Mentions légales

Politique de confidentialité

Dernière mise à jour : 21 mai 2026

Cette politique de confidentialité décrit comment Superstellar LLC, opérant sous le nom de Serge, collecte, utilise, divulgue et protège les données personnelles lorsque vous visitez serge.ai ou utilisez notre plateforme. Elle s'applique à tous les utilisateurs dans le monde. Pour toute question, contactez-nous à privacy@serge.ai.

01

Qui nous sommes

  • Serge est exploité par Superstellar LLC (« nous », « notre »), siège social à Baarerstrasse 52, 6300 Zoug, Suisse, inscrite au registre du commerce du canton de Zoug.
  • Responsable du traitement — Pour vos informations de compte et votre utilisation directe de www.serge.ai (y compris le scanner, le tableau de bord du workspace et l'Investigate Mode), Superstellar LLC est le responsable du traitement.
  • Sous-traitant — Lorsqu'un Client installe le snippet de suivi Serge sur un site appartenant au Client, le Client est le responsable du traitement pour les données de visiteurs en résultant et Superstellar agit en qualité de sous-traitant pour le compte du Client. Un accord de traitement de données Client (DPA), conforme à l'art. 28 RGPD et à la Loi fédérale suisse sur la protection des données (nLPD), est disponible sur demande à legal@serge.ai.
  • Pour toutes questions relatives à la confidentialité, contactez-nous à privacy@serge.ai.
02

Informations que nous collectons

  • Données de scan — Lorsque vous scannez un domaine, nous explorons des ressources publiquement disponibles (page d'accueil, robots.txt, sitemap.xml, llms.txt, spécifications OpenAPI, données structurées de la page) et stockons les résultats des vérifications, les scores et le domaine.
  • Données de compte — Lorsque vous créez un compte Serge (via Auth0), nous recevons votre adresse e-mail, votre nom et tous les claims OAuth supplémentaires que vous autorisez auprès de votre fournisseur d'identité. Nous utilisons ces données pour lier le compte à un workspace.
  • Données de workspace — Les workspaces contiennent les sites enregistrés, les site IDs du snippet, les membres invités, l'état de facturation et la configuration spécifique au workspace. Nous les traitons pour exploiter le Service.
  • Données d'événement du snippet — Lorsque vous installez le snippet de suivi Serge (serge.js) sur un site appartenant au Client, le snippet émet vers notre API d'ingestion des événements de détection d'agent. Le snippet est conçu pour être dépourvu de données personnelles par défaut : il ne pose pas de cookies, ne transmet pas les valeurs de formulaires, ne collecte pas d'identifiants d'appareil utilisables pour du suivi inter-sites et traite les signaux comportementaux bruts côté client, n'envoyant au serveur que les scores de classification résultants.
  • Données de session de relecture — Lorsque vous déclenchez une relecture active via l'Investigate Mode contre une URL sous votre direction, nous capturons pour cette seule session le raisonnement de l'agent, les étapes de navigation, des instantanés du DOM, des captures d'écran, des instantanés de l'arbre d'accessibilité et les métadonnées réseau. Les relectures ne capturent aucune donnée d'autres sessions que celle que vous avez initiée.
  • Adresses e-mail — Lorsque vous demandez un rapport de scan complet ou vous inscrivez à un compte Serge, nous collectons votre adresse e-mail. Il s'agit de données personnelles.
  • Données de facturation — Lorsque vous souscrivez à un plan payant, Stripe traite votre instrument de paiement ; nous ne recevons que les métadonnées nécessaires à l'exploitation de la facturation (customer ID, état de l'abonnement, enregistrements de factures). Nous ne recevons ni ne stockons jamais les numéros de carte complets.
  • Données techniques et d'utilisation — Adresses IP pour la limitation de débit (non stockées de manière persistante), informations de navigateur et d'appareil, et données d'erreur pour le débogage via Sentry (avec les informations personnellement identifiables supprimées avant transmission).
  • Traitement à la demande du Client — Lorsqu'un Client soumet un domaine ou une URL comme cible de scan ou comme cible de relecture via l'Investigate Mode, le Client nous demande d'explorer les ressources publiquement disponibles à cette cible. Toute donnée personnelle incidemment présente dans ces ressources (avis de visiteurs, raisonnement de l'agent citant le contenu de la cible, contenu de pages de tiers) est traitée à la demande du Client ; le Client demeure le responsable du traitement pour toute utilisation ultérieure de ces données et est responsable de la licéité de la soumission de la cible en vertu de notre Politique d'utilisation acceptable.
  • Hygiène des URL du snippet — Le Client est responsable de veiller à ce que les pages sur lesquelles il installe le snippet de suivi Serge n'exposent pas de données personnelles dans les chemins ou paramètres d'URL et de supprimer les paramètres sensibles avant que les événements du snippet ne soient émis. Le Client demeure le responsable du traitement des données personnelles de ses visiteurs et est responsable de la licéité de leur collecte, y compris des éventuelles divulgations de cookies / mentions de consentement requises sur son propre site.
03

