Politique de confidentialité
Dernière mise à jour : 1er mars 2026
La présente Politique de Confidentialité décrit la manière dont LeursAvis (ci-après « nous », « notre » ou « LeursAvis »), accessible à l’adresse https://www.leursavis.com, collecte, utilise, stocke, protège et partage vos données personnelles lorsque vous utilisez notre site web et nos services.
En utilisant nos services, vous acceptez les pratiques décrites dans la présente politique. Si vous n’acceptez pas cette politique, veuillez ne pas utiliser nos services.
1. Identité du responsable de traitement
- Raison sociale : LeursAvis
- Site web : https://www.leursavis.com
- Email de contact : contact@leursavis.com
2. Définitions
- Membre : tout professionnel (personne physique ou morale) ayant créé un compte sur la plateforme LeursAvis pour bénéficier de nos services.
- Utilisateur final : toute personne physique interagissant avec les outils mis à disposition par un Membre (participation à la roue de la fortune, scan de QR code, consultation d’une page de lot, etc.).
- Commerçant partenaire : tout professionnel inscrit en tant que partenaire dans le cadre du service cross-commerçants, offrant des lots à récupérer dans son établissement.
- Plateforme : le site web https://www.leursavis.com et l’ensemble des services, pages, applications et interfaces associés.
3. Données que nous collectons
3.1 Données des Membres (professionnels)
- Nom et prénom du gérant ou représentant
- Adresse email professionnelle
- Mot de passe (stocké sous forme hachée)
- Nom, adresse et téléphone de l’établissement
- Identifiant de la fiche Google My Business
- Configuration des préférences IA (ton, signature, instructions personnalisées)
- Données d’abonnement (formule, dates, statut)
3.2 Données collectées via les API Google
Lorsqu’un Membre connecte son compte Google My Business à LeursAvis, nous accédons aux données suivantes via les API Google :
- Avis Google : nom de l’auteur de l’avis, photo de profil de l’auteur, date de publication, note (nombre d’étoiles), texte de l’avis
- Réponses du propriétaire : texte des réponses déjà publiées sur les avis
- Informations de la fiche : nom de l’établissement, statut de connexion Google My Business
- Jeton d’authentification OAuth 2.0 : permettant l’accès au compte Google My Business en nom du Membre
3.3 Données des utilisateurs finaux
Lorsqu’un utilisateur final interagit avec nos services (roue de la fortune, QR codes, formulaires), nous collectons :
- Données du formulaire de participation : prénom, adresse email (avec consentement explicite)
- Données de navigation : adresse IP, type de navigateur et appareil, horodatage de la participation
- Données d’interaction : résultat du jeu (gain ou non), lot attribué, statut du lot (en attente, validé, expiré)
- Choix de redirection vers les réseaux sociaux : lorsqu’un utilisateur final est invité à suivre un compte Instagram, Facebook ou autre réseau social du Membre, nous enregistrons uniquement le fait que la redirection a été proposée. Nous ne collectons aucune donnée provenant des comptes de réseaux sociaux de l’utilisateur final.
