Politique de confidentialité

En résumé

• Aucun compte utilisateur. Le service est entièrement anonyme.
• Aucun stockage des audits. Les résultats sont affichés puis oubliés. Rien n'est conservé côté serveur.
• Aucun cookie, aucun identifiant cross-site. Pas de publicité, pas de Google Analytics, pas de Tag Manager.
• Mesures de performance anonymes sans cookies : nombre de pages vues par URL et Core Web Vitals, via Vercel Analytics et Speed Insights. Aucune identification possible.
• Une adresse IP hachée (SHA-256 avec sel) est utilisée uniquement pour appliquer des quotas anti-abus.

Responsable de traitement

Le responsable du traitement est Thomas Gruson (éditeur du site, voir mentions légales).

Données traitées

Adresse IP (hachée)

Lorsque vous lancez un audit, votre adresse IP est extraite des en-têtes de la requête HTTP, immédiatement hachée en SHA-256 avec un sel secret, puis utilisée comme clé pour vérifier les limites d'usage (nombre d'audits par intervalle). L'adresse IP en clair n'est jamais stockée. Seul le haché est conservé dans un cache Redis éphémère (durée de vie quelques minutes à quelques heures selon la fenêtre de limite).

Base légale : intérêt légitime de l'éditeur à protéger le service contre les abus et à maintenir sa disponibilité (article 6.1.f RGPD).

URL soumise à l'audit

L'URL que vous fournissez est utilisée uniquement pour lancer le scan axe-core sur cette page. Elle est envoyée au navigateur serverless et transmise telle quelle dans la réponse HTTP qui vous revient. Elle n'est pas persistée au-delà de la requête.

Logs techniques d'hébergement

Vercel, notre hébergeur, conserve des logs techniques (horodatage, URL appelée, code HTTP, taille de réponse) dans le cadre de son offre. Ces logs sont accessibles uniquement à l'éditeur via le tableau de bord Vercel.

Mesures de performance et de fréquentation (Vercel Analytics & Speed Insights)

Deux outils de mesure fournis par Vercel sont activés afin de vérifier que le site reste performant et d'estimer son usage :

• Vercel Web Analytics — compte les pages vues par URL, avec des indicateurs agrégés (pays, type d'appareil, navigateur). Aucun cookie n'est posé. Aucune identification ni mise en relation entre sessions n'est possible.
• Vercel Speed Insights — mesure les Core Web Vitals (LCP, CLS, INP) chez une fraction de visiteurs, pour détecter les régressions de performance. Aucun cookie. Les données sont anonymes et agrégées.

Ces deux outils ne servent pas à vous suivre : ils ne posent aucun cookie, ne lisent aucun identifiant de votre navigateur, et ne créent aucun profil utilisateur. Ils jouent le même rôle que les logs serveur, en plus lisible.

Traitement de l'adresse IP : pour que ces mesures fonctionnent, Vercel reçoit l'adresse IP de votre navigateur (comme tout serveur web) et l'utilise uniquement pour déduire le pays visiteur et dédupliquer les sessions. L'IP en clair n'est ni stockée côté éditeur ni associée à une mesure identifiable.

Base légale : intérêt légitime de l'éditeur à maintenir un service performant (article 6.1.f RGPD). Puisqu'aucun cookie n'est posé et aucun identifiant personnel n'est traité, aucun consentement préalable n'est requis (conformément à la position de la CNIL sur les outils de mesure d'audience sans cookies).

Sous-traitants

Le service fonctionne avec deux sous-traitants uniquement :

• Vercel Inc. (États-Unis) : hébergement du site et exécution du scanner. Politique de confidentialité Vercel.
• Upstash, Inc. (États-Unis, régions Europe disponibles) : stockage éphémère des compteurs de limites anti-abus. Politique de confidentialité Upstash.

Les transferts vers les États-Unis s'appuient sur les clauses contractuelles types (CCT) de la Commission européenne, ainsi que, selon le cas, sur le Data Privacy Framework (DPF) lorsqu'applicable.

Durée de conservation

• IP hachée (Upstash) : quelques minutes à quelques heures, selon la fenêtre glissante de la limite (15 min pour les audits single-page, 1 heure pour les crawls et la limite globale).
• Logs techniques Vercel : selon la politique Vercel, typiquement 30 jours.
• Résultats d'audit : aucun. Aucune base de données n'est utilisée pour stocker les audits.

Cookies

Le site n'utilise aucun cookie, qu'il soit tiers ou interne. Pas de Google Analytics, pas de pixel publicitaire, pas de Tag Manager, pas de régie. Les outils de mesure cités plus haut (Vercel Analytics et Speed Insights) fonctionnent sans cookies. Si un cookie technique devait être posé à l'avenir par nécessité (par exemple pour un token de sécurité), il serait strictement limité à son usage et documenté ici.

Vos droits

Conformément au RGPD, vous disposez des droits d'accès, de rectification, de suppression, de limitation, d'opposition et de portabilité sur vos données personnelles. Dans la mesure où aucune donnée identifiante (IP en clair, email, nom) n'est conservée, ces droits s'exercent en pratique sur un périmètre très réduit.

Aucun profilage ni décision automatisée au sens de l'article 22 du RGPD n'est opéré par le service. Aucun traitement algorithmique ne produit d'effet juridique ou significatif vous concernant.

Pour toute demande, contactez contact@rgaa-scanner.fr. Vous pouvez également introduire une réclamation auprès de la CNIL.

Modifications

Cette politique peut être mise à jour sans préavis. La date de dernière mise à jour est affichée en tête de page.