Politique de confidentialité
Publié le 09 avril 2026
Dernière mise à jour : 24 mars 2026
1. Introduction
La société SITAXA, éditrice du site est-ce-si-haut.com, accorde une importance particulière à la protection de vos données personnelles. La présente politique décrit comment nous collectons, utilisons, conservons et protégeons vos données conformément au Règlement Général sur la Protection des Données (UE) 2016/679 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).
2. Responsable du traitement
SITAXA — SASU au capital de 6 000 €
18c chemin des Écoliers, 74370 Epagny Metz-Tessy, France
RCS Annecy 523 820 223
Représentée par M. Xavier Sureau, Président
Contact données personnelles : dpo@est-ce-si-haut.com
3. Données collectées
Nous ne collectons que les données strictement nécessaires à la fourniture du service, conformément au principe de minimisation des données (article 5.1.c du RGPD).
3.1 Données fournies directement par l'utilisateur
| Catégorie | Données | Obligatoire |
|---|---|---|
| Inscription | Nom, adresse e-mail, mot de passe (stocké sous forme hachée) | Oui |
| Organisation | Nom de l'organisation, langue, fuseau horaire | Oui |
| Préférences | Langue de l'interface, préférences de notification, URL de webhook Discord (optionnel) | Non |
3.2 Données collectées automatiquement
| Catégorie | Données | Durée |
|---|---|---|
| Session | Adresse IP, user-agent (navigateur/OS), identifiant de session | Durée de la session (120 min d'inactivité) |
| Journaux d'activité | Actions effectuées sur la plateforme (création, modification, suppression de ressources) | 12 mois |
| Données techniques | Logs serveur (horodatage, URL demandée, code de réponse) | 90 jours |
3.3 Données collectées via des tiers avec votre consentement
| Service | Données | Base légale |
|---|---|---|
| Google Search Console (OAuth) | Données de performance SEO de vos sites (requêtes, positions, clics, impressions) | Consentement explicite (article 6.1.a du RGPD) |
3.4 Données de facturation
Les informations de paiement (numéro de carte bancaire, date d'expiration) sont traitées directement par Stripe, notre prestataire de paiement certifié PCI-DSS. SITAXA ne stocke jamais vos données bancaires. Nous conservons uniquement l'identifiant client Stripe, l'historique des transactions et les factures.
4. Finalités et base légale du traitement
| Finalité | Base légale |
|---|---|
| Fourniture du service (création de compte, exécution des workflows, génération de contenus) | Exécution du contrat (art. 6.1.b) |
| Gestion de la facturation et des Compute Units | Exécution du contrat (art. 6.1.b) |
| Envoi de notifications liées au service (alertes, confirmations, digests) | Exécution du contrat (art. 6.1.b) |
| Accès aux données Google Search Console | Consentement (art. 6.1.a) |
| Sécurité du service et prévention des abus | Intérêt légitime (art. 6.1.f) |
| Conservation des factures et documents comptables | Obligation légale (art. 6.1.c) |
| Amélioration du service | Intérêt légitime (art. 6.1.f) |
Lorsque nous invoquons l'intérêt légitime (art. 6.1.f du RGPD), nous veillons à ce que cet intérêt ne porte pas atteinte aux droits et libertés fondamentaux des utilisateurs. Vous avez le droit de vous y opposer à tout moment en adressant votre demande à dpo@est-ce-si-haut.com.
5. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données de compte | Durée de l'utilisation du service + 12 mois après clôture |
| Journaux d'activité | 12 mois glissants |
| Factures et données comptables | 10 ans (obligation légale, article L.123-22 du Code de commerce) |
| Transactions de Compute Units | 5 ans |
| Logs techniques serveur | 90 jours |
| Données Google Search Console | Durée de la connexion OAuth (révocable à tout moment) |
À l'issue de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
6. Cookies et traceurs
Le site utilise exclusivement des cookies strictement nécessaires au fonctionnement du service :
| Cookie | Finalité | Durée |
|---|---|---|
| Cookie de session | Maintien de la session utilisateur authentifiée | 120 minutes d'inactivité |
| Jeton CSRF | Protection contre les attaques Cross-Site Request Forgery | Durée de la session |
| Cookie d'attribution affilié | Identification du partenaire affilié ayant référé l'utilisateur, aux fins de calcul des commissions | 90 jours |
Aucun cookie publicitaire, analytique ou de profilage n'est utilisé. Aucun outil de tracking tiers (Google Analytics, Facebook Pixel, etc.) n'est intégré au site. En conséquence, le recueil du consentement préalable n'est pas requis conformément à l'article 82 de la loi Informatique et Libertés et à la recommandation de la CNIL n° 2020-091.
7. Sous-traitants et destinataires des données
Vos données personnelles peuvent être transmises aux sous-traitants suivants, agissant uniquement sur instruction de SITAXA :
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| OVH SAS | Hébergement de l'infrastructure | France (Gravelines) | Données hébergées en France |
| Stripe, Inc. | Traitement des paiements | États-Unis / Irlande | Certifié PCI-DSS, Data Processing Agreement, clauses contractuelles types |
| Brevo (Sendinblue) | Envoi d'e-mails transactionnels | France | Données hébergées en UE |
| Google LLC | API Search Console (sur consentement) | États-Unis | Clauses contractuelles types, Data Privacy Framework |
| Fournisseurs de services d'intelligence artificielle | Génération de contenus et traitement de données SEO | UE / États-Unis | Clauses contractuelles types, données non utilisées pour l'entraînement |
| Fournisseurs de données SEO | Analyse de mots-clés, positions et concurrence | UE / États-Unis | Clauses contractuelles types |
8. Transferts hors Union européenne
Certains de nos sous-traitants sont situés en dehors de l'Espace Économique Européen (principalement aux États-Unis). Ces transferts sont encadrés par :
- Des clauses contractuelles types (CCT) approuvées par la Commission européenne (décision d'exécution 2021/914)
- Le EU-US Data Privacy Framework pour les sous-traitants certifiés
- Des mesures techniques complémentaires (chiffrement en transit et au repos)
9. Sécurité des données
SITAXA met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des communications via TLS 1.2+ (HTTPS obligatoire, HSTS activé)
- Mots de passe stockés sous forme de hash bcrypt (irréversible)
- Authentification à deux facteurs (2FA) disponible
- Isolation des données par organisation (multi-tenant)
- Cookies sécurisés (HttpOnly, Secure, SameSite=Lax)
- Protection CSRF sur tous les formulaires
- En-têtes de sécurité HTTP (HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy)
- Accès restreint aux données de production
10. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données personnelles
- Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes
- Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation
- Droit à la limitation du traitement (art. 18)
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
- Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime
- Droit de retirer votre consentement à tout moment (sans affecter la licéité du traitement antérieur)
Pour exercer ces droits, adressez votre demande à : dpo@est-ce-si-haut.com
Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois en cas de demande complexe, auquel cas vous en serez informé.
11. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr/fr/plaintes
12. Modification de la politique
La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou organisationnelles. En cas de modification substantielle, les utilisateurs inscrits en seront informés par e-mail. La date de dernière mise à jour est indiquée en haut de cette page.