Se connecterLancer le test gratuit
Informations légales

Politique de confidentialité

Date : 7 juin 2026

Par cette politique de confidentialité, nous vous informons sur le traitement de vos données personnelles lors de l'utilisation d'Empcora. Nous attachons la plus grande importance à la protection de vos données et respectons strictement les dispositions du Règlement général sur la protection des données (RGPD), de la loi fédérale sur la protection des données (BDSG) et de la loi sur la protection des données en matière de télécommunications et de services numériques (TDDDG).

Domaine d'application

Cette politique de confidentialité s'applique à tous les domaines de la famille de marques Empcora :

  • empcora.de
  • empcora.com
  • empcora.eu
  • empco-pruefung.de
  • empco-konform.de
  • greenwashing-check.de
  • greenwashing-pruefen.de
  • greenclaim-guard.de

Tous les domaines parlants sont exploités par le même responsable du traitement (voir section 1) et sont redirigés vers le domaine principal empcora.de. Les informations suivantes conformément à l'article 13 du RGPD s'appliquent à chacun de ces domaines de la même manière.

1. Responsable du traitement

Le responsable du traitement au sens de l'article 4, point 7 du RGPD est :

Marcel Schlüter IT-Services
Empcora
Kollwitzstraße 76
10435 Berlin
Allemagne
E-mail : [email protected]

1a. Délégué à la protection des données

En tant qu'entreprise individuelle, nous ne sommes pas tenues de nommer un délégué à la protection des données en vertu de § 38 BDSG. Pour toute question relative à la protection des données, veuillez contacter directement le responsable du traitement mentionné ci-dessus.

2. Finalités du traitement

Nous traitons vos données personnelles aux fins suivantes :

  • Fourniture du service SaaS : Inscription, authentification, gestion des comptes et des organisations, exécution des analyses de conformité
  • Traitement des paiements : Facturation des forfaits payants via Stripe
  • Analyse basée sur l'IA : Reformulation des affirmations publicitaires à l'aide de l'API Claude (Anthropic)
  • Communication par courrier électronique : Confirmations, résultats des analyses, réinitialisation de mot de passe, factures, support
  • Traitement des demandes de contact : Réponse à vos demandes via le formulaire de contact ou par courrier électronique
  • Journalisation et sécurité : Prévention des abus, diagnostic des erreurs, protection contre les attaques
  • Respect des obligations légales : Archivage des factures conformément à § 147 AO (10 ans)

3. Fondements juridiques

Le traitement de vos données personnelles repose sur les bases juridiques suivantes :

  • Article 6, paragraphe 1, point b) du RGPD (Exécution du contrat et mesures précontractuelles) : Fourniture du service SaaS, traitement des paiements, analyse par IA en tant que service contractuellement convenu, envoi de courriers électroniques à titre contractuel, traitement des demandes de contact avec lien précontractuel
  • Article 6, paragraphe 1, point c) du RGPD (Obligation légale) : Conservation des documents pertinents à titre fiscal conformément à § 147 AO et § 14b UStG
  • Article 6, paragraphe 1, point f) du RGPD (Intérêt légitime) : Journalisation à titre de prévention des abus et de sécurité informatique, requêtes de crawler pour la fourniture du service d'analyse, traitement des demandes de contact générales sans lien précontractuel
  • Article 6, paragraphe 1, point a) du RGPD (Consentement) : Inscriptions volontaires à la lettre d'information (si disponible), communication marketing facultative
  • § 25, paragraphe 2, point 2 TDDDG (Caractère techniquement indispensable) : Stockage et accès aux informations sur l'appareil terminal de l'utilisateur dans le cadre des cookies techniquement nécessaires (authentification, protection contre les robots, vérification de sécurité) — voir section 8

4. Catégories de données

Nous traitons les catégories suivantes de données personnelles :

