Politique de Confidentialité
Dernière mise à jour : mars 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
Emilien Matte, entrepreneur individuel (SIRET 940 957 426 00015), éditeur du site focusmarket.fr.
Contact : privacy@focusmarket.fr
2. Données collectées
Dans le cadre de l'utilisation du service, nous collectons :
- Données de compte : adresse e-mail, prénom, nom, mot de passe (hashé bcrypt — jamais stocké en clair).
- Données de commande : description du projet (secteur, zone géographique, cible), offre choisie, horodatage.
- Données de paiement : traitées exclusivement par Stripe Inc. (certifié PCI DSS). FocusMarket ne stocke aucun numéro de carte bancaire.
- Données techniques : adresse IP, type de navigateur (logs serveur Nginx, conservation 90 jours).
- Cookie d'authentification : jeton JWT httpOnly (durée : 24 heures, strictement nécessaire au service).
3. Bases légales du traitement
Conformément à l'article 6 du RGPD, les traitements reposent sur :
- Exécution du contrat (art. 6.1.b) : traitement des données nécessaires à la production et livraison du rapport commandé.
- Obligation légale (art. 6.1.c) : conservation des factures et données de transaction (obligation comptable).
- Intérêt légitime (art. 6.1.f) : prévention de la fraude, sécurité du service, amélioration du service.
Nous ne traitons aucune donnée sur la base du consentement à des fins marketing ou publicitaires. Aucun e-mail commercial non sollicité n'est envoyé. Les seuls e-mails sont transactionnels (confirmation de commande, rapport prêt, réinitialisation de mot de passe).
4. Sous-traitants et transferts
Vos données peuvent être traitées par les sous-traitants suivants :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Hetzner | Hébergement serveur | Allemagne (UE) |
| Stripe Inc. | Paiement sécurisé | USA (clauses contractuelles types) |
| Anthropic | Génération IA (rédaction rapport) | USA (clauses contractuelles types) |
| Google Cloud (Vertex AI) | Génération images décoratives | USA (clauses contractuelles types) |
| Resend | E-mails transactionnels | USA (clauses contractuelles types) |
| Tavily | Recherche de sources sectorielles | USA (clauses contractuelles types) |
Pour les transferts hors UE, des garanties appropriées sont mises en place (clauses contractuelles types de la Commission européenne). Les données transmises aux LLM (Anthropic, Google) se limitent aux informations du projet (secteur, zone géographique) — aucune donnée personnelle du Client n'est transmise aux modèles d'IA.
5. Durée de conservation
- Compte utilisateur : conservé tant que le compte est actif ; supprimé sous 30 jours après demande de suppression.
- Rapports générés : conservés 12 mois à compter de la livraison, puis supprimés automatiquement.
- Données de facturation : conservées 10 ans (obligation légale comptable).
- Logs techniques (IP, requêtes) : conservés 90 jours.
- Cookie JWT : durée 24 heures (session active).
6. Vos droits (RGPD)
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès — obtenir une copie de vos données personnelles.
- Droit de rectification — corriger des données inexactes.
- Droit à l'effacement — demander la suppression de vos données.
- Droit à la portabilité — recevoir vos données dans un format structuré.
- Droit d'opposition — vous opposer au traitement fondé sur l'intérêt légitime.
- Droit à la limitation — restreindre le traitement dans certains cas.
Pour exercer ces droits, adressez votre demande à privacy@focusmarket.fr en joignant une copie de votre pièce d'identité. Nous répondrons sous 30 jours.
Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).
7. Sécurité
- Chiffrement TLS (HTTPS) pour toutes les communications.
- Mots de passe hashés (bcrypt) — jamais stockés en clair.
- Cookie JWT httpOnly, SameSite=Lax, Secure en production.
- Paiements délégués à Stripe (certifié PCI DSS niveau 1).
- Serveur hébergé dans un datacenter certifié ISO 27001 (Hetzner).
- Accès SSH restreint par clé — aucun accès par mot de passe.
8. Traitement par intelligence artificielle
Conformément à l'article 22 du RGPD et au Règlement européen sur l'IA (AI Act), nous vous informons que :
- Les rapports sont produits par des systèmes d'intelligence artificielle (modèles de langage Claude d'Anthropic et Gemini de Google).
- Aucune décision automatisée n'est prise à votre égard au sens de l'article 22 du RGPD — le rapport est un document informatif, pas une décision juridique ou financière.
- Les données transmises aux modèles d'IA se limitent aux informations de votre projet (secteur, zone, cible) et aux données collectées auprès des sources publiques. Votre e-mail, nom et données de paiement ne sont jamais transmis aux modèles.
- Malgré les mécanismes de vérification automatique (agent critique, croisement de sources), les contenus générés par IA peuvent contenir des inexactitudes.
9. Modification
Cette politique peut être mise à jour. La date de dernière modification est indiquée en haut de page. En cas de modification substantielle, les utilisateurs inscrits seront notifiés par e-mail.