# Politique de confidentialité > Politique de confidentialité de Verity Score. Données collectées, finalités, destinataires, durée de conservation et droits pour le site, l'audit GEO et le serveur MCP. - Canonical HTML: https://verityscore.io/fr/privacy/ - Markdown alternate: https://verityscore.io/fr/privacy.md - Language: fr - Content type: trust/compliance - Updated: 2026-04-19 - Robots: noindex on HTML; Markdown exists for trust verification and agent ingestion ## 1. Responsable du traitement Verity Score est édité par Kamil Kanaoui (éditeur indépendant). Contact : hello@verityscore.io. Cette politique couvre le site vitrine verityscore.io, l’outil d’audit GEO public et le serveur MCP api.verityscore.io/mcp distribué via npm, le registre MCP officiel et Smithery. ## 2. Données collectées Site vitrine : aucun cookie tiers, aucun pixel publicitaire, aucun tracker analytics. Des logs serveur techniques peuvent être conservés par Cloudflare Pages pour la sécurité et la prévention des abus. Formulaire de lead / audit gratuit : URL du store à auditer, email fourni volontairement, prénom/nom si renseignés, horodatage, IP et User-Agent. Audit GEO : uniquement des données publiques du site audité, dont HTML des pages publiques, robots.txt, sitemap.xml, llms.txt, /.well-known/agent-card.json, JSON-LD/schema.org et captures d’écran techniques à usage diagnostic interne. Aucune donnée client, aucun compte, aucun espace admin et aucun panier ne sont consultés. Verity Score voit uniquement ce qu’un crawler anonyme verrait. Serveur MCP : inputs d’outil (domaine, topic ou verticale), métadonnées de requête (IP, User-Agent tronqué, Origin/Referer, horodatage, outil appelé, statut de réponse). Aucun email, nom, token d’authentification ni accès au compte ChatGPT/Claude n’est demandé. ## 3. Outputs MCP Les outils MCP renvoient uniquement le score GEO public du domaine, les findings d’audit, les recommandations, les benchmarks de verticale ou le contenu éditorial de la Knowledge Base. Si un domaine n’a pas encore été audité, le serveur renvoie `not_yet_audited` et ajoute le domaine à une file d’audit automatique sous 72 h. ## 4. Finalités - Fournir les résultats d’audit et recommandations GEO - Prévenir les abus : rate-limiting, protection SSRF, détection de scripts automatisés - Mesurer l’usage agrégé par outil, client MCP et verticale - Répondre aux demandes de contact et support - Respecter les obligations légales et conserver les logs de sécurité nécessaires ## 5. Base légale RGPD - Intérêt légitime : audits sur données publiques, sécurité, prévention des abus, amélioration du service - Exécution d’un contrat ou mesures pré-contractuelles : fourniture du rapport d’audit demandé - Consentement : communications produit si l’utilisateur coche la case correspondante ## 6. Destinataires et sous-traitants - Cloudflare Pages : hébergement, CDN, terminaison TLS - Railway : hébergement du serveur d’audit et du serveur MCP - MongoDB Atlas (UE, Francfort) : stockage audits, logs MCP et leads - Notion : tableau de bord interne pseudonymisé de suivi d’usage MCP - OpenAI : génération de findings à partir du HTML public du site audité, sans réutilisation pour entraînement via l’API - Resend : emails transactionnels de rapport d’audit Les données ne sont ni vendues, ni louées, ni partagées à des fins marketing tiers. ## 7. Durées de conservation - Résultats d’audit : 24 mois - Logs serveur MCP : 90 jours glissants - Email lead/contact : 36 mois après le dernier contact - Logs Cloudflare/Railway : 30 jours - Tableau Notion agrégé : 12 mois ## 8. Sécurité - HTTPS TLS 1.3 - Headers HSTS, CSP, X-Content-Type-Options, Referrer-Policy, Permissions-Policy - Serveur MCP : protection SSRF, validation Zod, rate-limiting 10 req/min/IP, authentification DNS Ed25519 pour le registre MCP - MongoDB restreint par allow-list IP et authentification forte - Aucune donnée de paiement stockée ## 9. Droits RGPD Les utilisateurs disposent des droits d’accès, rectification, effacement, limitation, portabilité, opposition et retrait du consentement. Pour exercer ces droits : hello@verityscore.io. Réponse sous 30 jours maximum. Réclamation possible auprès de la CNIL : https://www.cnil.fr ## 10. Mineurs et mises à jour Verity Score est destiné aux professionnels de l’e-commerce et n’est pas conçu pour collecter sciemment des données de personnes de moins de 16 ans. Cette politique peut être mise à jour pour refléter l’évolution du service ou de la réglementation. Les modifications substantielles font l’objet d’une notification.