Comment nous utilisons vos informations

  • Fourniture du service — Nous utilisons les données de scan pour fournir les scores Serge, les constatations et les recommandations de correction ; les données d'événement du snippet pour alimenter votre tableau de bord ; et les artefacts de session de relecture pour restituer la relecture que vous avez déclenchée. Base juridique : exécution de notre contrat avec vous (RGPD Art. 6, 1, b).
  • Communication — Nous envoyons le rapport de scan complet à l'adresse e-mail que vous fournissez, les messages transactionnels de compte (expiration de l'essai, reçus de facturation, changements de sous-traitants) ainsi que les autres avis liés à votre abonnement. Nous n'envoyons pas d'e-mails marketing sauf si vous y consentez séparément. Base juridique : exécution du contrat (Art. 6, 1, b).
  • Facturation — Stripe traite votre instrument de paiement et émet les factures ; nous traitons les métadonnées minimales nécessaires à l'exploitation de l'abonnement. Base juridique : exécution du contrat (Art. 6, 1, b) et obligation légale de conservation des documents comptables (Art. 6, 1, c).
  • Sécurité et prévention des abus — Nous utilisons la limitation de débit basée sur l'IP, la journalisation d'audit et l'analyse de sécurité des relectures pour protéger la plateforme, vos données et les sites tiers que nous explorons en votre nom. Base juridique : intérêt légitime à la sécurité de la plateforme (Art. 6, 1, f).
  • Amélioration du produit — Nous utilisons des analyses d'utilisation anonymisées et agrégées pour comprendre comment les gens utilisent Serge et pour améliorer le produit. Base juridique : intérêt légitime (Art. 6, 1, f), équilibré avec votre vie privée par une anonymisation stricte.
  • Conformité légale — Nous pouvons traiter des données pour nous conformer aux lois applicables, répondre à des demandes légales des autorités publiques, ou établir, exercer ou défendre des prétentions légales. Base juridique : obligation légale (Art. 6, 1, c) ou intérêt légitime (Art. 6, 1, f).
04

Partage des données et sous-traitants

  • Nous ne vendons pas vos données personnelles. Nous ne partageons pas vos données pour la publicité ou le ciblage comportemental inter-contextuel. Nous ne partageons les données qu'avec des sous-traitants, strictement aux fins d'exploitation et de maintenance du service Serge.
  • La liste à jour des sous-traitants qui traitent les données Client en notre nom — avec le rôle, la localisation et les certifications de chacun — est publiée à l'adresse https://www.serge.ai/subprocessors. Dans cette version, elle comprend Vercel (hébergement d'application), Neon (base de données PostgreSQL), Auth0 / Okta (authentification), Anthropic (API LLM pour le raisonnement des relectures et la modération de contenu), Browserbase (navigateurs sans interface gérés pour les relectures), Fly.io (calcul des workers de relecture), Stripe (facturation), Upstash (limitation de débit et cache éphémère), Sentry (suivi des erreurs) et Resend (e-mails transactionnels).
  • Chaque sous-traitant ne traite que les données strictement nécessaires à sa fonction et est lié par un accord de traitement adapté à son rôle.
  • Nous informerons les clients actifs au moins 30 jours avant d'engager un nouveau sous-traitant qui traite des données personnelles, vous donnant la possibilité de vous opposer avant le début du traitement.
  • Droit d'opposition — Si vous vous opposez à un nouveau sous-traitant qui traite vos données personnelles, notifiez-le-nous à privacy@serge.ai dans le délai de préavis de 30 jours. Nous chercherons de bonne foi des arrangements alternatifs. Si nous ne pouvons accéder à votre objection, vous pouvez résilier votre abonnement payant avec effet à la fin de la période de facturation en cours et recevoir un remboursement au prorata des frais déjà payés pour le reste de cette période.
  • Transferts d'activité — En cas de fusion, acquisition, réorganisation, vente de la quasi-totalité de nos actifs ou insolvabilité, les données personnelles peuvent être transférées à l'entité successeur ou acquéreuse, sous réserve de la présente Politique de confidentialité ou d'une politique mise à jour équivalente. Lorsque le droit applicable l'exige, nous informerons les utilisateurs concernés à l'avance et ceux-ci conserveront les droits décrits dans la présente Politique.
05

