Aller au contenu

Politique de confidentialité

1. Responsable du traitement et objet

La présente politique de confidentialité décrit comment Merci Solange collecte, utilise et protège vos données personnelles, que vous naviguiez sur notre site, demandiez un audit gratuit ou utilisiez votre espace praticien.

Le responsable du traitement est Olivier Lando, entrepreneur individuel, SIREN 517 589 354, dont le siège est situé 48 rue des Anémones, 50100 Cherbourg-en-Cotentin — [email protected]. Aucun délégué à la protection des données (DPO) n'a été désigné, sa désignation n'étant pas obligatoire au regard de l'article 37 du RGPD.

Pour les données que vous saisissez sur vos clients dans votre espace praticien, Merci Solange agit en qualité de sous-traitant et vous restez responsable de traitement ; ce rôle est détaillé à l'article 6 des Conditions Générales d'Utilisation.

1 bis. Traitements liés à votre compte et à votre abonnement

Lorsque vous utilisez votre espace praticien, nous traitons les données suivantes en qualité de responsable de traitement :

FinalitéBase légaleDurée de conservation
Création et gestion du compte, authentification (email, mot de passe haché, connexion Google)Exécution du contrat (art. 6.1.b)Durée du compte. Suppression sous 30 jours en cas de demande d'effacement ; 6 mois après résiliation sans demande, puis purge. Un compte resté inactif (sans connexion) pendant 6 mois est supprimé automatiquement, après un email d'avertissementvous laissant 30 jours pour vous reconnecter ou exporter vos données. Les factures restent conservées 10 ans.
Fiche praticien, site et contenus publiésExécution du contrat (art. 6.1.b)Durée du compte
Facturation et comptabilité (nom, adresse, données de facturation ; paiement via Stripe)Exécution du contrat (art. 6.1.b) et obligation légale (art. 6.1.c)10 ans (art. L.123-22 du Code de commerce)
Sécurité et journaux techniques (adresse IP, logs de connexion)Intérêt légitime (art. 6.1.f)12 mois

Les données de paiement (carte bancaire) ne sont jamais stockées par Merci Solange : elles sont traitées exclusivement par Stripe, conformément à la norme PCI-DSS. La durée de conservation comptable de 10 ans survit à une demande d'effacement, dans la limite de ce qu'impose la loi.

1 ter. Programme de parrainage

Lorsque vous participez au programme de parrainage (en tant que Parrain ou Filleul), Merci Solange (le « Prestataire ») traite des données à caractère personnel en qualité de responsable de traitement. Cette section, distincte et lisible, complète la politique générale ; elle est dédiée à l'information claire, transparente et aisément accessible prévue par les articles 13 et 14 du RGPD, notamment au titre de la collecte indirecte des données du confrère invité.

Tableau des traitements

FinalitéDonnées traitéesBase légaleDurée de conservation
Gestion du programme et attribution des avantages : génération et fonctionnement de votre code de parrainage, mise en relation Parrain/Filleul, octroi de l'essai prolongé au Filleul, calcul, émission et suivi des Avoirs, gestion des paliers 3/5/10Code de parrainage, identifiants du Parrain et du Filleul, graphe de parrainage (lien Parrain↔Filleul), plan souscrit, montant et statut des Avoirs, statut des paliersExécution d'une relation contractuelle / mesures précontractuelles avec le Client-Parrain (art. 6.1.b RGPD)Pendant la durée du compte du Parrain. Les données nécessaires à la justification comptable des Avoirs sont conservées pendant la durée légale comptable applicable (jusqu'à dix (10) ans pour les pièces justificatives). Les parrainages non récompensés (expirés, bloqués, annulés) sont purgés à la fin de leur période d'utilité. En cas de suppression d'un compte de Filleul, les références le concernant sont anonymisées (le lien de parrainage est dissocié, les écritures comptables de l'Avoir étant conservées au titre des obligations légales).
Lutte contre la fraude et l'abus à l'inscription parrainée (détection d'auto-parrainage, de comptes multiples ou fictifs, de parrainages croisés)Adresse IP, type de navigateur (user-agent), horodatages, signaux techniques de limitation (« throttle ») lors d'une inscription via un parrainageIntérêt légitime du Prestataire (art. 6.1.f RGPD ; considérant 47) à préserver l'équité et l'intégrité du programme et à prévenir la fraude. Un test de mise en balance (LIA) a été réalisé ; vous disposez d'un droit d'opposition (art. 21 RGPD).Quatre-vingt-dix (90) jours maximum à compter de l'inscription parrainée, durée courte et proportionnée à la seule finalité anti-fraude. Purge automatique à l'issue.
Envoi d'une invitation par e-mail à un confrère, à votre initiative et en votre nom (Parrain)Adresse e-mail du confrère invité, transmise par vousIntérêt légitime du Parrain et du Prestataire (art. 6.1.f RGPD), dans le cadre dérogatoire de la doctrine CNIL « parrainage » : message unique, nommant le Parrain, avec faculté d'opposition. Le Parrain garantit avoir obtenu l'accord préalable du confrère (art. 14.12 des CGV).L'adresse e-mail n'est pas conservée à des fins de prospection : elle sert à l'envoi unique de l'invitation, puis n'est pas conservée en clair. Seule une empreinte chiffrée (hachée), non réversible, est conservée au maximum trente (30) jours, à seule fin de prévenir les envois répétés et l'auto-parrainage. Aucune relance n'est effectuée.

