Politique de confidentialité

Dernière mise à jour : 2 mai 2026

Monoid est construit sur un seul principe : ne collecter que ce qui est nécessaire, minimiser immédiatement les identifiants et éviter les profils de visiteurs. Cette politique explique quelles données nous traitons, pourquoi et comment.

1. Qui nous sommes

Monoid est exploité par Izac Cavalheiro (monoid@monoid.website), établi au Brésil. Pour des questions sur cette politique, contactez-nous à cette adresse.

Monoid ne maintient pas actuellement d'établissement dans l'UE, au Royaume-Uni ou dans l'EEE, et n'a pas désigné de représentant en vertu de l'Art. 27 RGPD ou UK RGPD. Cette exemption s'applique car le traitement des personnes concernées de l'UE/Royaume-Uni/EEE n'est pas à grande échelle, n'implique pas de catégories particulières de données et n'est pas susceptible de présenter un risque élevé pour les individus. Nous surveillons le volume de personnes concernées de l'UE/EEE traitées mensuellement. Si le traitement dépasse régulièrement 5 000 personnes concernées distinctes de l'UE/EEE par mois civil, nous désignerons un représentant UE en vertu de l'Art. 27 RGPD (et, séparément, un représentant britannique en vertu de l'Art. 27 UK RGPD et un représentant suisse en vertu de l'Art. 14 nLPD) avant que ce seuil ne soit maintenu.

2. Données des visiteurs que nous collectons en votre nom

Lorsque des visiteurs chargent une page sur un site instrumenté par Monoid, le tracker JavaScript envoie une requête de page vue contenant :

  • L'ID de site configuré dans la balise script
  • Le chemin de la page, comme /pricing
  • Le nom d'hôte du référent, quand disponible
  • La largeur d'écran reportée par le navigateur
  • Un code de pays dérivé des métadonnées edge grossières
  • Un type d'appareil large dérivé d'une correspondance de pattern User-Agent et de largeur d'écran grossière
  • Un hash journalier à sens unique utilisé uniquement pour compter les visiteurs uniques
  • Les noms d'événements personnalisés et les valeurs numériques optionnelles, quand votre site appelle window.monoid('event', ...) ou active le suivi automatique des interactions
  • La durée de page en millisecondes lors des changements de route ou du déchargement de page, utilisée pour calculer le temps moyen sur le site

Ce que nous ne stockons pas : Les adresses IP, les chaînes User-Agent complètes, les cookies, les empreintes d'appareils, la localisation précise ou les identifiants de visiteurs persistants d'un jour à l'autre.

Le hash de visiteur unique est calculé comme SHA-256(IP + User-Agent + SEL + AAAA-MM-JJ). La composante date signifie que le hash change chaque minuit UTC. Le SEL secret rend le reversement impraticable à partir des lignes d'analytique stockées. Le hash est utilisé comme signal de comptage journalier, pas comme profil de visiteur persistant.

3. Données de compte que nous collectons

Lorsque vous créez ou utilisez un compte Monoid, nous collectons :

  • Votre adresse e-mail (pour la connexion et les e-mails transactionnels)
  • Un mot de passe stocké comme hash à sens unique salé si vous vous inscrivez par e-mail/mot de passe
  • Les identifiants de fournisseur OAuth si vous utilisez la connexion sociale (Google, GitHub, Microsoft ou Facebook, quand activé) — nous ne recevons jamais vos mots de passe OAuth
  • Vos noms de domaine enregistrés
  • Les préférences du tableau de bord, comme les plages de dates, les types de graphiques et les panneaux visibles
  • Les tokens de réinitialisation de mot de passe sous forme hachée tant qu'un lien de réinitialisation est valide
  • Les messages de contact et de support que vous nous envoyez
  • Les informations de facturation traitées entièrement par Stripe — nous ne voyons ni ne stockons jamais les numéros de carte

4. Cookies et stockage

Le script de tracking n'utilise aucun cookie, aucun localStorage et aucun sessionStorage.

Le tableau de bord Monoid utilise un cookie de session httpOnly (user_token) pour maintenir votre connexion jusqu'à 30 jours. Ces cookies sont strictement nécessaires pour l'application et ne vous suivent pas sur d'autres sites web.