Transferts internationaux de données

  • Hébergement et traitement — Le Service est principalement hébergé sur une infrastructure située aux États-Unis. Des sous-traitants opèrent depuis les États-Unis, l'Union européenne, le Royaume-Uni et d'autres juridictions ; la liste à jour, avec la localisation et les certifications de chaque sous-traitant, est publiée à l'adresse https://www.serge.ai/subprocessors.
  • Transferts UE / EEE — Lorsqu'un sous-traitant est certifié au titre de l'EU-US Data Privacy Framework (DPF) adopté par la décision (UE) 2023/1795, nous nous appuyons sur sa certification DPF comme mécanisme de transfert principal. Pour les sous-traitants non certifiés DPF ou les transferts vers d'autres pays tiers, nous nous appuyons sur les Clauses Contractuelles Types de la Commission européenne (CCT, décision (UE) 2021/914).
  • Transferts depuis le Royaume-Uni — Pour les transferts depuis le Royaume-Uni, nous nous appuyons sur l'extension britannique de l'EU-US Data Privacy Framework pour les sous-traitants certifiés DPF, et sur l'International Data Transfer Addendum britannique aux CCT de l'UE (ICO IDTA) à défaut.
  • Transferts depuis la Suisse — Pour les transferts depuis la Suisse, nous nous appuyons sur le Swiss-US Data Privacy Framework pour les sous-traitants certifiés DPF, et sur les Clauses Contractuelles Types approuvées par le Préposé fédéral à la protection des données et à la transparence (PFPDT) à défaut.
  • Garanties supplémentaires — En complément des mécanismes juridiques de transfert ci-dessus, nous appliquons des mesures techniques et organisationnelles adaptées aux données transférées, incluant le chiffrement en transit (TLS 1.2 ou supérieur) et au repos, des contrôles d'accès basés sur les rôles, la journalisation d'audit ainsi que des accords de traitement des données qui répercutent les obligations de l'art. 28 RGPD à chaque sous-traitant.
  • Évaluation de l'impact des transferts — Conformément à l'arrêt Schrems II (CJUE, affaire C-311/18), nous avons évalué, et réévaluons périodiquement, si le cadre juridique de chaque pays de destination offre une protection essentiellement équivalente à celle du RGPD et de la nLPD suisse. Lorsqu'un risque résiduel ne peut pas être suffisamment atténué, nous évitons le transfert ou appliquons des garanties contractuelles ou techniques supplémentaires. Un résumé de notre évaluation d'impact des transferts est disponible sur demande à privacy@serge.ai.
  • Des copies des mécanismes de transfert applicables sont disponibles sur demande à privacy@serge.ai.
06