Source des données et information du confrère invité (art. 14 RGPD)

Le confrère invité a été identifié par le Parrain : ses données proviennent donc d'une collecte indirecte. L'e-mail d'invitation indique l'identité du Parrain ainsi que celle du responsable de traitement, précise que l'adresse n'est pas conservée à des fins de prospection, renvoie vers la présente politique et offre une faculté d'opposition (désinscription) immédiate. Les données de l'invité ne font l'objet d'aucun usage autre que la transmission de l'invitation suggérée par le Parrain et, le cas échéant, le contrôle anti-fraude ; elles ne sont pas réutilisées en prospection sans son consentement exprès.

Privacy by design (art. 25 RGPD)

Le programme est conçu pour minimiser les données : l'adresse e-mail du confrère invité n'est jamais stockée en clair ; seule une empreinte hachée non réversible est conservée 30 jours à des fins anti-doublon/anti-fraude, puis supprimée automatiquement. Aucune décision produisant des effets juridiques n'est entièrement automatisée : la validation des avantages de palier (notamment le palier 10) fait intervenir une intervention humaine (hors champ de l'article 22 RGPD).

Destinataires et sous-traitants (art. 28 RGPD)

Les données du programme sont accessibles aux seules personnes habilitées du Prestataire, via une authentification individuelle. Interviennent comme sous-traitants, dans le cadre d'accords de traitement (DPA) et avec hébergement/garanties au sein de l'Union européenne ou assortis de garanties appropriées :

Vos droits

Vous disposez des droits d'accès, de rectification, d'effacement, d'opposition (y compris au traitement anti-fraude fondé sur l'intérêt légitime, art. 21), de limitation et de portabilité, ainsi que du droit d'introduire une réclamation auprès de la CNIL. Ces droits s'exercent à l'adresse [email protected] (voir article 3 de la présente politique). En cas de demande d'effacement, le graphe de parrainage est anonymisé et le lien Parrain↔Filleul dissocié, sous réserve de la conservation des écritures comptables des Avoirs imposée par la loi.

1 quater. Aperçu de site de démonstration (page /demo)

La page merci-solange.com/demo permet de générer, sans créer de compte, un aperçu de site professionnel à partir des informations que vous saisissez : prénom, activité et, si vous le souhaitez, ville.

  • Finalité : générer l'aperçu que vous avez demandé et, si vous créez ensuite un compte, le rattacher à celui-ci. Aucune prospection : aucune adresse e-mail n'est collectée sur cette page.
  • Base légale : exécution de mesures précontractuelles prises à votre demande (art. 6.1.b RGPD).
  • Durée de conservation : 7 jours, puis suppression automatique de l'aperçu et des informations saisies.
  • Destinataires : les personnes habilitées du Prestataire et notre sous-traitant d'intelligence artificielle (Google Cloud / Gemini) pour la seule génération des textes de l'aperçu.
  • Vos droits : accès, rectification, effacement, opposition et limitation, à l'adresse [email protected].

Si vous cliquez sur le bouton de création de compte depuis un aperçu, un cookie fonctionnel ms_demo_token (durée 1 jour) est déposé afin de rattacher votre aperçu à votre nouveau compte. Strictement nécessaire au service que vous demandez, il est exempté de consentement (art. 82 de la loi Informatique et Libertés ; lignes directrices « cookies » de la CNIL).

2. Cookies et technologies de suivi

2.1 Cookies nécessaires

Ces cookies sont essentiels au fonctionnement du site et ne peuvent pas être désactivés. Ils ne stockent aucune information personnelle identifiable.

2.2 Cookies d'analyse

Nous utilisons Google Analytics et Microsoft Clarity (qui inclut un enregistrement de session) pour analyser l'utilisation de notre site et améliorer nos services. Ces outils traitent des données pseudonymes (identifiants de cookies, identifiants en ligne, adresse IP) qui constituent des données à caractère personnel. Ils ne sont activés qu'après votre consentement (article 6.1.a du RGPD), que vous pouvez retirer à tout moment.

