En bref
- Nous collectons uniquement les données nécessaires au service EvoRating (contact, compte, tunnel d'avis, facturation).
- Les données Google Business Profile ne sont accédées que si vous connectez votre fiche (offre Premium).
- Nous ne vendons pas vos données et ne les utilisons pas pour de la publicité ciblée.
- Vous pouvez exercer vos droits RGPD ou révoquer Google à tout moment : contact@evorating.com.
La présente politique de confidentialité décrit comment Microentreprise, exploitant le service EvoRating (ci-après « EvoRating », « nous »), traite les données personnelles des visiteurs du site evorating.com, des prospects, des clients professionnels et des consommateurs utilisant le tunnel d'avis, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi « Informatique et Libertés ».
1. Responsable du traitement
- Responsable : Alexy Wiciak, Microentreprise
- Domicile professionnel : 5 BIS RUE du Vivien 45800 Saint-Jean-de-Braye FRANCE
- SIRET : 10644792300017
- Contact données personnelles / DPO : contact@evorating.com
- Contact général : contact@evorating.com
2. Catégories de données collectées
2.1 Visiteurs du site et prospects
- Identité et coordonnées (nom, prénom, e-mail, téléphone, établissement) via le formulaire de contact ou la prise de rendez-vous
- Données de navigation techniques (adresse IP, navigateur, pages consultées, horodatage)
- Cookies et traceurs (voir la bannière cookies et la section 8)
2.2 Clients professionnels (SaaS)
- Informations de compte et d'établissement (raison sociale, logo, identifiants Google Place)
- Données commerciales : leads, RDV, pipeline, encaissements (Stripe, saisie manuelle, Powens si activé)
- Données publicitaires Meta Ads (campagnes, coûts, formulaires leads) si connecteur activé
- Données d'utilisation du tunnel (notes, avis privés 1–3★, statistiques agrégées)
- Données de facturation et d'abonnement (via Stripe — nous ne stockons pas les numéros de carte bancaire complets)
- Authentification administrateur : secret TOTP (Google Authenticator) chiffré — jamais le code à 6 chiffres en clair
2.3 Données bancaires (Powens — optionnel)
Si le client connecte son compte bancaire via Powens (Budget Insight), nous synchronisons des transactions et soldes agrégés pour alimenter les tableaux de bord Finances. Nous ne stockons pas les identifiants bancaires du client final en clair ; l'authentification est gérée par Powens.
2.4 Consommateurs finaux (tunnel d'avis / formulaires leads)
- Note attribuée (1 à 5 étoiles)
- Commentaire et coordonnées éventuelles pour les retours privés (1–3★), selon les champs affichés par le commerçant
- Données techniques minimales (horodatage, événements de navigation anonymisés sur le tunnel)
2.5 Données Google (connexion optionnelle)
Si le client professionnel connecte son établissement à Google Business Profile via EvoRating (offre Premium), nous accédons aux données strictement nécessaires au service :
- Identifiants de compte et de fiche Google (account / location)
- Avis publics publiés sur la fiche Google et métadonnées associées (note, texte, date, auteur affiché par Google)
- Jetons OAuth d'accès et de rafraîchissement (stockés de manière sécurisée, chiffrés côté serveur)
- Réponses générées ou publiées via l'outil, dans le cadre des fonctionnalités activées par le client
Nous n'accédons pas au contenu des e-mails, agendas, contacts personnels ou autres services Google non liés à la gestion des avis.
3. Finalités et bases légales
- Réponse à une demande de contact / démo : intérêt légitime et, le cas échéant, consentement
- Fourniture du service SaaS et du tunnel d'avis : exécution du contrat
- Facturation et comptabilité : obligation légale et exécution du contrat
- Connexion Google Business Profile : exécution du contrat et consentement explicite via l'écran OAuth Google
- Sécurité, prévention de la fraude et amélioration du service : intérêt légitime
- Authentification forte (2FA) de l'espace d'administration : intérêt légitime (sécurité des systèmes)
4. Utilisation limitée des données Google (Limited Use)
Conformément aux Règles d'utilisation des données des services API Google, EvoRating s'engage à :
- utiliser les données utilisateur Google uniquement pour fournir ou améliorer les fonctionnalités demandées par le client (lecture et réponse aux avis, synchronisation) ;
- ne pas utiliser ces données pour de la publicité ciblée, du profilage publicitaire ou la revente à des courtiers de données ;
- ne pas transférer les données Google à des tiers, sauf sous-traitants techniques indispensables au fonctionnement du service, sous contrat et dans le respect du RGPD ;
- permettre au client de révoquer l'accès à tout moment depuis EvoRating ou depuis les paramètres de son compte Google (myaccount.google.com/permissions).
