Accord de traitement des données (DPA)
Le DPA encadre le rôle de Snorklee comme sous-traitant lorsque le service mesure l'audience d'un site client. Le client reste responsable du traitement : il décide d'utiliser Snorklee, choisit les sites mesurés, configure les événements envoyés et informe ses visiteurs.
Cette page explique le DPA en langage simple. La version opérationnelle, générée et signable dans l'onglet Conformité du dashboard, prévaut en cas d'écart.
Objet du traitement
Snorklee traite des données minimisées afin de fournir au client des statistiques d'audience, des rapports techniques, des exports, des fonctionnalités d'analyse sur agrégats et des documents de conformité.
Le traitement est limité à la fourniture, la sécurisation, la maintenance et le support du service.
Les finalités exclues sont claires :
- pas de publicité comportementale ;
- pas de vente ou partage publicitaire des données d'audience ;
- pas de rapprochement cross-site ;
- pas de session replay ;
- pas de heatmap individuelle ;
- pas d'import de CRM visiteur ;
- pas d'enrichissement publicitaire ;
- pas de constitution de timeline visiteur individuelle.
Données concernées
Les catégories principales sont les pages consultées, événements autorisés, domaines référents, source de trafic, pays ou région selon configuration, familles de navigateur, type d'appareil, système d'exploitation, langue, erreurs techniques, signaux de scroll ou clic agrégés et compteurs statistiques.
Les paramètres de campagne ne sont pas utilisés pour créer un suivi cross-site ou un profil publicitaire.
L'adresse IP et le User-Agent peuvent être utilisés transitoirement à l'ingestion pour géolocaliser, classifier le navigateur ou l'appareil, détecter les abus ou reconnaître certains crawlers, mais ils ne sont pas stockés bruts dans les événements analytics.
Le client ne doit pas envoyer dans les événements ou propriétés Snorklee de données sensibles, noms, e-mails, numéros de téléphone, adresses postales, identifiants clients, click IDs publicitaires, secrets, tokens ou toute donnée directement identifiante. Les événements personnalisés doivent rester techniques ou business.
Sécurité et sous-traitants
Snorklee met en œuvre des mesures techniques et organisationnelles destinées à protéger les données : TLS, contrôle des accès, séparation applicative des rôles (ingestion / lecture), limitation des journaux, rétention courte des événements bruts, suppression sur demande du site et documentation des sous-traitants.
Les sous-traitants principaux sont listés dans la politique de confidentialité, le DPA et les documents générés depuis l'onglet Conformité. Ils couvrent notamment l'hébergement, la géolocalisation, l'e-mail transactionnel, le paiement, l'IA sur agrégats optionnelle et certains audits publics.
La liste peut évoluer avec préavis raisonnable lorsque la modification est significative.
Assistance au client
Snorklee assiste le client pour les demandes d'accès, d'effacement, d'export, d'information sur les sous-traitants, de documentation de sécurité et, lorsque cela est applicable, de réponse à un exercice de droits.
En l'absence d'identifiant visiteur stable, Snorklee ne peut pas toujours retrouver une personne individuellement dans les statistiques. Selon le contexte, une demande peut être traitée par plage temporelle, par suppression d'un événement si identifiable autrement par le client, ou par suppression du site.
Le client reste l'interlocuteur principal du visiteur final.
Durées
Les événements bruts sont conservés 90 jours. Les agrégats analytics sont conservés jusqu'à 25 mois. Après résiliation, les données du site peuvent être conservées 30 jours pour permettre une récupération, puis supprimées selon les procédures prévues.
IA
Lorsque le client utilise les fonctionnalités d'IA, Snorklee transmet uniquement des agrégats nécessaires à la synthèse ou à la réponse : indicateurs, tendances, pages, canaux ou périodes. Aucune adresse IP brute, aucun identifiant visiteur, aucune ligne individuelle d'événement et aucune donnée directement identifiante ne doivent être transmis au moteur IA dans ce cadre.
L'IA est déclenchée à la demande du client, sauf configuration explicitement différente documentée.
Si le client active le module optionnel de suivi de visibilité IA, des questions construites à partir du contenu public de son site (jamais de données de visiteurs) sont envoyées aux fournisseurs d'assistants IA interrogés — OpenAI, Google, Perplexity et Anthropic (États-Unis) — afin de mesurer la présence de sa marque dans leurs réponses. Ce module est désactivé par défaut et relève du choix du client.
Addendum CCPA/CPRA
Le DPA peut inclure un addendum CCPA/CPRA lorsque le client l'active depuis l'onglet Conformité. Cette annexe documente le rôle de Snorklee comme service provider pour la mesure d'audience, l'absence de vente ou de partage publicitaire des données d'audience Snorklee, et la finalité limitée du traitement.
Cet addendum couvre le périmètre Snorklee uniquement. Les autres outils présents sur le site du client doivent être évalués séparément.
Signature
La version opérationnelle du DPA est générée et signable dans l'onglet Conformité du dashboard. Cette page explique le contenu en langage simple ; le document signé prévaut en cas d'écart.
Le dashboard peut générer une page de preuve de signature, incluant l'horodatage, l'identité du signataire et l'empreinte du document, selon les fonctionnalités disponibles.