  • Google Analytics : Analyse du trafic et du comportement des utilisateurs
  • Microsoft Clarity : Analyse des interactions utilisateur et optimisation de l'expérience

2.3 Cookies marketing

Le Facebook Pixel nous permet de mesurer l'efficacité de nos campagnes publicitaires et de vous proposer des publicités pertinentes sur Facebook et Instagram. Il n'est déposé qu'après votre consentement (article 6.1.a du RGPD) et peut impliquer un profilage à finalité publicitaire ; vous pouvez le refuser ou retirer votre consentement à tout moment via notre bannière de gestion des cookies.

2.4 Mesure d'audience sans cookie

Nous utilisons Umami, une solution de mesure d'audience que nous hébergeons nous-mêmes. Elle ne dépose aucun cookie et ne stocke aucune information sur votre terminal : aucun consentement n'est donc requis pour son fonctionnement. Votre adresse IP est utilisée de manière transitoire pour distinguer les visites, puis hachée et non conservée. La navigation sur notre site public est mesurée de façon agrégée et anonyme. Lorsque vous vous connectez ou créez un compte sur votre espace praticien, l'évènement correspondant est associé à l'adresse e-mail de votre compte, afin de suivre notre tunnel d'inscription et de connexion. Ces traitements reposent sur notre intérêt légitime à mesurer la fréquentation et l'usage du service ; les données restent hébergées sur nos propres serveurs et ne sont transmises à aucun tiers.

2.5 Récapitulatif des cookies

CookieÉmetteur (pays)FinalitéDurée
_ga, _ga_*Google Analytics (États-Unis)Mesure d'audience13 mois max.
_clck, _clskMicrosoft Clarity (États-Unis)Analyse des interactions, enregistrement de session12 mois
_fbp, frMeta / Facebook Pixel (États-Unis)Mesure publicitaire, profilage90 jours
Cookie de consentementMerci Solange (1ʳᵉ partie)Mémorise vos choix de cookies6 mois
ms_demo_tokenMerci Solange (1ʳᵉ partie)Rattachement de votre aperçu de site (page /demo) à votre compte — strictement nécessaire, exempté de consentement1 jour
Session (authentification)Merci Solange (1ʳᵉ partie)Accès sécurisé à votre espace praticienSession

Les cookies de mesure et de marketing ne sont déposés qu'après votre consentement. Umami (mesure d'audience) ne dépose aucun cookie et n'apparaît pas dans ce tableau. Les durées sont indiquées à titre indicatif et n'excèdent pas 13 mois pour les cookies soumis à consentement (recommandation CNIL).

3. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès à vos données personnelles
  • Droit de rectification
  • Droit à l'effacement
  • Droit à la limitation du traitement
  • Droit à la portabilité des données
  • Droit d'opposition au traitement
  • Droit de retirer votre consentement à tout moment, pour les traitements qui en dépendent (article 7.3 du RGPD)
  • Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la loi n° 78-17)

Pour exercer ces droits, contactez-nous à [email protected]. Vous disposez également du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr).

Les traitements liés à votre compte ne font l'objet d'aucune décision entièrement automatisée produisant des effets juridiques à votre égard au sens de l'article 22 du RGPD.

4. Gestion des cookies

Vous pouvez modifier vos préférences de cookies à tout moment en utilisant notre bannière de consentement ou en nous contactant directement.

4 bis. Module Boussole — données spécifiques

Avis Google récupérés

Dans le cadre du module Boussole (plan Croissance), nous récupérons via une API tierce les avis publics laissés sur la fiche Google Business Profile du praticien : pseudo public de l'auteur, texte de l'avis, note et date.

Base légale : intérêt légitime du praticien à suivre et répondre aux avis le concernant (RGPD art. 6.1.f). Concernant les éventuelles données de santé manifestement rendues publiques par leurs auteurs, nous nous fondons sur l'exception prévue à l'article 9.2.e du RGPD.

Durée de conservation : 12 mois après collecte.

Cartographie de présence et contenus générés

Boussole stocke pour chaque praticien des données techniques (cartographie de présence en ligne, état du diagnostic, snapshots datés des sources) et les contenus générés par notre intelligence artificielle.

Durées de conservation :

  • Cartographie et diagnostics : 12 mois
  • Contenus générés non publiés : 90 jours après leur génération
  • Sollicitations clients (preuves d'envoi LCEN) : 3 ans
  • Logs du linter de conformité (passage forcé sur avertissement) : 3 ans

Sous-traitants spécifiques au module Boussole

  • Serper (recherche Google) — fournisseur hébergé aux États-Unis. Les données transmises se limitent à l'identifiant public de la fiche Google et au nom + ville de recherche. Le transfert hors UE est encadré conformément aux exigences RGPD applicables.
  • Google (Gemini via Vertex AI) — génération de contenu, hébergement Europe (region europe-west).
  • Resalib — pages publiques scrappées conformément à leur usage public (aucune donnée personnelle envoyée).