5. Comment nous utilisons vos données

  • Données des visiteurs — pour fournir des statistiques agrégées dans votre tableau de bord.
  • E-mail de compte — pour envoyer des e-mails de bienvenue, d'activation de site, de réinitialisation de mot de passe et de service.
  • Préférences du tableau de bord — pour mémoriser la mise en page et les paramètres de graphique sélectionnés.
  • Messages de contact et de support — pour répondre à vos demandes.
  • Données de facturation — pour traiter les paiements via Stripe et se conformer aux exigences de tenue de registres financiers.

Nous n'utilisons pas vos données pour la publicité, le profilage des visiteurs ou à toute fin autre que l'exploitation du Service.

6. Partage des données

Nous partageons des données avec :

  • Infrastructure edge managée — collecte de données et hébergement d'applications.
  • Stripe — pour le traitement des paiements.
  • Resend — pour la livraison d'e-mails transactionnels et de contact/support.
  • Fournisseurs OAuth — uniquement quand vous choisissez la connexion sociale, pour compléter l'authentification.

Nous ne vendons pas de données. Nous ne partageons pas de données avec des annonceurs, des courtiers en données ou des tiers en dehors des prestataires de services nécessaires pour exploiter Monoid.

6a. Transferts internationaux de données

Cloudflare, Stripe et Resend sont des entreprises américaines. Les transferts de données personnelles vers ces prestataires sont couverts par les Clauses Contractuelles Types (CCT) de l'UE et le Cadre de protection des données UE-États-Unis, le Cadre de protection des données Suisse-États-Unis (pour les résidents suisses) et l'Accord international de transfert de données du Royaume-Uni ou l'Addendum britannique aux CCT de l'UE (pour les résidents du Royaume-Uni). Vous pouvez consulter les mécanismes de transfert de chaque prestataire : Cloudflare (cloudflare.com/trust-hub/gdpr/), Stripe (stripe.com/legal/dpa), Resend (resend.com/legal/dpa).

6b. Base légale du traitement

Nous traitons les données personnelles sur les bases légales suivantes (RGPD de l'UE/Royaume-Uni Art. 6 ; nLPD suisse Art. 6) :

  • Analytique des visiteurs (hachée, sans cookies, rotation journalière) — Intérêt légitime (Art. 6(1)(f)) : fournir des statistiques d'audience respectueuses de la vie privée aux propriétaires de sites est notre service principal, et la conception minimise l'impact sur les personnes concernées individuelles.
  • Inscription au compte et prestation de service — Exécution d'un contrat (Art. 6(1)(b)).
  • E-mails transactionnels — Exécution d'un contrat (Art. 6(1)(b)).
  • Registres de facturation — Obligation légale (Art. 6(1)(c)) : les réglementations financières exigent la conservation des registres de paiement.
  • Journalisation de sécurité et données de limitation du taux — Intérêt légitime (Art. 6(1)(f)) : protéger la plateforme contre les abus et les accès non autorisés.

7. Conservation des données

  • Données de pages vues et d'événements personnalisés — les rapports du tableau de bord supportent jusqu'à 2 ans (730 jours) d'historique ; les lignes de plus de 730 jours sont supprimées par le processus de nettoyage. La fenêtre de 2 ans est également la fenêtre de conservation complète — aucune donnée plus ancienne n'est conservée, et votre export de données reflète ce jeu de données complet.
  • Données de compte, sites, préférences du tableau de bord, liens OAuth, inscriptions en attente, pages vues associées et événements personnalisés — supprimés de la base de données active lorsque vous supprimez votre compte.
  • Tokens de réinitialisation de mot de passe — valides 1 heure et supprimés ou invalidés lorsque remplacés ou utilisés.
  • État de connexion OAuth — valide 10 minutes et supprimé après le traitement du callback.
  • Registres de facturation — conservés conformément aux réglementations financières applicables (généralement 7 ans).