  • Données maîtres : Nom, adresse électronique, nom de l'entreprise, adresse le cas échéant pour les forfaits payants
  • Données de connexion et d'authentification : Hash bcrypt du mot de passe (facteur de coût 12), jetons d'authentification JWT, cookie de session
  • Données d'utilisation : Domaines et URL analysés, affirmations trouvées, résultats des analyses, score de conformité, reformulations par IA
  • Données de communication : Contenu du formulaire de contact (nom, e-mail, objet, message), correspondance d'assistance
  • Données de paiement : ID de client Stripe, ID d'abonnement Stripe, numéro de facture, montant de la facture, statut du paiement. Les données de carte de crédit ou SEPA sont traitées exclusivement par Stripe et ne sont pas accessibles pour nous.
  • Données d'analyse de tiers : Contenu publiquement accessible du site Web que vous avez spécifié (balises méta, textes, affirmations publicitaires). Les sites Web analysés peuvent contenir incidemment des données personnelles de tiers (par exemple, noms d'employés sur les pages d'équipe, données du registre des sociétés). Le HTML brut complet des pages analysées est supprimé immédiatement après la conclusion de l'analyse et n'est pas stocké de façon permanente. Les éléments systématiquement conservés sont exclusivement les affirmations publicitaires identifiées (« claims »), leur évaluation et une référence à l'URL source — ces ensembles de données sont conservés pendant 24 mois à compter de l'exécution de l'analyse pour assurer la reproductibilité et les analyses comparatives, puis supprimés automatiquement. Aucun enrichissement avec des données supplémentaires de tiers n'a lieu.
  • Données de fichier journal : Adresse IP, horodatage, agent utilisateur, référent, URL consultée, code de statut HTTP

5. Durée de conservation

Nous ne conservons vos données que tant que cela est nécessaire aux fins respectives ou requis par la loi :

  • Données de compte et maîtres : Jusqu'à la suppression de votre compte, suivi d'une anonymisation ou d'une suppression dans les 30 jours
  • Résultats des analyses : 24 mois à compter de l'exécution de l'analyse, suivi d'une suppression automatique
  • Factures et documents pertinents à titre fiscal : 10 ans conformément à § 147 AO et § 14b UStG
  • Fichiers journaux : 30 jours à titre de prévention des abus, puis suppression automatique
  • Demandes de contact : Jusqu'au traitement complet de votre demande, suivi d'une suppression sauf si des obligations légales de conservation s'appliquent
  • Cookie d'authentification : Selon le rôle — 24 heures à compter de la connexion pour les utilisateurs ordinaires (rôles user, support), 7 jours pour les administrateurs (rôle admin). Le jeton d'actualisation associé expire en tout état de cause après 7 jours. Au moment de la déconnexion, les deux cookies sont supprimés immédiatement.
  • Cookies de sécurité Cloudflare : __cf_bm 30 minutes, _cfuvid session, cf_clearance jusqu'à 30 jours (voir section 8b)

6. Responsables du traitement et destinataires

Nous utilisons des responsables du traitement soigneusement sélectionnés avec lesquels nous avons conclu des contrats de traitement de données conformément à l'article 28 du RGPD. Les prestataires de services suivants traitent des données personnelles en notre nom :

Prestataire de servicesSiègeFinalité
Stripe Payments Europe Ltd. (partenaire contractuel) ainsi que Stripe Inc. (maison mère américaine, uniquement dans des cas strictement définis comme la lutte contre le blanchiment d'argent, les demandes des autorités)Dublin, Irlande (serveurs UE) / San Francisco, États-UnisTraitement des paiements ; contrat de traitement de données selon l'article 28 du RGPD, clauses contractuelles types de l'UE (CCS) pour les transferts vers Stripe Inc. ; certifié PCI-DSS
Hetzner Online GmbHGunzenhausen, AllemagneHébergement de serveurs, hébergement de bases de données (PostgreSQL et Redis localement), contrat de traitement de données conclu
Anthropic PBCSan Francisco, États-UnisReformulations par IA via l'API Claude ; seul le texte de la réclamation est transmis, pas de données personnelles ; contrat de traitement de données et CCS conclus, drapeau « disable training » actif
Cloudflare Inc.San Francisco, États-UnisDNS, CDN, protection DDoS, WAF ; contrat de traitement de données et CCS conclus
Serveur de courrier électronique personnelCentre de données Hetzner, AllemagneEnvoi de courriers électroniques transactionnels (confirmations, résultats d'analyse, factures, correspondance d'assistance). Exploitation sur infrastructure personnelle — aucun responsable du traitement supplémentaire, aucune transmission à des tiers.