Transparence intelligence artificielle

Dans l'esprit des obligations de transparence de l'article 50 du Règlement (UE) 2024/1689 sur l'intelligence artificielle (applicables à compter du 2 août 2026), nous indiquons au praticien quand un contenu lui est proposé par notre intelligence artificielle. Cette indication est visible dans l'interface d'exécution de chaque action ; elle ne s'affiche pas côté visiteur des contenus publiés.

4 ter. Prospection et communications

Emails de conseils aux titulaires de compte

Lorsque vous créez un compte Merci Solange, nous pouvons vous adresser par email des conseils pour développer votre visibilité et tirer le meilleur parti du service.

Base légale : intérêt légitime (RGPD art. 6.1.f) — prospection relative à des services analogues à ceux que vous utilisez. Vous pouvez vous y opposer à tout moment via le lien de désinscription présent dans chaque email.

Emails aux prospects ayant demandé l'audit gratuit

Si vous demandez l'audit gratuit de votre site, nous collectons votre prénom, votre adresse email, votre métier et l'adresse de votre site web. Si vous avez coché la case de consentement, nous pouvons vous adresser par email des conseils et offres de Merci Solange.

Base légale : consentement (RGPD art. 6.1.a). Vous pouvez le retirer à tout moment via le lien de désinscription présent dans chaque email ou en nous contactant.

Kit et guides téléchargeables

Lorsque vous demandez un contenu téléchargeable (par exemple notre kit facturation), nous collectons votre prénom, votre adresse email et votre métier. Ces données servent d'abord à vous envoyer le contenu demandé. Si, et seulement si, vous cochez la case de consentement prévue à cet effet, nous vous adressons ensuite une courte série de conseils par email sur le même thème (2 emails de conseils maximum).

Bases légales : l'envoi du contenu demandé relève de l'exécution de votre demande ; les emails de conseils qui suivent reposent sur votre consentement (RGPD art. 6.1.a), retirable à tout moment via le lien de désinscription présent dans chaque email. La livraison du contenu et cette série de conseils transitent par notre sous-traitant d'emailing Brevo. Vos données ne sont ni revendues, ni utilisées pour d'autres campagnes sans un nouveau recueil de votre consentement.

Emails liés au compte

Certains emails sont nécessaires à la fourniture du service : vérification de votre adresse, informations relatives à la fin de votre période d'essai, et plus généralement les communications relatives à votre compte et à votre abonnement.

Base légale : exécution du contrat (RGPD art. 6.1.b). Ces emails vous sont envoyés même si vous vous êtes désinscrit des communications marketing.

Liste d'exclusion

Lorsque vous vous désinscrivez, nous conservons votre adresse email dans une liste d'exclusion afin de respecter votre choix et de ne plus vous adresser de communications marketing.

Durées de conservation

  • Données de prospects (audit gratuit, kits et guides téléchargeables) : 3 ans après le dernier contact
  • Journaux d'envoi des emails : 3 ans
  • Liste d'exclusion : tant que des emails sont émis

4 quater. Transferts de données hors Union européenne

L'application et la base de données sont hébergées en France (OVHcloud), et nos emails et SMS transactionnels transitent par Brevo (société française, données dans l'Union européenne). Certains prestataires d'analyse, de marketing ou du module Boussole sont toutefois établis aux États-Unis. Les transferts correspondants sont encadrés conformément au chapitre V du RGPD (articles 44 et suivants) :

  • Google (Google Analytics), Microsoft (Clarity) et Meta (Facebook Pixel) : sociétés certifiées au titre du Data Privacy Framework UE–États-Unis (décision d'adéquation de la Commission européenne du 10 juillet 2023, article 45 du RGPD).
  • Serper (module Boussole) : prestataire établi aux États-Unis ; le transfert est encadré par les clauses contractuelles types de la Commission européenne (article 46.2.c du RGPD) ou, le cas échéant, par le Data Privacy Framework.

Une copie des garanties applicables peut être obtenue sur demande à [email protected].

5. Contact

Pour toute question concernant cette politique de confidentialité ou pour exercer vos droits, contactez-nous à : [email protected]

6. Modifications

Nous nous réservons le droit de modifier cette politique de confidentialité. Les modifications seront publiées sur cette page avec une date de mise à jour.

Dernière mise à jour : 2 juillet 2026