Politique de confidentialité
Dernière mise à jour : 25 avril 2026
1. Responsable du traitement
Helvetseo est un service d'audit SEO opéré en Suisse. Le responsable du traitement au sens de l'art. 5 let. j nLPD et de l'art. 4 §7 RGPD est :
- Ethan Valentin Besson, raison individuelle exploitant le service « Helvetseo »
- Adresse : Route de Vallaire 6, 1024 Ecublens (VD), Suisse
- Site web : https://helvetseo.ch
- Contact : contact@helvetseo.ch
2. Données collectées
2.1 URL soumise et rapport d'audit
Quand tu soumets une URL via le formulaire d'audit, nous collectons et traitons :
- L'URL du site web que tu souhaites auditer
- Le contenu HTML publicde la page (balises meta, titres, images, liens — tel qu'accessible à n'importe quel navigateur)
- Le rapport d'audit généré (scores, recommandations, sections techniques)
- La langue choisie pour le rapport (fr/de/it/en)
Les données sont stockées temporairement dans une base Redis avec un identifiant aléatoire (UUID v4) et expirent automatiquement après 24 heuressi l'audit n'est pas payé.
2.2 Données techniques
Pour la sécurité et la prévention d'abus :
- Adresse IP: utilisée uniquement comme clé de rate-limiting (10 audits / heure / IP), stockée hashée dans Redis avec le même TTL que l'audit (1 heure max)
- En-têtes HTTP (User-Agent, Accept-Language) : lus par le serveur mais non stockés
2.3 Données de paiement
Si tu choisis de débloquer le rapport complet (9 CHF), le paiement est traité par Lemon Squeezy (notre Merchant of Record). Nous ne voyons ni ne stockons les données de carte. Lemon Squeezy collecte pour nous :
- Email de facturation
- Nom et adresse de facturation (si requis par la juridiction)
- Pays (pour la TVA/VAT)
Ces données sont conservées par Lemon Squeezy conformément à sa politique de confidentialité.
2.4 Analytics
Nous utilisons Vercel Web Analytics et Vercel Speed Insights pour mesurer le nombre de visites et les performances techniques. Ces outils fonctionnent sans cookies, sans identifiant persistant, et ne permettent pas de reconstituer un parcours utilisateur individuel. Ils agrègent des compteurs anonymes (pages vues, événements de conversion, Core Web Vitals) côté serveur Vercel.
2.5 Données non collectées
Pas de cookies publicitaires, pas de web beacons, pas de tracking cross-site, pas de profilage comportemental, pas de fingerprinting, pas de compte utilisateur (pas d'email ou mot de passe côté site — seulement si tu paies via Lemon Squeezy, qui gère lui-même ces données).
3. Cookies
Aucun cookien'est posé par Helvetseo. Les analytics Vercel sont cookieless par conception. Aucune bannière de consentement n'est requise selon les directives du PFPDT.
Si tu passes à la page de paiement Lemon Squeezy, celle-ci peut poser ses propres cookies sur son domaine — voir sa politique.
4. Finalités et bases juridiques
| Traitement | Finalité | Base légale (nLPD / RGPD) |
|---|---|---|
| URL soumise + rapport (gratuit) | Génération et affichage du rapport | Mesures précontractuelles (art. 31 al. 1 nLPD, art. 6.1.b RGPD) |
| URL soumise + rapport (payé) | Exécution du contrat de service | Exécution du contrat (art. 31 nLPD, art. 6.1.b RGPD) |
| IP (rate-limit) | Prévention d'abus, protection contre le DoS | Intérêt légitime (art. 31 al. 2 nLPD, art. 6.1.f RGPD) |
| Données de paiement | Traitement du paiement, facturation, comptabilité | Exécution du contrat + obligation légale (art. 31 nLPD, art. 6.1.b + 6.1.c RGPD) |
| Analytics (Vercel) | Mesure de fréquentation agrégée | Intérêt légitime (art. 6.1.f RGPD) |
Aucune décision automatisée produisant des effets juridiques n'est prise à ton égard.
