CIBLR
Confidentialité

RGPD &
protection des données.

CIBLR est conçu pour être conforme RGPD par défaut. Pas de cookies, pas de bandeau de consentement, pas de données personnelles identifiantes. Voici en détail comment on traite vos données.

Version : 2.1 · Dernière mise à jour : 21 avril 2026 · Responsable de traitement : IDMAAY COMPANY LLC (CIBLR.) · DPO : dpo@ciblr.com

1. Objet & champ d'application

La présente politique de confidentialité décrit comment IDMAAY COMPANY LLC, exerçant sous le nom commercial « CIBLR. » (ci-après « CIBLR »), collecte, traite et protège les données personnelles dans le cadre du service CIBLR — plateforme d'analyse comportementale post-clic. Elle s'applique aux personnes suivantes :

  • Les clients CIBLR (personnes physiques utilisatrices du tableau de bord)
  • Les visiteurs des sites web clients (dont le comportement est analysé par le tracker)
  • Les prospects et visiteurs du site ciblr.com

2. Identité du responsable de traitement

  • Raison sociale : IDMAAY COMPANY LLC
  • Nom commercial : CIBLR.
  • Forme juridique : Limited Liability Company (LLC) de droit du Wyoming, USA
  • Siège social : 30N Gould St Ster, Sheridan, WY 82801, USA
  • EIN (identifiant fiscal) : 98-1896555
  • Hébergement du site ciblr.com : OVH SAS, 2 rue Kellermann, 59100 Roubaix, France (ovh.com)
  • Représentant dans l'UE (art. 27 RGPD) : [Nom et adresse du représentant UE]
  • Contact général : legal@ciblr.com

3. Délégué à la protection des données (DPO)

CIBLR a désigné un Délégué à la Protection des Données, joignable à l'adresse dpo@ciblr.com. Le DPO est votre interlocuteur dédié pour toute question relative au traitement de vos données personnelles.

4. Principes directeurs

CIBLR a été conçu selon le principe de privacy by design (art. 25 RGPD). Nous respectons les principes suivants :

  • Licéité, loyauté, transparence — tout traitement est documenté et communiqué.
  • Limitation des finalités — les données ne sont traitées que pour les finalités explicites décrites ci-dessous.
  • Minimisation — nous ne collectons que les données strictement nécessaires à l'analyse comportementale.
  • Exactitude — les données inexactes sont rectifiées ou effacées sans délai.
  • Limitation de la conservation — les données sont supprimées à l'issue de leur durée de conservation.
  • Intégrité et confidentialité — mesures techniques et organisationnelles adaptées (§10).
  • Responsabilité — CIBLR est en mesure de démontrer sa conformité (registre des traitements tenu à jour).

5. Pas de cookies, pas de bandeau

Le tracker CIBLR ne dépose aucun cookie sur le navigateur du visiteur. L'identifiant visiteur (visitor_id) est stocké dans le localStorage du navigateur et est :

  • Anonyme — généré aléatoirement (UUID v4), non relié à une identité réelle
  • Non-réversible — impossible de retrouver un individu à partir de cet ID
  • Local — stocké uniquement dans le navigateur du visiteur

À ce titre, l'usage de CIBLR ne nécessite pas de bandeau de consentement préalable au sens de la directive ePrivacy et de la recommandation CNIL sur les cookies. Les sites clients restent libres et responsables de la configuration de leur propre politique cookies pour d'autres outils présents sur leur site.