Conservation des données

  • Résultats de scan — Les scores, constatations et le domaine soumis sont conservés indéfiniment à des fins de benchmark. Les scans sont associés à des domaines, pas à des individus. Vous pouvez demander la suppression des scans que vous avez initiés en contactant privacy@serge.ai.
  • Données de compte et de workspace — Conservées tant que votre compte est actif et jusqu'à 90 jours après suppression, pour permettre la restauration et l'audit.
  • Données d'événement du snippet — Les événements analytiques sont conservés 24 heures sur les workspaces gratuits, 12 mois sur Pro, et jusqu'à 24 mois lorsque l'extension PAYG « conservation étendue » est active.
  • Données de session de relecture — Les artefacts de relecture (captures d'écran, instantanés DOM, instantanés de l'arbre d'accessibilité, raisonnement de l'agent, métadonnées réseau) sont conservés 90 jours sur Pro, et jusqu'à 180 jours lorsque l'extension PAYG « conservation étendue » est active.
  • Adresses e-mail — Conservées pour la livraison du rapport et le suivi du compte. Vous pouvez demander la suppression à tout moment en contactant privacy@serge.ai.
  • Documents de facturation — Les données de facturation stockées par Stripe sont conservées selon la propre politique de Stripe et nos obligations légales de conservation des documents comptables (Code suisse des obligations art. 957a — généralement 10 ans).
  • Journaux d'audit et d'abus — Les événements de sécurité des relectures et les journaux d'audit de la plateforme sont conservés jusqu'à 12 mois, comme décrit dans notre Politique d'utilisation acceptable.
  • Données de suivi des erreurs — Conservées pendant 90 jours via Sentry.
07

Mesures de sécurité

  • Chiffrement — Toutes les données en transit sont protégées par TLS 1.2 ou supérieur. Le stockage de la base de données est chiffré au repos via le chiffrement géré de Neon.
  • Sécurité applicative — Les en-têtes de sécurité (Content Security Policy, Strict-Transport-Security, X-Frame-Options, X-Content-Type-Options) sont appliqués sur toutes les réponses. La validation des entrées côté serveur est appliquée à chaque frontière à l'aide de schémas Zod. La limitation de débit est appliquée par endpoint.
08

Incidents de sécurité et notification de violation

  • Réponse aux incidents — Nous maintenons un processus de réponse aux incidents pour identifier, contenir, examiner et remédier aux incidents de sécurité affectant des données personnelles.
  • Notification aux autorités de contrôle — En cas de violation de données personnelles susceptible d'entraîner un risque pour les droits et libertés des personnes physiques, nous notifierons sans retard injustifié, et si possible dans les 72 heures à compter de la prise de connaissance, l'autorité de contrôle compétente, conformément à l'art. 33 RGPD, à l'art. 33 UK GDPR et à l'art. 24 nLPD suisse.
  • Notification aux personnes concernées — Lorsqu'une violation est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques, nous informerons sans retard injustifié les personnes concernées (art. 34 RGPD).
  • Notification aux Clients agissant comme responsables du traitement — Lorsque Superstellar agit en qualité de sous-traitant pour le compte d'un Client et qu'une violation affecte des données contrôlées par le Client, nous en informerons le Client sans retard injustifié, afin que celui-ci puisse se conformer à ses propres obligations de notification.
09

Vos droits en matière de confidentialité

  • Selon votre juridiction, vous pouvez bénéficier de tout ou partie des droits suivants concernant vos données personnelles. Nous honorons ces droits pour tous les utilisateurs, indépendamment de leur localisation, dans la mesure permise par la loi applicable.
  • Droit d'accès — Vous pouvez demander confirmation que nous traitons vos données personnelles et, le cas échéant, recevoir une copie de ces données dans un format structuré et couramment utilisé.
  • Droit de rectification — Vous pouvez demander la correction de données personnelles inexactes.
  • Droit à l'effacement — Vous pouvez demander la suppression de vos données personnelles.
  • Droit à la limitation du traitement — Vous pouvez demander que nous limitions l'utilisation de vos données pendant qu'un litige ou une demande est en cours de résolution.
  • Droit à la portabilité des données — Vous pouvez demander vos données dans un format lisible par machine (JSON) pour les transférer vers un autre service.
  • Droit d'opposition — Vous pouvez vous opposer au traitement basé sur notre intérêt légitime.
  • Pour exercer l'un de ces droits, envoyez votre demande par e-mail à privacy@serge.ai. Nous répondrons dans les 30 jours.
  • Si vous estimez que nous n'avons pas traité votre préoccupation de manière adéquate, vous avez le droit de déposer une plainte auprès de votre autorité locale de contrôle de la protection des données.
10

