Politique de confidentialité

Dernière mise à jour : 9 juillet 2026

Cette politique décrit quelles données MergeLift collecte, pourquoi, combien de temps nous les conservons et quels sont vos droits. Elle s'applique au site mergelift.click, à l'application et au snippet A/B installé sur les sites de nos clients. Version courte : nous collectons le strict nécessaire, pas de cookies tiers, pas de revente de données.

1. Responsable de traitement

Le responsable de traitement est [À COMPLÉTER : raison sociale], éditrice d'MergeLift. Pour toute question relative à vos données : privacy@mergelift.click.

2. Données collectées

Nous collectons uniquement les données nécessaires au fonctionnement du service :

  • Compte : adresse email, nom (facultatif), identifiants de connexion gérés par notre prestataire d'authentification.
  • Audits : les URL des pages que vous soumettez à l'analyse et le contenu public de ces pages. Pour les audits gratuits, un email de contact facultatif si vous choisissez de le laisser.
  • A/B testing : pour les visiteurs des sites de nos clients, un identifiant aléatoire stocké localement dans le navigateur (localStorage) qui n'est pas une donnée personnelle : il n'est relié à aucune identité, aucune adresse IP conservée, aucun profil. Nous ne stockons que des compteurs agrégés (expositions et conversions par bras de test). Pas de cookies tiers, pas de fingerprinting, pas de suivi inter-sites.
  • Facturation : les données de paiement sont traitées directement par Stripe ; nous ne stockons jamais votre numéro de carte.

3. Bases légales

  • Exécution du contrat (art. 6.1.b RGPD) : création de compte, réalisation des audits, exécution des tests A/B, facturation.
  • Intérêt légitime (art. 6.1.f) : sécurité du service, prévention des abus, statistiques d'usage agrégées.
  • Consentement (art. 6.1.a) : email laissé volontairement lors d'un audit gratuit pour recevoir le rapport et nos communications — révocable à tout moment.
  • Obligation légale (art. 6.1.c) : conservation des documents de facturation.

4. Sous-traitants

Nous faisons appel aux sous-traitants suivants, chacun lié par un accord de traitement des données (DPA) :

Sous-traitantRôleLocalisation
SupabaseBase de données et authentificationUE (région du projet : Francfort, Allemagne)
VercelHébergement de l'applicationÉtats-Unis / CDN mondial (clauses contractuelles types)
StripePaiement et facturationÉtats-Unis / Irlande (clauses contractuelles types)
ResendEnvoi d'emails transactionnelsÉtats-Unis (clauses contractuelles types)
AWS BedrockTraitement IA du contenu des pages analyséesÉtats-Unis (région us-east-1, clauses contractuelles types)

5. Durées de conservation

  • Données de compte : tant que le compte est actif, puis suppression sous 30 jours après la clôture.
  • Audits gratuits anonymes : 12 mois, puis suppression.
  • Emails de leads (audit gratuit) : 3 ans après le dernier contact, ou suppression immédiate sur demande.
  • Événements A/B agrégés : 24 mois après la fin du test, à des fins d'historique de résultats.
  • Documents de facturation : 10 ans (obligation légale comptable).

6. Vos droits

Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de portabilité de vos données, ainsi que d'un droit d'opposition et de limitation du traitement. Pour les exercer, écrivez à privacy@mergelift.click — nous répondons sous 30 jours. Vous pouvez également introduire une réclamation auprès de la CNIL (cnil.fr).

7. Transferts hors Union européenne

Certains de nos sous-traitants (Vercel, Stripe, Resend, AWS) traitent des données aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne et, le cas échéant, par la certification EU-U.S. Data Privacy Framework du prestataire. Le contenu des pages analysées par l'IA via AWS Bedrock n'est ni conservé par AWS ni utilisé pour entraîner des modèles.

8. Cookies et stockage local

MergeLift n'utilise aucun cookie tiers ni traceur publicitaire. Nous utilisons uniquement :

  • des cookies strictement techniques (session d'authentification), exemptés de consentement ;
  • le localStorage de votre navigateur pour mémoriser votre préférence de thème (clair/sombre) ;
  • sur les sites de nos clients, le localStorage pour l'identifiant A/B aléatoire local décrit en section 2 — non personnel, jamais transmis à des tiers.

C'est pourquoi vous ne voyez pas de bannière de consentement sur notre site : il n'y a rien à consentir.

9. Sécurité

Données chiffrées en transit (TLS) et au repos, isolation des données par utilisateur au niveau de la base (row level security), clés d'accès à moindre privilège, accès GitHub scopé à un seul dépôt et révocable à tout moment. En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous notifierons la CNIL sous 72 heures et les personnes concernées dans les meilleurs délais.

10. Modifications de cette politique

Nous pouvons faire évoluer cette politique pour refléter des changements du service ou de la réglementation. En cas de modification substantielle, les utilisateurs disposant d'un compte seront prévenus par email au moins 15 jours avant l'entrée en vigueur.