6. Finalités du traitement

6.1 Visiteurs des sites clients

Les données comportementales sont collectées pour :

  • Analyser les parcours de navigation (pages vues, clics, scroll, engagement)
  • Détecter les frictions (rage clicks, clics morts, formulaires abandonnés, temps figé)
  • Mesurer les taux de conversion et les performances du funnel
  • Fournir au client des diagnostics agrégés sur la performance de ses pages

6.2 Clients CIBLR

Les données client sont traitées pour :

  • Gérer le compte (authentification, configuration)
  • Facturer l'Abonnement
  • Fournir le support technique et commercial
  • Envoyer les communications relatives au Service (notifications, évolutions)
  • Améliorer le Service via des retours d'usage (anonymisés quand possible)

7. Base légale des traitements

  • Exécution du contrat (art. 6.1.b RGPD) — pour la gestion du compte client et la facturation.
  • Intérêt légitime (art. 6.1.f RGPD) — pour l'analyse comportementale agrégée des visiteurs des sites clients. L'intérêt consiste à permettre au site client de mieux comprendre son audience et d'optimiser son funnel. Cet intérêt est mis en balance avec les droits des personnes concernées : CIBLR ne collecte aucune donnée identifiante, n'effectue aucun profilage individuel, et respecte le signal Do Not Track.
  • Obligation légale (art. 6.1.c RGPD) — pour certaines obligations comptables ou fiscales.

8. Catégories de données collectées

8.1 Par événement de navigation (visiteurs)

  • visitor_id — identifiant aléatoire localStorage, non-réversible
  • session_id — identifiant éphémère de session (30 min d'inactivité = nouvelle session)
  • url — page visitée (avec filtrage des paramètres sensibles courants : token, password, auth, etc.)
  • referrer — page référente (domaine uniquement, pas le path complet)
  • utm_source / utm_medium / utm_campaign — si présents dans l'URL
  • viewport_w / viewport_h — dimensions de la fenêtre (déduction device : mobile/tablet/desktop)
  • received_at — horodatage serveur
  • lat_round / lng_round — géolocalisation arrondie à 0.1° (≈ 11 km de précision, via IP côté serveur, IP brute non conservée)
  • country — code pays ISO (dérivé de l'IP, IP brute non conservée)

8.2 Événements spécifiques

  • Coordonnées de clic (x, y) relatives à la page, pour la carte de chaleur
  • Profondeur de scroll (0-100%)
  • Temps d'engagement (engagedMs) par page
  • Sélecteur CSS de l'élément cliqué (classe, id, balise — jamais le contenu)
  • Erreurs JavaScript (message + fichier + ligne — pas de stack trace détaillée, pas de variables)

8.3 Données client (compte)

  • Adresse e-mail
  • Mot de passe hashé (bcrypt, jamais stocké en clair)
  • Nom, prénom (facultatif)
  • Entreprise (facultatif)
  • Informations de facturation (adresse, TVA, moyen de paiement via Stripe — données bancaires jamais stockées sur nos serveurs)
  • Logs de connexion et d'activité

9. Ce qui n'est JAMAIS collecté

  • Adresse IP brute (seule la géolocalisation arrondie est dérivée puis l'IP est jetée immédiatement)
  • Nom, prénom, e-mail, téléphone des visiteurs des sites clients
  • Contenu des formulaires — mots de passe, numéros de carte, saisies texte, champs fichiers
  • Historique de navigation hors du site client — CIBLR ne trace pas les visiteurs à travers les sites
  • Fingerprinting navigateur ou device — aucune technique de tracking tierce
  • Données biométriques, de santé, religieuses, politiques, syndicales — données sensibles au sens de l'art. 9 RGPD

10. Sécurité des données

CIBLR met en œuvre des mesures techniques et organisationnelles adaptées pour garantir la sécurité et la confidentialité des données personnelles :

Mesures techniques

  • Chiffrement en transit — TLS 1.3 sur toutes les communications
  • Chiffrement au repos — AES-256 sur les données stockées en base
  • Authentification — mots de passe hashés (bcrypt, coût 12), support MFA, tokens JWT courts
  • Isolation multi-tenant — Row Level Security Postgres garantit qu'aucun client ne peut accéder aux données d'un autre
  • Sauvegardes chiffrées — quotidiennes, conservées 30 jours, testées mensuellement
  • Logs d'accès — traçabilité de toute opération sur les données
  • Filtrage d'URL sensible — tokens, passwords, auth retirés automatiquement
  • Respect du signal DNT — le tracker honore l'en-tête DNT: 1