Les bases de données (PostgreSQL, Redis) sont exploitées exclusivement sur nos serveurs chez Hetzner en Allemagne. Aucune transmission à des tiers qui ne figurent pas dans cette liste n'a lieu.

6a. Traitement de données en tant que responsable du traitement

Dans la mesure où vous, en tant qu'utilisateur, faites analyser des domaines dont le contenu contient des données personnelles de tiers (par exemple, noms de directeurs généraux dans l'immatriculation, noms d'employés sur les pages d'équipe, coordonnées), nous serons responsables du traitement au sens de l'article 28 du RGPD pour ces données et vous serez responsable du traitement. Dans ce traitement, nous utilisons les responsables du traitement suivants, dont le siège se trouve parfois aux États-Unis (transfert vers un pays tiers sur la base des clauses contractuelles types de l'UE conformément à l'article 46, paragraphe 2, point c) du RGPD) : Anthropic PBC (États-Unis, reformulation par IA), Cloudflare Inc. (États-Unis, CDN/WAF) et Hetzner Online GmbH (Allemagne, hébergement). Vos obligations en tant que responsable du traitement en vertu de l'article 28, paragraphe 2 et de l'article 44 et suivants du RGPD ne sont pas affectées. Un accord correspondant de traitement de données (contrat de traitement de données) comprenant une liste des responsables du traitement secondaires vous sera fourni individuellement sur demande — veuillez nous contacter à ce sujet via notre formulaire de contact.

7. Transferts vers des pays tiers

Une transmission de vos données personnelles vers des pays tiers en dehors de l'EEE ne se fait que si elle est nécessaire à la fourniture de nos services. Concrètement, un transfert vers un pays tiers aux États-Unis a lieu dans les cas suivants :

  • Anthropic PBC (États-Unis) : Transmission de textes de réclamation à l'API Claude pour la reformulation assistée par IA. Seuls les extraits de texte sans référence personnelle sont transmis. Le traitement a lieu avec le drapeau « disable training » activé, de sorte que vos données ne soient pas utilisées pour l'entraînement des modèles.
  • Cloudflare Inc. (États-Unis) : Acheminement des requêtes Web, résolution DNS, protection contre les attaques.
  • Stripe Payments Europe Ltd. (maison mère américaine) : Lors du traitement des paiements, un transfert de données vers la société mère américaine peut techniquement se produire.

La transmission se fait respectivement sur la base des clauses contractuelles types de la Commission européenne (CCS selon l'article 46, paragraphe 2, point c) du RGPD) ainsi que des mesures techniques et organisationnelles supplémentaires. Une copie des CCS respectifs vous sera fournie sur demande.

7a. Évaluation de l'impact du transfert (TIA)

À la lumière de la jurisprudence Schrems II de la Cour de justice de l'UE (C-311/18), nous avons mené une analyse d'impact (TIA) pour chaque transfert vers un pays tiers américain et parvenons à la conclusion suivante :

  • Anthropic PBC : Seuls les textes publicitaires sans référence personnelle (par exemple, « fabriqué de manière neutre en carbone ») sont transmis à l'API. Anthropic publie des rapports de transparence sur les demandes des autorités. Le drapeau « disable training » empêche l'utilisation des données pour l'entraînement des modèles. Le risque d'accès des autorités américaines (FISA 702) est minimisé par l'absence de référence personnelle.
  • Cloudflare Inc. : Cloudflare exploite des centres de données européens et propose la « Data Localization Suite », par laquelle les adresses IP et les données de connexion restent principalement dans l'UE. Pour le routage de colonne vertébrale, un transit américain éphémère peut se produire. Les CCS sont conclus.
  • Stripe Payments Europe Ltd. : Le partenaire contractuel est la filiale irlandaise de Stripe avec des serveurs de l'UE. Un transfert vers les États-Unis à la maison mère Stripe Inc. n'est effectué que dans des cas strictement définis (lutte contre le blanchiment d'argent, demandes des autorités). Stripe est certifié PCI-DSS ; les données des titulaires de cartes ne sont pas stockées par nous.

