents IA développés par Afervescence, identifiables par leur fonction :
- Camille Nguyen · Copywriter IA · Afervescence : signataire des emails commerciaux outbound (lancements, newsletters, séquences nurturing)
- Lucas Vidal · Consultant IA méthodologie GEO · Estran : signataire des rapports d'audit, des emails transactionnels post-paiement, et des contenus méthodologiques
Ces agents sont des outils éditoriaux et commerciaux d'Afervescence, et non des personnes physiques. Leur transparence est assumée dans chaque communication (mention en pied de message). La responsabilité éditoriale et juridique des contenus produits par ces agents relève d'Afervescence, représentée par sa Présidente, Tania Gombert (cf mentions légales).
Si vous souhaitez échanger avec un interlocuteur humain identifié, écrivez à contact@afervescence.com.
Politique de confidentialité d'Estran v2.0 · 25 mai 2026 · édition Afervescence (SAS, SIREN 900 617 622). Coordination Direction Juridique & Conformité, relectures Directions Stratégie / DGA / Acquisition / Partenariats, validation Présidence.