Droits supplémentaires pour les résidents de Californie

  • Si vous êtes résident de Californie, le California Consumer Privacy Act (CCPA) et le California Privacy Rights Act (CPRA) vous accordent des droits supplémentaires concernant vos informations personnelles.
  • Nous ne vendons pas d'informations personnelles au sens du CCPA/CPRA. Nous ne partageons pas d'informations personnelles à des fins de publicité comportementale inter-contextuelle.
  • Pour exercer vos droits californiens en matière de confidentialité, envoyez un e-mail à privacy@serge.ai.
11

Dispositions pour les résidents suisses

  • Pour les résidents de Suisse, nous traitons les données personnelles conformément à la Loi fédérale suisse sur la protection des données (nLPD).
  • L'autorité de surveillance compétente pour les questions de protection des données en Suisse est le Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne, Suisse.
12

Représentants internationaux

  • Nous n'avons pas désigné de représentant dans l'Union européenne au titre de l'art. 27 RGPD, au Royaume-Uni au titre de l'art. 27 UK GDPR, ni en Suisse au titre de l'art. 14 nLPD, car notre traitement de données personnelles de personnes concernées dans ces régions est occasionnel, n'implique pas de traitement à grande échelle de catégories particulières de données au sens de l'art. 9 RGPD et n'est pas susceptible d'entraîner un risque pour les droits et libertés des personnes concernées (exemption de l'art. 27, par. 2, point a) RGPD et dispositions équivalentes).
  • Les personnes concernées dans l'UE, au Royaume-Uni et en Suisse conservent l'ensemble des droits décrits dans la présente Politique et peuvent les exercer directement auprès de nous à privacy@serge.ai ou par courrier à Superstellar LLC, Baarerstrasse 52, 6300 Zoug, Suisse.
  • Si notre traitement atteint un volume ou un niveau de risque rendant obligatoire la désignation d'un représentant, nous en désignerons un et mettrons à jour la présente Politique en conséquence.
13

Cookies et technologies similaires

  • Nous n'utilisons sur serge.ai aucun cookie publicitaire, pixel de retargeting, pixel de suivi de réseaux sociaux ni cookie de suivi tiers. Nous ne participons à aucun réseau publicitaire.
  • Cookies essentiels — Lorsque vous vous connectez à un compte Serge, notre fournisseur d'authentification (Auth0) dépose un cookie de session limité à www.serge.ai. Il est HttpOnly, Secure et SameSite-Lax. Le supprimer vous déconnecte. Au regard de la directive ePrivacy, ce cookie est strictement nécessaire à la fourniture du service demandé et ne requiert pas de consentement.
  • Analyse — Serge n'utilise pas d'outil d'analyse tiers sur serge.ai. Le produit lui-même est un outil d'analyse pour nos clients ; pour notre propre observabilité interne, nous lisons directement les tables de la base de données opérationnelle (aucun SDK externe, aucun tracker côté client sur serge.ai).
14

Confidentialité des enfants

  • Serge est un service B2B conçu pour un usage professionnel par des adultes. Nous ne collectons pas sciemment de données personnelles de personnes de moins de 18 ans. Si vous pensez qu'un mineur nous a fourni des données personnelles, veuillez nous contacter à privacy@serge.ai.
15

Modifications de cette politique

  • Nous pouvons mettre à jour cette politique de confidentialité pour refléter les changements dans nos pratiques, la technologie, les exigences légales, ou pour d'autres raisons opérationnelles.
  • Modifications importantes — Nous vous informerons au moins 30 jours avant l'entrée en vigueur des modifications par e-mail et notification dans l'application.
  • Votre utilisation continue de Serge après l'entrée en vigueur de la politique mise à jour constitue l'acceptation des modifications.
16

Contact et autorités de contrôle

  • Demandes de confidentialité et droits — privacy@serge.ai
  • Demandes légales générales — legal@serge.ai
  • Adresse postale — Superstellar LLC, Baarerstrasse 52, 6300 Zoug, Suisse
  • Serge est exploité par Superstellar LLC, inscrite au registre du commerce du canton de Zoug, Suisse.