La documentation TIA complète vous sera fournie sur demande écrite.

8. Cookies

Nous utilisons exclusivement des cookies techniquement nécessaires. Ils sont absolument indispensables au fonctionnement de la connexion, du processus de paiement et de la protection contre les attaques automatisées (§ 25, paragraphe 2, point 2 TDDDG) :

8a. Cookies propres

  • empcora_token · Domaine : empcora.de · Durée : 24 heures pour les utilisateurs ordinaires (rôles user, support), 7 jours pour les administrateurs · HttpOnly, SameSite=Lax · Finalité : Authentification des utilisateurs connectés au moyen d'un jeton Web JSON signé (JWT). Contenu : exclusivement l'ID utilisateur (aucune référence personnelle en clair, pas d'e-mail, pas de nom). De plus, il existe un cookie empcora_refresh avec une durée de 7 jours pour renouveler silencieusement la session sans nouvelle saisie du mot de passe.

8b. Cookies via Cloudflare (sécurité/protection contre les robots)

Cloudflare protège notre infrastructure contre les attaques automatisées (DDoS, robots, scraping). Pour ce faire, les cookies suivants sont définis sur le domaine à chaque appel — tous classés comme « strictement nécessaires » :

  • __cf_bm · Cloudflare · Durée : 30 minutes · Finalité : Gestion des robots, distinction entre appels humains et automatisés. Définit un score de robot anonyme, aucune référence personnelle.
  • cf_clearance · Cloudflare · Durée : jusqu'à 30 jours · Finalité : Stocke le résultat d'une vérification de sécurité réussie (par exemple, captcha sur trafic suspect), de sorte que l'utilisateur n'a pas besoin de repasser le test à chaque appel. N'est défini que lorsque la vérification de sécurité est activée.
  • _cfuvid · Cloudflare · Durée : Session · Finalité : Lien aux règles de limitation de débit, empêche le contournement de la protection par changement de cookie. Aucune finalité publicitaire ou de suivi.

Le fondement juridique de ces cookies est § 25, paragraphe 2, point 2 TDDDG (nécessité inconditionnelle pour le service télémédia que l'utilisateur souhaite utiliser) en conjonction avec article 6, paragraphe 1, point f) du RGPD (intérêt légitime à la protection contre les attaques).

8c. Cookies lors du processus de paiement (Stripe)

Remarque sur les cookies Stripe : Lors de la transition vers la page de paiement Stripe (processus de paiement), Stripe définit ses propres cookies sur checkout.stripe.com pour la prévention de la fraude et la gestion de session. Ces cookies sont techniquement nécessaires au traitement des paiements. Déclarations de confidentialité de Stripe : stripe.com/de/privacy.

Aucun cookie de suivi, d'analyse ou de marketing n'est défini sur nos pages. Une bannière de consentement n'est donc pas nécessaire (§ 25, paragraphe 2, point 2 TDDDG).

8d. Mesure d'audience avec Umami (auto-hébergé, sans cookie)

Pour l'analyse statistique de l'utilisation du site Web, nous utilisons le logiciel open source Umami, exploité entièrement sur notre propre infrastructure en Allemagne (Hetzner Online GmbH). Aucune transmission à des tiers n'a lieu.

Umami fonctionne sans cookie : aucun cookie n'est défini et aucune information n'est stockée dans ni lue depuis le terminal de l'utilisateur. Par conséquent, aucun consentement n'est requis au titre du § 25 TDDDG.

Seules des données agrégées et non identifiantes sont collectées : pages consultées (chemin), domaine référent, origine approximative au niveau national, type de navigateur et d'appareil, date et heure. L'adresse IP est traitée de manière transitoire et n'est pas conservée de façon permanente. Un éventuel identifiant de visiteur est généré côté serveur à partir de l'adresse IP et de l'empreinte du navigateur, haché et renouvelé quotidiennement — pas de suivi persistant ni inter-appareils.

