Politique de confidentialité
1. Identité du responsable du traitement
Enumalon SAS (SIRET 101 694 347 00010, RCS Aubenas) édite le service Sellom.io. Enumalon SAS est responsable du traitement des données personnelles collectées via ce service. Contact RGPD : privacy@enumalon.com.
2. Données collectées et base légale
2.1 Adresse email (utilisateurs ayant fourni leur email)
Finalité : livraison du rapport de scan, communications sur votre visibilité IA si consentement accordé, gestion du compte.
Base légale : Consentement (art. 6.1.a RGPD) au moment de la saisie. Pour les abonnés payants : exécution du contrat (art. 6.1.b).
Durée : 36 mois à compter de la dernière activité (ou de l'expiration de l'abonnement), ou jusqu'au retrait du consentement.
Sous-traitant : Resend Inc. (USA) — envoi transactionnel — DPA disponible.
2.2 Historique des scans et domaines analysés
Finalité : fourniture du service, comparaison temporelle des scores, monitoring récurrent (abonnés Pro).
Base légale : Exécution du contrat (art. 6.1.b) pour les abonnés payants ; intérêt légitime (art. 6.1.f) pour les scans réalisés avec fourniture d'email.
Durée : comptes payants — durée de l'abonnement + 12 mois ; scans One-shot — durée indéterminée (accès permanent promis) ; scans email anonymes — 36 mois.
Note : le domaine scanné n'est pas une donnée personnelle en lui-même. Il le devient s'il est associé à une adresse email identifiante.
2.3 Adresse IP
Finalité : sécurité, prévention des abus, rate limiting, anti-fraude.
Base légale : Intérêt légitime (art. 6.1.f).
Durée : 48 heures en clair, puis hachage SHA-256 irréversible (pseudonymisation). L'IP hachée peut être conservée jusqu'à 12 mois pour des fins de sécurité.
2.4 Données de paiement
Finalité : traitement et confirmation du paiement, gestion de l'abonnement.
Base légale : Exécution du contrat (art. 6.1.b) et obligation légale comptable (art. 6.1.c).
Durée : 10 ans (obligation légale de conservation des pièces comptables).
Sous-traitant : Stripe Payments Europe Ltd (Irlande/UE). Sellom ne stocke jamais les numéros de carte bancaire.
2.5 Données analytiques comportementales (Microsoft Clarity)
Finalité : enregistrement de sessions anonymisées, heatmaps, amélioration de l'interface.
Base légale : Consentement (art. 6.1.a) — opt-in requis via la bannière cookies. Clarity n'est activé qu'après consentement explicite.
Durée : 90 jours (politique Clarity). Sous-traitant : Microsoft Corporation (USA) — CCT 2021 + EU-US DPF.
2.6 Plausible Analytics (mesure d'audience)
Finalité : comptage des visites agrégé, mesure des performances du site.
Fonctionnement : aucun cookie, aucune donnée personnelle identifiable, pas de fingerprinting, pas de tracking inter-sites. Instance auto-hébergée sur infrastructure OVH (France).
Base légale : Intérêt légitime (art. 6.1.f) — exemption CNIL délibération n° 2020-091 applicable.
Durée : données agrégées conservées 24 mois glissants.
2.7 Google Analytics 4 / Google Tag Manager
Finalité : mesure d'audience avancée, suivi des conversions.
Base légale : Consentement (art. 6.1.a) — opt-in requis. GA4/GTM ne sont activés qu'après consentement explicite.
Durée : 14 mois. Sous-traitant : Google Ireland Ltd / Google LLC (USA) — CCT 2021 + EU-US DPF.
3. Sous-traitants traitant des données dans le cadre des scans
Pour réaliser l'analyse de visibilité, Sellom interroge les API officielles de fournisseurs de modèles d'intelligence artificielle. Ces appels contiennent le domaine ou la marque à analyser, ainsi que des prompts standardisés. Les prompts n'incluent jamais l'adresse email, le nom, ni aucune donnée personnelle de l'utilisateur.
Dans la configuration actuelle, les fournisseurs LLMs sollicités sont :
| Sous-traitant | Rôle | Localisation | Garanties transfert UE |
|---|---|---|---|
| OpenAI, L.L.C. | API ChatGPT (scan) | USA | CCT 2021 + DPA disponible |
| Google LLC | API Gemini (scan) | USA | CCT 2021 + EU-US DPF + DPA disponible |
| Anthropic, PBC | API Claude (scan) | USA | CCT 2021 + DPA disponible |
D'autres fournisseurs LLMs pourront être ajoutés lors des évolutions du service (Mistral AI, Perplexity AI, etc.). La liste sera mise à jour sur cette page et un préavis raisonnable sera donné aux abonnés actifs.
La liste complète de tous les sous-traitants est disponible sur demande à privacy@enumalon.com.
4. Transferts hors Union Européenne
Les fournisseurs LLMs et certains outils (Stripe, Resend, Clarity, Google) traitent des données aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT 2021) et, le cas échéant, le cadre EU-US Data Privacy Framework (DPF). Les DPA correspondants ont été signés ou sont disponibles auprès de chaque fournisseur.
Les données analytiques (Plausible) restent hébergées dans l'Union Européenne (OVH, France).
5. Vos droits (RGPD art. 15 à 22)
- Accès (art. 15) : Mon compte > Mes données, ou privacy@enumalon.com
- Rectification (art. 16) : formulaire dans votre compte ou email — traitement sous 30 jours
- Effacement (art. 17) : bouton "Supprimer mon compte" dans les paramètres ou email à privacy@enumalon.com
- Portabilité (art. 20) : export JSON disponible dans Mon compte > Exporter mes données
- Opposition au marketing (art. 21) : lien "Se désinscrire" en bas de chaque email commercial, ou email
- Limitation du traitement (art. 18) : sur demande à privacy@enumalon.com
Réponse sous 30 jours maximum. En cas de réponse insatisfaisante, vous pouvez déposer une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.
6. Intelligence artificielle et AI Act
Sellom est un système d'IA à risque limité au sens du Règlement (UE) 2024/1689 (AI Act). Il ne prend pas de décisions automatisées ayant un impact sur les droits fondamentaux des personnes physiques. Conformément à l'art. 50.4, les rapports produits signalent leur origine IA.
Les résultats produits sont indicatifs et accompagnés d'un intervalle de confiance statistique. Ils ne constituent pas une décision automatisée au sens de l'art. 22 RGPD et ne lient aucune partie.
7. Cookies
Voir la Politique Cookies et Traceurs pour le détail complet de chaque cookie, sa durée et les options de gestion.
8. Sécurité
Enumalon SAS met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement TLS en transit, hachage des données sensibles au repos, isolation des environnements, contrôles d'accès. En cas de violation de données à caractère personnel, la CNIL sera notifiée dans les 72 heures conformément à l'art. 33 RGPD.
9. Modifications de la politique
Cette politique peut être modifiée. La version applicable est celle publiée sur cette page avec sa date. Les modifications substantielles sont notifiées par email aux abonnés actifs au moins 30 jours avant leur entrée en vigueur.
10. Contact
Enumalon SAS — privacy@enumalon.com — 584 Avenue du Lac, 07350 Cruas, France