3.4 Données des commerçants partenaires
Dans le cadre du service cross-commerçants :
- Nom, adresse, téléphone et email de l’établissement partenaire
- Mot de passe d’accès au tableau de bord (stocké sous forme hachée)
- Description de l’établissement et conseils de réservation
- Métriques agrégées de lots (remportés, validés, expirés)
3.5 Données générées par notre service
- Réponses générées par intelligence artificielle : textes de réponses proposées par notre IA pour répondre aux avis Google
- Statistiques d’utilisation : nombre de tours de roue, taux de participation, nombre d’avis traités, réponses publiées, performances des lots
- Tokens de lots partenaires : identifiants uniques, snapshot des conditions du lot, dates de gain et d’expiration, statut de validation
3.6 Données de navigation et cookies
- Adresse IP
- Type de navigateur et appareil
- Pages consultées et durée de visite
- Cookies strictement nécessaires au fonctionnement du service (authentification, session)
4. Utilisation des données
4.1 Finalités du traitement
Nous utilisons vos données exclusivement aux fins suivantes :
| Finalité | Base légale | Données concernées |
|---|---|---|
| Fournir le service de roue de la fortune et de jeux marketing | Exécution du contrat | Données Membres + utilisateurs finaux |
| Afficher et synchroniser les avis Google dans le tableau de bord | Exécution du contrat | Données API Google |
| Générer des suggestions de réponses par IA (Claude, Anthropic) | Exécution du contrat | Texte des avis, note, nom de l’établissement |
| Publier les réponses approuvées sur Google My Business | Exécution du contrat | Réponses validées par le Membre |
| Proposer la redirection vers les réseaux sociaux du Membre (Instagram, Facebook, etc.) | Consentement de l’utilisateur final | Choix de l’utilisateur final |
| Gérer le service cross-commerçants (tokens, lots, validation) | Exécution du contrat | Données tokens + commerçants partenaires |
| Envoyer des emails de rappel (rappel J-3 avant expiration d’un lot) | Intérêt légitime | Email de l’utilisateur final |
| Gérer les abonnements et la facturation | Exécution du contrat | Données de compte Membre |
| Fournir des statistiques et tableaux de bord | Exécution du contrat | Données agrégées d’utilisation |
| Envoyer des communications relatives au service (alertes, mises à jour) | Intérêt légitime | Email du Membre |
| Améliorer nos services et l’expérience utilisateur | Intérêt légitime | Données de navigation agrégées |
4.2 Ce que nous ne faisons PAS avec vos données
- Nous ne vendons jamais vos données personnelles ni les données issues des API Google à des tiers, courtiers de données ou plateformes publicitaires.
- Nous n’utilisons pas les données Google à des fins publicitaires, de reciblage ou de publicité personnalisée.
- Nous n’utilisons pas les données Google pour déterminer la solvabilité ou à des fins de prêt.
- Nous ne transférons pas les données Google à des courtiers de données ou des plateformes publicitaires.
- Nous ne permettons pas à des humains d’accéder aux données Google des utilisateurs, sauf (a) avec le consentement explicite du Membre, (b) pour des raisons de sécurité ou d’investigation d’abus, (c) pour se conformer à une obligation légale, ou (d) lorsque les données sont agrégées et anonymisées pour nos opérations internes.
- Nous n’envoyons aucun email commercial aux utilisateurs finaux. Les seuls emails envoyés sont des emails transactionnels liés au service (rappel de lot à récupérer).
- L’email de l’utilisateur final n’est jamais transmis aux commerçants partenaires dans le cadre du service cross-commerçants.
5. Traitement par intelligence artificielle
5.1 Fonctionnement
Le texte des avis Google est transmis au service d’intelligence artificielle Claude (fourni par Anthropic) dans le seul but de générer une proposition de réponse adaptée. Les données transmises se limitent au texte de l’avis, à la note (étoiles), au nom de l’établissement et aux préférences de ton configurées par le Membre.
5.2 Contrôle du Membre
- Chaque réponse générée par l’IA est modifiable par le Membre avant toute publication.
- Aucune réponse n’est publiée automatiquement : le Membre valide et approuve chaque réponse avant sa publication sur Google.
- Le Membre peut régénérer une réponse si la proposition ne lui convient pas.
- Le Membre peut configurer le ton (formel, chaleureux, décontracté), le vouvoiement/tutoiement, la signature personnalisée et des instructions spécifiques.
5.3 Données transmises à Anthropic
Anthropic (fournisseur de Claude) traite les données conformément à sa propre politique de confidentialité. Les données transmises sont limitées au strict nécessaire pour la génération de la réponse. Dans le cadre de notre utilisation via l’API, Anthropic ne conserve pas les données transmises à des fins d’entraînement de ses modèles.
6. Collecte de followers sur les réseaux sociaux
6.1 Fonctionnement
LeursAvis permet aux Membres de proposer à leurs clients (utilisateurs finaux) de suivre leurs comptes sur les réseaux sociaux (Instagram, Facebook, TikTok, etc.) via une redirection après interaction avec la roue de la fortune ou d’autres outils marketing.
6.2 Nature de la collecte
- LeursAvis ne se connecte pas aux API des réseaux sociaux (Instagram, Facebook, etc.) pour le compte de l’utilisateur final.
- LeursAvis ne collecte aucune donnée provenant des comptes de réseaux sociaux des utilisateurs finaux.
- La redirection vers le profil social du Membre est une simple ouverture d’URL. L’action de suivre le compte est effectuée directement sur la plateforme du réseau social concerné, en dehors de LeursAvis.
- Nous enregistrons uniquement le fait qu’une redirection a été proposée à des fins statistiques.