Fondement juridique : intérêt légitime à une mesure d'audience sobre en données et anonyme (article 6, paragraphe 1, point f) du RGPD).

Les signaux Do Not Track du navigateur sont respectés ; si le DNT est activé, aucune mesure n'a lieu.

9. Fichiers journaux

À chaque appel de notre site Web, les données suivantes sont enregistrées dans les fichiers journaux :

  • Adresse IP
  • Date et heure de la demande
  • Agent utilisateur (navigateur, système d'exploitation)
  • URL de référence
  • URL consultée et code de statut HTTP

Le fondement juridique est article 6, paragraphe 1, point f) du RGPD ; notre intérêt légitime réside dans la prévention des abus, le diagnostic des erreurs et la sécurité informatique. Les journaux sont automatiquement supprimés après 30 jours.

10. Données de crawler

Lorsque vous entrez une URL pour examen de conformité, notre crawler accède au site Web publiquement accessible et analyse son contenu (balises méta, textes, affirmations publicitaires). Nous respectons les principes suivants :

  • Nous crawlons exclusivement les zones publiquement accessibles du domaine que vous avez spécifié
  • Nous respectons robots.txt et les délais de crawl
  • Nous ne contournons pas l'authentification ou les paywalls
  • Vous nous assurez, en tant qu'utilisateur, que vous êtes autorisé à crawler le domaine spécifié (propriété, mandat, etc.)
  • Les pages analysées peuvent contenir incidemment des données personnelles de tiers (déclarations obligatoires d'immatriculation, noms de directeurs généraux/propriétaires, profils d'équipe/employés, coordonnées). Ces données ne sont traitées que pour l'exécution du scan que vous avez commandé, ne sont pas enrichies et — pour autant qu'il s'agisse de HTML brut — sont supprimées immédiatement après la conclusion de l'analyse. Les réclamations identifiées sont conservées pendant 24 mois (section 5). La responsabilité en matière de protection des données vis-à-vis des tiers concernés vous incombe en tant qu'utilisateur (responsable du traitement) conformément à l'article 4, point 7 du RGPD ; nous agissons à ce titre en tant que responsable du traitement (voir section 6a).

11. Formulaire de contact

Si vous utilisez notre formulaire de contact, nous traitons les données que vous avez saisies (nom, e-mail, objet, message, téléphone le cas échéant) afin de répondre à votre demande. Le fondement juridique est article 6, paragraphe 1, point b) du RGPD (mesures précontractuelles) ou article 6, paragraphe 1, point f) du RGPD (intérêt légitime au traitement de votre demande).

Pour nous protéger contre les robots de spam, nous utilisons un champ piège et une limitation de débit basée sur l'adresse IP (maximum 3 demandes par heure par IP). Vos demandes sont conservées jusqu'au traitement complet et ensuite supprimées sauf si des obligations légales de conservation s'appliquent.

12. Lettre d'information

Nous envoyons environ 1× par mois une lettre d'information avec des mises à jour EmpCo, des jugements de la Cour fédérale de justice/de cours régionales et des avis de conformité. L'envoi se fait exclusivement après un consentement explicite dans le processus d'acceptation double (Double Opt-In) (confirmation de l'inscription via un lien dans un e-mail de confirmation séparé).

  • Fondement juridique : Article 6, paragraphe 1, point a) du RGPD (consentement) en conjonction avec § 7, paragraphe 2, point 3 UWG.
  • Données traitées : Adresse électronique, statut de confirmation (en attente / actif / désabonné), jeton DOI (valide 24 h), jeton de désinscription permanent, source d'inscription, hachage IP (SHA-256 abrégé, à titre de protection contre le spam, non rétrocédable à l'IP), agent utilisateur (max. 200 caractères), horodatage.
  • Finalité : Envoi de la lettre d'information ; preuve du consentement (article 7, paragraphe 1 du RGPD) ; protection contre le spam/les abus.
  • Durée de conservation : Abonnements actifs illimités (jusqu'à la désinscription). Après la désinscription, le statut « désinscrit » avec horodatage est conservé pendant au moins 12 mois pour prouver l'exercice du droit de rétractation ; l'anonymisation ou la suppression se fait ensuite. Les demandes DOI non confirmées sont automatiquement supprimées après expiration du jeton (24 h).
  • Retrait (article 7, paragraphe 3 du RGPD) : Vous pouvez retirer votre consentement à tout moment et sans justification — soit via le lien de désinscription personnel qui figure dans chaque e-mail de lettre d'information, soit par e-mail à [email protected]. Le retrait prend effet immédiatement ; les e-mails déjà envoyés ne sont pas affectés.
  • Prestataire d'envoi : L'envoi se fait via notre propre serveur de messagerie (Mailcow, hébergé en Allemagne). Aucune transmission à des tiers ou vers des pays tiers.