Mesures organisationnelles

  • Politique de mot de passe forte pour l'équipe (MFA obligatoire, rotation tous les 90 jours)
  • Accès aux données limité au strict besoin, audit trimestriel des privilèges
  • Formation annuelle des employés à la sécurité et au RGPD
  • Clauses de confidentialité dans les contrats de travail
  • Procédure documentée de gestion des incidents de sécurité

11. Durées de conservation

  • Événements bruts — 14 mois glissants puis suppression automatique
  • Agrégats anonymisés (statistiques, snapshots, benchmarks) — durée de l'Abonnement + 3 ans
  • Données compte client — pendant toute la durée de l'Abonnement + 30 jours après résiliation pour export, puis suppression
  • Données de facturation — 10 ans (obligation comptable, art. L123-22 C. com.)
  • Logs de sécurité — 12 mois
  • Données prospects (newsletter, formulaires) — 3 ans après le dernier contact

12. Destinataires des données

Les données collectées sont accessibles :

  • Au Client CIBLR titulaire du compte (pour les données agrégées de son projet)
  • Aux équipes CIBLR habilitées (support, tech, DPO) avec accès restreint par rôle
  • Aux sous-traitants (hébergement, paiement, e-mailing — détaillés §13)
  • Aux autorités publiques sur réquisition légale motivée

Les données ne sont jamais vendues à des tiers. Aucune cession commerciale n'est effectuée.

13. Sous-traitants

CIBLR recourt à des sous-traitants pour certaines opérations techniques. Chaque sous-traitant est lié par un contrat de sous-traitance (DPA) conforme à l'art. 28 RGPD :

  • OVH SAS — hébergement du site, de la base de données et de l'infrastructure applicative
    2 rue Kellermann, 59100 Roubaix, France · datacenters France · ovh.com
  • Stripe Payments Europe Ltd. — traitement des paiements · Dublin, Irlande
  • Resend — envoi d'e-mails transactionnels · infrastructure EU

L'ensemble des sous-traitants opère sur des infrastructures localisées dans l'Union Européenne. La liste est tenue à jour — toute modification est notifiée aux Clients par e-mail au moins 30 jours avant l'entrée en vigueur.

14. Transferts hors UE

Les données personnelles sont exclusivement hébergées en France (OVH). Aucun transfert technique de données vers un pays tiers n'est réalisé dans le cadre de l'exploitation courante du Service.

Précision importante : IDMAAY COMPANY LLC (éditrice du Service) est une société de droit américain (Wyoming, USA). Les équipes de CIBLR peuvent donc accéder aux données depuis les États-Unis à des fins de support, d'administration technique ou de sécurité. Ces accès sont :

  • Encadrés par des politiques internes de confidentialité et d'accès restreint par rôle
  • Tracés dans les logs de sécurité
  • Limités au strict besoin opérationnel
  • Soumis à l'obligation de notification en cas d'incident

Ces accès administratifs ponctuels sont considérés comme des transferts internationaux de données au sens de l'art. 44 RGPD et sont encadrés, le cas échéant, par des Clauses Contractuelles Types (CCT) validées par la Commission européenne. Tout changement substantiel de localisation fera l'objet d'une mise à jour de la présente politique avec notification préalable des Clients.