7. Service cross-commerçants et lots partenaires
7.1 Fonctionnement
Le service cross-commerçants permet à un Membre (commerçant A) d’offrir via sa roue de la fortune des lots à récupérer chez un commerçant partenaire (commerçant B). Un token unique est généré pour chaque lot remporté.
7.2 Données du token
Chaque token contient un snapshot figé au moment du gain : libellé du lot, nom et coordonnées du commerçant partenaire, nom du commerçant source, durée de validité. Ce snapshot est immuable.
7.3 Protection de la vie privée de l’utilisateur final
- L’adresse email de l’utilisateur final (
clientEmail) n’est jamais affichée dans le tableau de bord du commerçant partenaire. - L’adresse email de l’utilisateur final n’est jamais incluse dans les réponses API destinées aux commerçants partenaires.
- Le tableau de bord partenaire n’affiche que des métriques agrégées (nombre de lots remportés, validés, expirés, taux de conversion) — aucune donnée personnelle identifiable de l’utilisateur final.
- L’email est utilisé en interne uniquement pour : l’envoi du rappel J-3 avant expiration et la recherche sur la page de récupération de lot.
7.4 Validation des lots
La validation d’un lot est effectuée via une page web publique (/r/{token}) ne nécessitant aucune application, aucun compte et aucune connexion de la part du personnel du commerçant partenaire. Aucune donnée personnelle du validateur n’est collectée.
8. Stockage et sécurité des données
8.1 Hébergement
Vos données sont stockées sur les serveurs Google Firebase (Firestore et Cloud Functions), situés aux États-Unis (région us-central1), opérés par Google Cloud Platform.
8.2 Mesures de sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des données en transit (HTTPS/TLS) sur l’ensemble de la plateforme
- Chiffrement des données au repos sur les serveurs Firebase
- Accès restreint aux bases de données via des règles de sécurité Firestore
- Authentification sécurisée via le protocole OAuth 2.0 pour Google My Business
- Authentification par JWT (JSON Web Tokens) avec expiration pour les sessions admin et Membres
- Jetons d’authentification Google stockés de manière sécurisée côté serveur
- Mots de passe des commerçants partenaires stockés sous forme de hachage cryptographique
- Identifiants de tokens (lots) générés au format ULID (non devinables, non séquentiels)
- Limitation de débit (rate limiting) sur les endpoints sensibles (connexion, récupération de lot)
- Protection contre les attaques par rejeu via contrôle d’idempotence
8.3 Transfert international de données
Vos données étant hébergées aux États-Unis, elles font l’objet d’un transfert hors de l’Union européenne. Ce transfert est encadré par les garanties appropriées conformément au RGPD, notamment les clauses contractuelles types de Google Cloud et le cadre EU-US Data Privacy Framework.
9. Durée de conservation des données
| Type de données | Durée de conservation |
|---|---|
| Données de compte Membre (nom, email, établissement) | Durée de l’utilisation du service + 12 mois après suppression du compte |
| Avis Google et réponses | Durée de l’utilisation du service, supprimées sur demande |
| Jetons OAuth 2.0 (Google) | Jusqu’à déconnexion par le Membre ou révocation de l’accès |
| Réponses IA générées | Durée de l’utilisation du service, supprimées sur demande |
| Données des utilisateurs finaux (email, prénom) | Durée de l’utilisation du service par le Membre + 12 mois, ou sur demande de suppression |
| Tokens de lots partenaires | Conservés en lecture seule après validation ou expiration ; supprimés sur demande du Membre |
| Données de compte commerçant partenaire | Durée du partenariat + 12 mois après désactivation |
| Données de navigation et cookies | 12 mois |
10. Partage des données
Nous ne partageons vos données qu’avec les tiers suivants, strictement nécessaires au fonctionnement du service :
| Tiers | Données partagées | Finalité |
|---|---|---|
| Google (API Google My Business) | Réponses aux avis approuvées par le Membre | Publication des réponses sur la fiche Google |
| Anthropic (Claude AI) | Texte des avis, note, nom de l’établissement, préférences de ton | Génération de propositions de réponses |
| Google Firebase / Cloud Platform | Toutes les données du service | Hébergement, stockage et exécution des Cloud Functions |
| Brevo (ex-Sendinblue) | Email de l’utilisateur final, détails du lot | Envoi d’emails transactionnels (rappel J-3, réinitialisation de mot de passe) |
Nous ne vendons, ne louons et ne partageons vos données avec aucun autre tiers, sauf obligation légale.
11. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d’accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l’effacement (« droit à l’oubli ») : demander la suppression de vos données
- Droit à la limitation du traitement : restreindre le traitement de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
- Droit d’opposition : vous opposer au traitement de vos données pour des motifs légitimes
- Droit de retrait du consentement : retirer votre consentement à tout moment, sans affecter la licéité du traitement effectué avant le retrait
Ces droits s’appliquent aux Membres, aux utilisateurs finaux et aux commerçants partenaires.
Pour exercer ces droits, contactez-nous à : contact@leursavis.com
Nous répondrons à votre demande dans un délai maximum de 30 jours. En cas de complexité de la demande, ce délai peut être prolongé de deux mois, auquel cas vous en serez informé.
Vous disposez également du droit d’introduire une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés) : https://www.cnil.fr.
12. Révocation de l’accès Google
Vous pouvez à tout moment révoquer l’accès de LeursAvis à votre compte Google My Business :
- Depuis LeursAvis : en cliquant sur le bouton de déconnexion dans votre tableau de bord de gestion des avis
- Depuis Google : en vous rendant sur https://myaccount.google.com/permissions et en supprimant l’accès de LeursAvis
La révocation de l’accès entraîne :
- La suppression immédiate de votre jeton d’authentification OAuth 2.0
- L’arrêt immédiat de la synchronisation des avis
- La conservation temporaire des données déjà collectées (avis, réponses) — supprimées sur demande
13. Conformité avec la politique de données des services API Google
L’utilisation et le transfert par LeursAvis des informations reçues des API Google vers toute autre application sont conformes à la Google API Services User Data Policy, y compris les exigences d’utilisation limitée (Limited Use requirements).
En particulier :
- Utilisation limitée : nous limitons notre utilisation des données Google aux fonctionnalités visibles et orientées utilisateur de notre application, à savoir : l’affichage des avis dans le tableau de bord, la génération de réponses IA et la publication des réponses approuvées.
- Pas d’accès humain non autorisé : nous ne permettons pas à des humains de lire les données Google des utilisateurs, sauf avec le consentement explicite du Membre, pour des raisons de sécurité ou d’investigation d’abus, pour se conformer à une obligation légale, ou lorsque les données sont agrégées et anonymisées pour nos opérations internes.
- Pas de transfert non autorisé : nous ne transférons pas les données Google à des tiers, sauf pour les fonctionnalités visibles orientées utilisateur avec le consentement du Membre (publication de réponses via l’API Google, génération de réponses via Anthropic), pour des raisons de sécurité, ou pour se conformer à une obligation légale.
- Pas de vente : nous ne vendons jamais les données issues des API Google.
- Pas d’utilisation publicitaire : nous n’utilisons pas les données Google pour la publicité, le reciblage ou la publicité personnalisée.
14. Cookies
Notre site utilise des cookies strictement nécessaires au fonctionnement du service :
- Cookies d’authentification : maintien de votre session (Membre, admin ou commerçant partenaire)
- Cookies de préférences : mémorisation de vos paramètres d’affichage
Nous n’utilisons pas de cookies publicitaires, de suivi tiers ou de cookies liés aux données Google. Aucun cookie n’est utilisé pour collecter des données à des fins de profilage.
15. Protection des mineurs
Nos services sont destinés aux professionnels majeurs. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans. Si un utilisateur final mineur participe à la roue de la fortune, la responsabilité incombe au Membre qui met l’outil à disposition.
16. Modifications de cette politique
Nous nous réservons le droit de modifier cette Politique de Confidentialité à tout moment. En cas de modification substantielle, nous en informerons les Membres par email ou via une notification sur la plateforme. La date de dernière mise à jour est indiquée en haut de cette page.
Si les modifications affectent la manière dont nous utilisons les données issues des API Google, nous demanderons un nouveau consentement au Membre avant d’appliquer ces changements.
Les Membres et utilisateurs sont invités à consulter régulièrement cette page pour prendre connaissance des éventuelles modifications.
17. Contact
Pour toute question relative à cette Politique de Confidentialité ou pour exercer vos droits :
- Email : contact@leursavis.com
- Site web : https://www.leursavis.com