13. Traitement des paiements via Stripe

Pour le traitement des forfaits payants, nous utilisons le prestataire de services de paiement Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlande. Stripe est un prestataire de services de paiement certifié PCI-DSS.

Lors du paiement, les données de paiement (numéro de carte de crédit, IBAN, etc.) sont transmises directement à Stripe et traitées exclusivement par ses soins. Nous n'avons accès à vos données de carte ni à votre IBAN. Nous stockons uniquement l'ID de client attribué par Stripe, l'ID d'abonnement, le numéro de facture et le statut du paiement.

Le fondement juridique est article 6, paragraphe 1, point b) du RGPD (exécution du contrat). Vous trouverez la politique de confidentialité de Stripe à l'adresse suivante : https://stripe.com/de/privacy

14. Analyse par IA via l'API Claude d'Anthropic

Pour la reformulation assistée par IA des affirmations publicitaires problématiques, nous utilisons l'API Claude d'Anthropic PBC, San Francisco, États-Unis. Seuls les éléments suivants sont transmis :

  • le texte publicitaire à reformuler (par exemple, « neutre en carbone », « durable »)
  • le contexte de l'affirmation publicitaire (par exemple, secteur, type de page)

Seule l'affirmation publicitaire et un contexte technique succinct (secteur, type de page) sont transmis. Nous ne transmettons pas activement de données maîtres ou de coordonnées (pas d'e-mail, pas d'ID de compte, pas d'adresse IP, pas de nom). Si un texte publicitaire devait contenir les noms de personnes physiques (par exemple, le nom du propriétaire ou du directeur général dans un slogan), un lien personnel indirect au sens de l'article 4, point 1 du RGPD ne peut être complètement exclu — la transmission se fait alors sur la base du contrat de traitement de données conformément à l'article 28 du RGPD ainsi que des clauses contractuelles types de l'UE (article 46, paragraphe 2, point c) du RGPD). Le drapeau « disable training » est activé, de sorte que vos textes ne soient pas utilisés pour l'entraînement des modèles Claude. Pour autant que vous, en tant qu'utilisateur, scannez les textes publicitaires de tiers, Empcora agit à ce titre en tant que responsable du traitement (voir section 6a) et Anthropic en tant que responsable du traitement secondaire.

Politique de confidentialité d'Anthropic : https://www.anthropic.com/legal/privacy

Aucune décision automatisée dans un cas d'espèce (article 22 du RGPD) : Ni l'évaluation algorithmique de la conformité (statut feu tricolore ROUGE/ORANGE/VERT, score A à F, badge de conformité) ni la reformulation assistée par IA ne constituent une décision automatisée dans un cas d'espèce au sens de l'article 22, paragraphe 1 du RGPD.

Justification : (i) Les évaluations n'ont aucun effet juridique vis-à-vis de l'utilisateur ou de tiers — ce sont des indices techniques basés sur des sources juridiques publiques. (ii) D'un score ou d'une reformulation ne découlent aucunes sanctions automatiques, blocages ou autres restrictions comparables ; en particulier, le badge de conformité n'a aucun effet externe ayant une force obligatoire. (iii) La décision finale sur l'utilisation d'une affirmation publicitaire ou d'une suggestion de reformulation relève exclusivement de l'utilisateur ; un examen manuel — idéalement par un avocat agréé — reste obligatoire.