5. Durée de conservation
- Prospects non convertis : 3 ans à compter du dernier contact
- Données client, leads et tunnel : durée du contrat, puis archivage limité (5 ans pièces comptables le cas échéant)
- Transactions Powens synchronisées : durée du contrat + 13 mois maximum après dernière sync
- Données Meta Ads / leads publicitaires : durée du contrat ; suppression sous 30 jours après résiliation
- Jetons Google / OAuth : tant que la connexion est active ; suppression sous 30 jours après révocation
- Logs techniques : 12 mois maximum
- Cookies : selon la durée indiquée dans la bannière (essentiels / analytiques)
6. Destinataires et sous-traitants
Les données peuvent être traitées par nos sous-traitants, notamment :
- IONOS SE — hébergement (Elgendorfer Straße 57, 56410 Montabaur, Allemagne)
- Stripe — paiements sécurisés
- Meta Platforms — publicité et leads (si connecteur activé par le client)
- Powens (Budget Insight) — agrégation bancaire (si connecteur activé)
- Google LLC — OAuth, Gmail, Calendar, Business Profile (si activé)
- Cloudflare Turnstile — protection anti-spam du formulaire de contact
- Prestataire d'e-mailing transactionnel (alertes et rapports)
Ces prestataires agissent sur nos instructions documentées et dans le cadre d'accords conformes au RGPD (art. 28). Voir l'accord sous-traitant (DPA) et le registre des traitements. Contact : contact@evorating.com.
7. Sécurité
Mesures mises en œuvre : connexion HTTPS, pare-feu et limitation de débit, protection anti-spam (Turnstile), mots de passe robustes, authentification à deux facteurs (TOTP) pour l'administration, chiffrement des secrets sensibles, signature HMAC optionnelle des webhooks, journal d'audit admin, sessions sécurisées (cookies HttpOnly, Secure en production), sauvegardes et scans de sécurité périodiques (voir statut du service).
8. Cookies et traceurs
Le site utilise des cookies essentiels (session, sécurité, anti-spam) et, uniquement avec votre consentement explicite, des cookies d'analyse pour améliorer l'expérience. Les cookies analytiques sont désactivés par défaut.
- Inventaire détaillé : politique cookies (noms, finalités, durées, éditeurs).
- Gestion du consentement : bannière à la première visite ou Gestion des cookies en pied de page.
- Durée du choix : 13 mois maximum, puis nouvelle demande de consentement.
- Traceurs essentiels :
PHPSESSID(session), cookies CSRF, Turnstile (Cloudflare) sur le formulaire de contact. - Stockage local :
evorating_cookie_consentpour mémoriser vos préférences.
9. Vos droits (RGPD)
Vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité lorsque applicable.
- Clients professionnels : export JSON self-service dans l'espace client (Mon profil → Données personnelles) ; demande d'effacement via le même écran ou par e-mail.
- Prospects / visiteurs : contact@evorating.com (réponse sous 30 jours).
- Données Google : révocation depuis EvoRating ou compte Google.
Vous pouvez introduire une réclamation auprès de la CNIL.
10. Transferts hors Union européenne
Certains sous-traitants (notamment Google et Stripe) peuvent traiter des données aux États-Unis ou dans d'autres pays avec des garanties appropriées (clauses contractuelles types de la Commission européenne, mesures complémentaires).
11. Modifications
Nous pouvons mettre à jour cette politique pour refléter l'évolution du service ou de la réglementation. La date de dernière mise à jour figure en tête de page. En cas de changement substantiel, nous en informerons les clients actifs par e-mail ou via l'interface.
Éditeur : Alexy Wiciak, Microentreprise, 5 BIS RUE du Vivien 45800 Saint-Jean-de-Braye FRANCE, SIRET 10644792300017. TVA non applicable, article 293 B du Code général des impôts. · Voir aussi nos conditions d'utilisation et notre politique cookies.