5. Destinataires et transferts
5.1 Hébergement : Vercel Inc. (USA)
L'application est hébergée par Vercel Inc. (USA). Les transferts de données vers les USA sont couverts par les Clauses Contractuelles Typesde la Commission européenne et l'adhésion de Vercel au Data Privacy Framework UE-USA, reconnu adéquat par la Suisse.
5.2 Anthropic PBC (USA)
Le rapport d'audit est généré par le modèle Claude d'Anthropic PBC. Le contenu HTML public de ta page et les métriques de performance sont envoyés à l'API Anthropic pour rédaction du rapport. Aucune donnée personnelle identifiante au sens de la nLPD n'est transmise (c'est le contenu public d'un site web). Base : SCC + adéquation DPF.
5.3 Google LLC (USA) — PageSpeed Insights
Les métriques de performance (LCP, CLS, TBT) sont obtenues via l'API publique PageSpeed Insights. Seule l'URL publique du site audité est transmise à Google. Base : SCC + DPF.
5.4 Lemon Squeezy (USA)
Opéré par Lemon Squeezy LLC en tant que Merchant of Record. Collecte et traitement des données de paiement effectués directement sur leur infrastructure. Base : exécution du contrat + SCC.
5.5 Amazon Web Services (USA) — DNS Route 53
Le domaine helvetseo.chest enregistré et géré via Amazon Route 53 (AWS). À chaque résolution DNS, l'infrastructure AWS traite des données techniques (adresse IP du résolveur DNS, horodatage) sans lien direct avec l'identité de l'utilisateur. Base : SCC + adhésion d'AWS au Data Privacy Framework UE-USA.
5.6 Polices de caractères
Playfair Display et Inter sont self-hostées via next/font. Aucune requête vers Google Fonts ou un autre CDN tiers. Aucune donnée n'est transmise à ce titre.
6. Durée de conservation
| Données | Durée |
|---|---|
| Rapport d'audit non payé | 24 heures (expiration Redis automatique) |
| Rapport d'audit payé | 24 heures côté site ; suppression sur demande. Lien payant unique — tu peux exporter le PDF pendant cette période. |
| Clé de rate-limit (IP) | 1 heure maximum (fenêtre glissante) |
| Pièces comptables (paiements) | 10 ans (art. 958f al. 1 CO — obligation de conservation) |
| Analytics agrégés Vercel | Selon la politique de rétention Vercel (max 12 mois) |
7. Tes droits (nLPD / RGPD)
- Accès : obtenir une copie des données te concernant
- Rectification : corriger une inexactitude
- Effacement : demander la suppression (sauf obligation légale de conservation)
- Portabilité : recevoir tes données dans un format structuré (JSON/PDF)
- Opposition: t'opposer à un traitement basé sur l'intérêt légitime
- Limitation : demander la limitation du traitement
Exerce tes droits par email à contact@helvetseo.ch (réponse sous 30 jours). En cas de désaccord :
- Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT) — edoeb.admin.ch
- UE : autorité de contrôle de ton pays de résidence
8. Sécurité
Mesures techniques et organisationnelles conformes à l'art. 8 nLPD et à l'art. 32 RGPD :
- Chiffrement en transit : HTTPS/TLS partout, HSTS preload (2 ans, includeSubDomains)
- Content Security Policy avec nonce par requête, self-only, pas de script tiers
- Protection SSRF: validation DNS + liste noire d'IP privées avant tout fetch externe
- Rate-limiting: 10 requêtes par IP et par heure sur l'endpoint d'audit
- CSRF : validation Origin/Referer sur les actions sensibles
- Headers sécurisés : X-Content-Type-Options, X-Frame-Options, Referrer-Policy strict-origin, Permissions-Policy restrictive
- Isolation: pas de cross-user data (chaque audit a un UUID unique non devinable, 128 bits d'entropie)
9. Mineurs
Le service n'est pas destiné aux personnes de moins de 16 ans. Aucune donnée n'est collectée sciemment auprès de mineurs.
10. Modifications
Cette politique peut être mise à jour. La date de dernière mise à jour figure en haut. Les changements substantiels seront signalés sur la page d'accueil pendant au moins 30 jours.
11. Contact
Questions, demandes d'accès ou plaintes : contact@helvetseo.ch