À ce sujet, nous vous renvoyons également à l'avis RDG dans § 1, paragraphe 5 des conditions générales ainsi que la clarification concernant le caractère des résultats de l'outil dans § 10 des conditions générales (évaluation de la conformité : caractère, limites et exclusion de responsabilité).

Droit à la participation d'une personne : Si vous considérez néanmoins une évaluation comme une restriction de nature comparable, vous pouvez contacter [email protected] à tout moment. Nous examinerons votre cas manuellement et vous communiquerons le résultat par écrit (article 22, paragraphe 3 du RGPD).

14a. PDF du rapport d'audit

Après la conclusion d'une analyse payante, nous générons un rapport d'audit au format PDF qui est mis à disposition pour téléchargement via le tableau de bord de compte et, si vous le souhaitez, est envoyé par e-mail à l'adresse enregistrée dans votre compte. Le rapport contient l'URL analysée, les affirmations publicitaires identifiées avec évaluation, des suggestions de reformulation par IA ainsi qu'un horodatage de création et un ID de scan en pied de page pour l'attribution. Aucune transmission à des tiers n'a lieu ; le fichier PDF est stocké avec l'ensemble de données d'analyse pendant 24 mois et ensuite automatiquement supprimé (voir section 5). Le fondement juridique est article 6, paragraphe 1, point b) du RGPD (exécution du contrat).

14b. Widget de vérification du greenwashing (Embed)

Nous fournissons un mini-widget intégrable (« Widget de vérification du greenwashing ») qui peut être intégré par des tiers via <iframe> à l'URL https://empcora.de/embed/widget. Si vous utilisez ce widget, les avis de confidentialité suivants s'appliquent :

  • Responsable du traitement : Marcel Schlüter IT-Services (Empcora), Kollwitzstraße 76, 10435 Berlin (voir section 1).
  • Données collectées : l'URL que vous entrez dans le widget ainsi que votre adresse IP, qui est techniquement transmise lors de l'appel du widget et lors du déclenchement d'une analyse. La communication se fait via notre API tRPC sur empcora.de.
  • Finalité : Exécution de l'analyse de greenwashing pour l'URL que vous avez entrée ainsi que l'application d'une limite de débit basée sur l'adresse IP pour la protection contre les abus automatisés (protection par déni de service).
  • Fondement juridique : Article 6, paragraphe 1, point b) du RGPD (exécution du contrat / fourniture du service d'analyse demandé par l'utilisateur) ainsi que article 6, paragraphe 1, point f) du RGPD (intérêt légitime à la protection de notre infrastructure contre les attaques par déni de service/abus).
  • Durée de conservation : L'adresse IP est conservée dans un cache éphémère à des fins de limitation de débit pendant un maximum de 24 heures et ensuite automatiquement supprimée. Les données d'analyse (URL saisie, réclamations identifiées, évaluation) sont stockées conformément aux règles de la section 5 de cette politique de confidentialité (« Résultats des analyses », 24 mois).
  • Transfert vers un pays tiers : Aucun transfert vers un pays tiers dans le cadre de l'utilisation du widget lui-même. Le traitement se fait sur nos serveurs chez Hetzner en Allemagne ; Cloudflare est le cas échéant utilisé comme décrit à la section 16. Pour autant que l'API Claude d'Anthropic soit utilisée pour la reformulation des réclamations assistée par IA, les remarques des sections 7 et 14 s'appliquent en sus.
  • Destinataires : Aucune transmission à des tiers au-delà des responsables du traitement mentionnés à la section 6 n'a lieu.
  • Droit d'opposition et droit d'accès : Vous pouvez à tout moment vous opposer au traitement de vos données et exercer vos droits des personnes concernées (accès, suppression, restriction, etc., voir section 17) — veuillez contacter [email protected] à cet effet.

Remarque sur les widgets intégrés sur des sites tiers : Si le widget est intégré sur le site Web d'un tiers, la politique de confidentialité du respectif opérateur de site tiers s'applique également. L'opérateur du site tiers est responsable du traitement indépendant du traitement des données sur son site (article 4, point 7 du RGPD) et doit informer ses utilisateurs en conséquence.

