Aller au contenu principal

Politique de confidentialité

Dernière mise à jour : 19 avril 2026

1. Responsable du traitement

Verity Score est édité par Kamil Kanaoui (éditeur indépendant). Contact : [email protected]. La présente politique couvre l'ensemble des services Verity Score : le site vitrine (verityscore.io), l'outil d'audit GEO public, et le serveur MCP (api.verityscore.io/mcp) distribué via npm, le registre MCP officiel et Smithery.

2. Données que nous collectons

2.1 Site vitrine (verityscore.io)

  • Aucun cookie tiers, aucun pixel publicitaire, aucun tracker analytics
  • Logs serveur techniques (adresse IP, User-Agent, URL demandée, horodatage) conservés par Cloudflare Pages pour la sécurité et la prévention des abus

2.2 Formulaire de lead / audit gratuit

  • URL du store à auditer (donnée publique)
  • Adresse email fournie volontairement pour recevoir le rapport
  • Prénom et nom si vous les renseignez
  • Horodatage de la soumission, IP, User-Agent

2.3 Audit GEO (exécution)

Lors d'un audit, nous récupérons uniquement des données publiques du site audité :

  • HTML des pages publiques (homepage, PDP, collections, pages politiques)
  • Fichiers exposés publiquement : robots.txt, sitemap.xml, llms.txt, /.well-known/agent-card.json, JSON-LD / schema.org
  • Captures d'écran techniques (PDP principale) à usage diagnostic interne

Aucune donnée client, aucun compte, aucun espace admin, aucun panier n'est consulté. Verity Score n'a accès qu'à ce qu'un crawler anonyme verrait.

2.4 Serveur MCP (api.verityscore.io) : connexion depuis ChatGPT, Claude, Cursor, etc.

Lorsqu'un client MCP (OpenAI Platform, Claude Desktop, Cursor, Smithery…) invoque un de nos 5 outils MCP, nous collectons :

  • Inputs de l'outil (le seul paramètre que vous fournissez) :
    • get_geo_score, check_ai_readiness, get_recommendations : un nom de domaine (ex. mabrand.com)
    • explain_topic : un mot-clé GEO (ex. schema.org, llms.txt)
    • get_vertical_info : un nom de verticale (ex. beauty)
  • Métadonnées de requête : adresse IP, User-Agent (tronqué à 200 caractères), en-tête Origin ou Referer (pour identifier le client MCP utilisé), horodatage, nom de l'outil appelé, statut de la réponse (success, queued, not_found, error).
  • Aucune donnée personnelle identifiante n'est requise par nos outils MCP. Nous ne demandons pas d'email, de nom, de token d'authentification ni d'accès à votre compte ChatGPT/Claude.

2.5 Outputs retournés par le serveur MCP

Les outils MCP renvoient uniquement : le score GEO public du domaine, les findings de l'audit (problèmes et recommandations), les benchmarks de verticale, ou le contenu éditorial de notre Knowledge Base. Aucune donnée personnelle n'est retournée. Si un domaine n'a pas encore été audité, le serveur renvoie un statut not_yet_audited et ajoute le domaine à notre file d'audit (audit automatique sous 72 h).

3. Finalités du traitement

  • Fournir les résultats d'audit et les recommandations GEO demandées par l'utilisateur ou le client MCP
  • Prévention des abus : rate-limiting (10 requêtes/minute par IP sur le serveur MCP), protection SSRF, détection de scripts automatisés
  • Mesure d'usage agrégée : nombre de requêtes par outil, par client MCP (Claude Desktop vs Cursor vs OpenAI), par verticale : pour prioriser l'amélioration des outils
  • Réponse à vos demandes (formulaire de contact, support)
  • Obligations légales (conservation des logs de sécurité)

4. Base légale (RGPD)

  • Intérêt légitime (art. 6.1.f RGPD) : exécution des audits sur données publiques, sécurité, prévention des abus, amélioration du service
  • Exécution d'un contrat / mesures pré-contractuelles (art. 6.1.b) : fourniture du rapport d'audit à la suite d'une demande explicite via le formulaire
  • Consentement (art. 6.1.a) : inscription aux communications produit (si vous cochez la case)

5. Destinataires et sous-traitants

Vos données ne sont ni vendues, ni louées, ni partagées à des fins marketing tiers. Elles sont traitées par les sous-traitants techniques suivants, strictement nécessaires au fonctionnement du service :

  • Cloudflare Pages (États-Unis / réseau edge mondial) : hébergement du site vitrine, CDN, terminaison TLS
  • Railway (États-Unis) : hébergement du serveur d'audit et du serveur MCP
  • MongoDB Atlas (Union européenne, région Francfort) : stockage des audits, des logs MCP (mcp_requests) et des leads
  • Notion (États-Unis) : tableau de bord interne de suivi d'usage du MCP (domaine audité, outil appelé, statut) : pseudonymisé, jamais d'email ni d'IP
  • OpenAI : seulement pour la génération de findings lors de l'audit GEO (appels API avec le HTML public du site) ; OpenAI s'engage contractuellement à ne pas réutiliser ces données pour l'entraînement de ses modèles (API Data Usage Policy)
  • Resend (Union européenne) : envoi des emails transactionnels (rapport d'audit)

Les transferts hors UE sont encadrés par les Clauses Contractuelles Types de la Commission européenne.

6. Durée de conservation

DonnéeDurée
Résultats d'audit (rapport complet)24 mois à compter de l'audit
Logs du serveur MCP (IP, UA, outil, domaine)90 jours glissants
Email lead / contact36 mois à compter du dernier contact
Logs de sécurité Cloudflare / Railway30 jours
Tableau de suivi Notion (agrégé)12 mois

7. Sécurité

  • Tous les échanges sont chiffrés en HTTPS (TLS 1.3)
  • Headers de sécurité : HSTS, CSP, X-Content-Type-Options, Referrer-Policy, Permissions-Policy
  • Serveur MCP : protection SSRF (blocage des IP privées/link-local), validation Zod des entrées, rate-limiting 10 req/min/IP, authentification DNS Ed25519 pour le registre MCP
  • Accès MongoDB restreint par IP allow-list et authentification forte
  • Aucune donnée de paiement n'est stockée (non pertinent pour notre service)

8. Vos droits (RGPD)

Vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès : obtenir une copie de toutes les données que nous détenons sur vous
  • Droit de rectification : corriger des données inexactes
  • Droit à l'effacement : demander la suppression définitive de vos données (audit, email, logs MCP associés à votre IP)
  • Droit à la limitation : restreindre temporairement le traitement
  • Droit à la portabilité : recevoir vos données dans un format JSON structuré
  • Droit d'opposition : vous opposer au traitement sur la base de l'intérêt légitime
  • Droit de retirer votre consentement à tout moment (emails marketing)

Pour exercer ces droits : écrivez à [email protected] en précisant la demande. Nous répondons sous 30 jours maximum. Vous avez également le droit d'introduire une réclamation auprès de la CNIL (cnil.fr).

9. Mineurs

Le service Verity Score est destiné à des professionnels de l'e-commerce. Il n'est pas conçu pour collecter sciemment des données de personnes de moins de 16 ans.

10. Modifications de la politique

Cette politique peut être mise à jour pour refléter l'évolution du service ou de la réglementation. La date de dernière modification est indiquée en tête de page. Les modifications substantielles font l'objet d'une notification (bandeau sur le site, email aux utilisateurs actifs).