15. Vos droits

Conformément au RGPD (art. 15 à 22), vous disposez des droits suivants sur les données vous concernant :

  • Droit d'accès — obtenir une copie des données vous concernant
  • Droit de rectification — corriger une donnée inexacte ou incomplète
  • Droit à l'effacement — demander la suppression (« droit à l'oubli »)
  • Droit d'opposition — vous opposer au traitement pour motif légitime (Do Not Track respecté par défaut)
  • Droit à la limitation — suspendre le traitement en cas de contestation
  • Droit à la portabilité — récupérer vos données dans un format structuré (JSON/CSV) pour les transférer ailleurs
  • Droit de définir des directives post-mortem — conformément à l'art. 40-1 de la loi Informatique et Libertés
  • Droit de retirer son consentement à tout moment, lorsque le traitement est fondé sur le consentement

16. Exercer vos droits

Pour exercer ces droits, écrivez à dpo@ciblr.com en précisant :

  • Votre identité (pièce justificative acceptée si doute sur l'identité)
  • Le droit que vous souhaitez exercer
  • Les précisions utiles (ex : période concernée, catégorie de données)

CIBLR répond dans un délai maximal de 30 jours (prolongé à 60 jours en cas de demande complexe). Une réponse d'attente est envoyée sous 5 jours ouvrés.

17. Droit de réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :

18. Cookies sur ciblr.com (site institutionnel)

Le site ciblr.com (landing page, tableau de bord) utilise un nombre minimal de cookies strictement nécessaires au fonctionnement :

  • Cookies de session (authentification) — supprimés à la fermeture du navigateur ou à la déconnexion
  • Cookies de préférence (thème clair/sombre) — 30 jours

Ces cookies sont exempts de consentement au sens de la recommandation CNIL. Aucun cookie tiers publicitaire ou analytics n'est déposé sur ciblr.com.

19. Protection des mineurs

Le Service n'est pas destiné aux mineurs de moins de 15 ans. CIBLR ne collecte pas sciemment de données personnelles de mineurs. Si un Client identifie qu'un mineur a créé un compte sans consentement parental, il doit le signaler à dpo@ciblr.com pour suppression immédiate.

20. Notification de violation de données

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes, CIBLR notifie la CNIL dans les 72 heures suivant la découverte, conformément à l'art. 33 RGPD. Les personnes concernées sont informées directement si le risque est élevé, conformément à l'art. 34 RGPD.

21. Analyse d'impact (AIPD)

CIBLR a mené une analyse d'impact sur la protection des données (AIPD) conformément à l'art. 35 RGPD. Le traitement réalisé par CIBLR (analyse comportementale agrégée, sans profilage individuel, sans données sensibles) ne présente pas de risque élevé pour les droits et libertés des personnes. L'AIPD est mise à jour annuellement ou en cas de changement substantiel du Service.

22. Do Not Track (DNT)

Le tracker CIBLR respecte l'en-tête DNT: 1. Si votre navigateur envoie ce signal, aucun événement n'est collecté, aucun identifiant n'est généré. Pour activer DNT :

  • Firefox : Préférences → Vie privée → Do Not Track
  • Chrome : Paramètres → Confidentialité et sécurité → Envoyer une demande « Ne pas me suivre »
  • Safari : Préférences → Confidentialité → Demander aux sites web de ne pas me suivre

23. Registre des activités de traitement

Conformément à l'art. 30 RGPD, CIBLR tient à jour un registre des activités de traitement documentant toutes les finalités, catégories de données, destinataires et durées de conservation. Ce registre est mis à disposition de la CNIL sur demande.

24. Modifications de la politique

La présente politique peut être mise à jour pour refléter l'évolution du Service, des sous-traitants ou de la réglementation. Toute modification substantielle est notifiée aux clients par e-mail au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en tête de page.

25. Contact DPO

Pour toute question relative à la protection des données, à l'exercice de vos droits ou à un incident de sécurité présumé, écrivez à :

  • Délégué à la Protection des Données : dpo@ciblr.com
  • Adresse postale : IDMAAY COMPANY LLC — À l'attention du DPO — 30N Gould St Ster, Sheridan, WY 82801, USA

Réponse garantie sous 5 jours ouvrés, traitement de la demande sous 30 jours.