15. Hébergement chez Hetzner

Nos serveurs, la base de données (PostgreSQL) et le cache (Redis) sont hébergés par Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Allemagne. Les serveurs sont exclusivement situés dans des centres de données allemands. Un contrat de traitement de données conformément à l'article 28 du RGPD existe avec Hetzner.

16. Cloudflare (DNS, CDN, protection DDoS)

Nous utilisons Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, États-Unis pour la résolution DNS, la diffusion de contenu, la protection DDoS et le pare-feu d'applications Web. Cloudflare traite à chaque appel de notre site Web l'adresse IP et les données de connexion pour assurer la disponibilité et la prévention des attaques.

Le fondement juridique est article 6, paragraphe 1, point f) du RGPD ; notre intérêt légitime réside dans la protection contre les abus et l'assurance de la disponibilité. Un contrat de traitement de données et des clauses contractuelles types de l'UE existent avec Cloudflare. Politique de confidentialité de Cloudflare : https://www.cloudflare.com/de-de/privacypolicy/

17. Vos droits en tant que personne concernée

Vous disposez des droits suivants nous concernant concernant vos données personnelles :

  • Droit d'accès (article 15 du RGPD)
  • Droit de rectification (article 16 du RGPD)
  • Droit à l'oubli (article 17 du RGPD)
  • Droit à la limitation du traitement (article 18 du RGPD)
  • Droit à la portabilité des données (article 20 du RGPD)
  • Droit d'opposition au traitement (article 21 du RGPD)
  • Droit de retirer le consentement donné (article 7, paragraphe 3 du RGPD) — le retrait n'a effet que pour l'avenir
  • Droit de ne pas être soumis à une décision reposant exclusivement sur un traitement automatisé (article 22 du RGPD)
  • Droit de déposer plainte auprès d'une autorité de contrôle (article 77 du RGPD) — voir section 18 pour l'autorité compétente

Pour exercer vos droits, veuillez contacter [email protected].

17a. Export de données (article 20 du RGPD)

Vous avez le droit de recevoir les données que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine. Nous fournissons l'export au choix au format JSON ou CSV et le transmettons sur demande dans les sept jours ouvrables, gratuitement, par e-mail ou via le tableau de bord du compte. L'export comprend les données maîtres du compte, les domaines, les résultats des analyses, les réclamations, les preuves téléchargées et les rapports PDF. La demande peut être formalisée à [email protected].

18. Droit de déposer plainte auprès d'une autorité de contrôle

Vous avez le droit, conformément à l'article 77 du RGPD, de déposer plainte auprès d'une autorité de contrôle en matière de protection des données si vous estimez que le traitement de vos données viole le RGPD. L'autorité compétente est l'autorité de contrôle de l'État fédéral dans lequel le responsable du traitement a son domicile :

La commissaire berlinoise à la protection des données et à la liberté d'information
Alt-Moabit 59-61
10555 Berlin
Téléphone : +49 30 13889-0
E-mail : [email protected]
Web : www.datenschutz-berlin.de

Remarque : L'autorité de contrôle compétente dépend du siège du responsable du traitement (10435 Berlin). Indépendamment de cela, vous pouvez également contacter l'autorité de contrôle de l'État membre de votre résidence habituelle ou de votre lieu de travail (article 77, paragraphe 1 du RGPD).

Un aperçu de toutes les autorités de protection des données allemandes est disponible à l'adresse : Adresses des autorités de protection des données au niveau des États

19. Chiffrement SSL/TLS

Ce site Web utilise un chiffrement SSL ou TLS pour protéger vos données et assurer la transmission sécurisée des contenus confidentiels (par exemple, requêtes, données de connexion, informations de paiement). Vous pouvez identifier une connexion chiffrée par « https:// » dans la barre d'adresse de votre navigateur.

20. Actualité et modification de cette politique de confidentialité

Cette politique de confidentialité est actuellement valide et date du 15 mai 2026. Nous nous réservons le droit de modifier la politique de confidentialité pour la conformer à tout moment aux exigences juridiques actuelles ou aux modifications de nos services. La version actuelle est disponible à l'adresse suivante : /fr/datenschutz.