Commerçants

Connectés
← Retour à l'accueil

Page légale

Politique de confidentialité

Dernière mise à jour : 17 mai 2026

Cette politique de confidentialité décrit comment CD CONNECT (édite Commerçants Connectés) collecte, utilise et protège vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD - règlement UE 2016/679) et à la loi Informatique et Libertés.

1. Responsable du traitement

Le responsable du traitement des données est :

  • Société : CD CONNECT
  • Siège social : 45 avenue Franklin Roosevelt
  • SIRET : 500 402 805 00013
  • Contact RGPD : webmaster@commercants-connectes.fr
  • Téléphone : 01 76 21 13 13
  • DPO : Non désigné (PME exemptée — contact RGPD via l'email ci-dessus)

2. Données collectées

2.1 Données fournies directement par vous

  • Compte utilisateur : nom, prénom, adresse email, mot de passe (haché avec bcrypt, jamais stocké en clair).
  • Informations du commerce : nom commercial, type de commerce, adresse, ville, téléphone, email de contact public, horaires, logo, photos vitrine, descriptions, liens vers site web externe / Facebook / Instagram.
  • Contenus créés : textes de la vitrine, affiches générées, posts générés, réponses à vos avis Google, calculs de marge, étiquettes prix.
  • Réponses Pico : vos réponses aux questions hebdomadaires de Pico (objectif business, tempérament, frustration, points forts, équipe, expérience, passion…).
  • Paiement : coordonnées bancaires (carte) collectées et stockées exclusivement par notre prestataire Stripe Payments Europevos données bancaires ne transitent jamais par nos serveurs.

2.2 Données collectées automatiquement

  • Données de connexion : adresse IP, navigateur, système d'exploitation, date/heure des accès. Conservées 12 mois en base de logs.
  • Données d'usage : outils utilisés, fréquence d'usage, génération d'affiches/vitrines/posts, conseils Pico complétés vs ignorés. Pour le bon fonctionnement du service, le scoring des conseils et l'amélioration produit.
  • Données dérivées par Pico (apprentissage implicite) : Pico analyse vos posts, affiches, conseils complétés, outils utilisés, vocabulaire de votre chat et fiche Google pour déduire des caractéristiques de votre commerce (passion dominante, ton préféré, jours fermés, niveau de maturité digitale, etc.). Ces déductions sont stockées avec une marque "source: inferred" et utilisées uniquement pour vous proposer de meilleurs conseils.

2.3 Données enrichies depuis sources externes

  • Données géographiques de votre commune (population, profil socio-économique) récupérées via les API publiques data.gouv.fr et INSEE SIRENE.
  • Fiche Google Business Profile : Pico détecte automatiquement votre fiche Google et en lit les informations publiques (note, avis, photos, horaires) via l'API Google Places.
  • Analyse visuelle de votre logo et photos par IA (Claude Vision) pour déduire palette, style, ambiance.
  • Analyse de votre site web externe (si renseigné) par IA pour déduire ton éditorial, services mentionnés, points d'amélioration.

3. Finalités du traitement

FinalitéBase légaleDurée de conservation
Fourniture du service (compte, outils, vitrine, Pico coach IA) Exécution du contrat Pendant toute la durée de l'abonnement + 60 jours après résiliation
Apprentissage et personnalisation par Pico Exécution du contrat Pendant l'abonnement + 60 jours après résiliation
Facturation et paiement (Stripe) Obligation légale 10 ans (Code de commerce)
Support client Exécution du contrat 3 ans après dernier contact
Sécurité, prévention de la fraude Intérêt légitime 12 mois (logs)
Amélioration du service (analyse d'usage anonymisée) Intérêt légitime 3 ans (sous forme agrégée)
Communications produit (nouveautés) Intérêt légitime (opt-out facile) Pendant l'abonnement + 6 mois

4. Destinataires des données

Vos données sont accessibles uniquement à :

  • L'équipe technique de CD CONNECT, dans le strict cadre du fonctionnement du service.
  • Nos sous-traitants techniques, contractuellement engagés au respect du RGPD :
    • Stripe Payments Europe Ltd (Dublin, Irlande) — prestataire de paiement carte bancaire, certifié PCI-DSS niveau 1
    • OVH SAS / OVHcloud (Roubaix, France) — hébergement de l'infrastructure (serveurs et bases de données en France)
    • Anthropic (États-Unis) — modèle Claude utilisé pour Pico, les générations de posts/affiches/études marché et le chat coach. Les requêtes IA n'incluent pas votre email ou identifiant utilisateur ; seul le contexte métier nécessaire est transmis.
    • Google LLC (États-Unis) — API Google Places New pour la détection automatique de votre fiche Google Business Profile
    • Open-Meteo (Europe) — API météo pour adapter les conseils à la météo locale (aucune donnée personnelle transmise, uniquement la commune)
    • INSEE (France) — API SIRENE pour le comptage des concurrents par métier dans votre commune (donnée publique)

Nous ne vendons, ne louons et ne cédons jamais vos données à des tiers à des fins commerciales.

5. Transferts hors UE

Nos données sont hébergées en France (UE) chez OVH. Toutefois, certains de nos sous-traitants (Anthropic, Google) opèrent aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne (CCT) et le Data Privacy Framework. Aucune donnée nominative (email, nom, téléphone) n'est transmise à ces sous-traitants : seules les requêtes nécessaires au service le sont (textes de prompts IA, adresse pour la détection de fiche Google).

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données :

  • Droit d'accès : obtenir une copie de toutes les données que nous détenons sur vous
  • Droit de rectification : corriger des données inexactes ou incomplètes
  • Droit à l'effacement (« droit à l'oubli ») : supprimer vos données (sous réserve des obligations légales)
  • Droit à la limitation : suspendre certains traitements
  • Droit d'opposition : refuser certains traitements (notamment la prospection)
  • Droit à la portabilité : récupérer vos données dans un format structuré (JSON) pour les transférer à un autre service
  • Droit de retrait du consentement à tout moment
  • Droit de définir des directives relatives au sort de vos données après votre décès

Pour exercer ces droits, écrivez à webmaster@commercants-connectes.fr. Nous vous répondons dans un délai maximum d'1 mois.

Vous pouvez également déposer une réclamation auprès de la CNIL (www.cnil.fr) si vous estimez que vos droits ne sont pas respectés.

7. Sécurité des données

  • Connexions HTTPS obligatoires (TLS 1.3) sur tout le site.
  • Mots de passe hachés avec bcrypt (jamais stockés en clair).
  • Données bancaires jamais stockées chez nous (Stripe est le seul à les détenir, et est certifié PCI-DSS niveau 1).
  • Hébergement en France chez OVH (datacenters certifiés ISO 27001).
  • Sauvegardes quotidiennes chiffrées, conservées 30 jours.
  • Accès aux serveurs limité à l'équipe technique, par authentification SSH avec clés.
  • Surveillance continue des appels API IA et alerte automatique en cas d'anomalie de coût ou de volume.

8. Cookies

L'utilisation de cookies est décrite dans la Politique cookies.

9. Modifications

Cette politique peut être amenée à évoluer. Toute modification substantielle vous sera notifiée par email au moins 30 jours avant son entrée en vigueur, vous laissant la possibilité de résilier votre abonnement si elle ne vous convient pas.

Essayer 1 € le premier mois →