8. Vos droits

Selon votre juridiction, vous pouvez avoir le droit de :

  • Accéder aux données personnelles que nous détenons sur vous
  • Corriger les données inexactes — mettre à jour votre adresse e-mail directement depuis la page des paramètres du compte
  • Supprimer votre compte et toutes les données associées
  • Exporter vos données analytiques dans un format structuré
  • Vous opposer au traitement basé sur des intérêts légitimes (Art. 21 RGPD / UK RGPD)
  • Déposer une plainte auprès de votre autorité nationale de protection des données

Pour les statistiques des visiteurs, nous nous appuyons sur l'Intérêt légitime (Art. 6(1)(f)). Notre Évaluation des intérêts légitimes (LIA) applique le test en trois parties de l'EDPB : (1) Test de finalité — fournir des statistiques d'audience respectueuses de la vie privée est un intérêt légitime de Monoid et de ses clients ; (2) Test de nécessité — chaque champ stocké (chemin de page, nom d'hôte du référent, code de pays, catégorie d'appareil, famille de navigateur, hash journalier de visiteur, date) est individuellement nécessaire et rien de plus précis n'est conservé ; les adresses IP et les chaînes User-Agent complètes sont utilisées uniquement en mémoire et jamais écrites en stockage ; (3) Test d'équilibre — le hash SHA-256 à rotation journalière est pratiquement irréversible sans accès simultané à l'IP du visiteur, au User-Agent et à notre clé secrète ; aucun profilage cross-jour n'est possible ; les signaux DNT sont honorés ; aucun cookie ni identifiant persistant n'est défini sur l'appareil du visiteur. Dans l'ensemble, le traitement impose un risque minimal aux individus tout en permettant une fonction de service principale. Vous pouvez demander une copie du document LIA complet en envoyant un e-mail à monoid@monoid.website.

Les résidents de l'UE/EEE peuvent contacter leur DPA national (liste sur edpb.europa.eu). Les résidents britanniques peuvent contacter l'ICO (ico.org.uk). Les résidents suisses peuvent contacter le PFPDT (fdpic.ch). Pour les titulaires de compte Monoid, vous pouvez supprimer votre compte et toutes les données directement depuis la page des paramètres du compte.

Pour les demandes d'accès, de correction, de portabilité ou d'opposition aux données, envoyez un e-mail à monoid@monoid.website. Nous répondons dans les 30 jours. Les résidents suisses peuvent également exercer leurs droits en vertu de l'Art. 25 nLPD (information, accès, correction, suppression) au même contact.

8b. Traitement automatisé et application des limites de plan

Monoid applique une application automatisée des limites de plan : si un site dépasse son allocation mensuelle de pages vues, les lignes de pages vues supplémentaires ne sont pas enregistrées jusqu'à la prochaine période de facturation. Cette décision est prise automatiquement sur la base du comptage agrégé de pages vues pour votre compte, et non sur un profilage des visiteurs individuels du site web. Elle ne constitue pas une décision automatisée ayant un effet juridique ou similaire significatif sur les personnes concernées au sens de l'Art. 22 RGPD ou UK RGPD Art. 22. Si vous utilisez les données analytiques Monoid pour prendre des décisions automatisées concernant vos propres utilisateurs, vous devez le divulguer séparément dans votre propre avis de confidentialité.

9. Sécurité

Toutes les données sont transmises via HTTPS. Les mots de passe ne sont jamais stockés en clair ; ils sont stockés à l'aide d'un hachage de mot de passe à sens unique salé. Les cookies de session sont httpOnly, et les requêtes API authentifiées sont restreintes par des vérifications d'origine. Nous enregistrons les événements pertinents pour la sécurité tels que les tentatives de connexion échouées, les réinitialisations de mot de passe et les confirmations de suppression de compte.

10. Confidentialité des enfants

Le Service n'est pas destiné aux personnes de moins de 16 ans et n'est pas conçu pour être utilisé par elles. Monoid est une plateforme d'analytique professionnelle pour les propriétaires de sites et les développeurs. En créant un compte, vous confirmez que vous avez 16 ans ou plus. Nous ne collectons pas sciemment des données d'enfants. Si vous pensez qu'un enfant a créé un compte, contactez-nous et nous le supprimerons rapidement.

11. Modifications de cette politique

Les changements importants seront communiqués par e-mail au moins 14 jours avant leur entrée en vigueur. La date de « dernière mise à jour » ci-dessus reflètera toujours la version actuelle.

12. Contact

Questions sur la confidentialité, demandes de données ou préoccupations : monoid@monoid.website