Politique de confidentialité
Shotbot · Dernière mise à jour : 23 juin 2026
1. Responsable du traitement
Le responsable du traitement des données collectées sur www.shotbot.fr et www.shotbot.net est :
| Responsable | Valentin Beck, entrepreneur individuel, RCS Strasbourg 443 543 152 |
|---|---|
| Adresse | 67200 Strasbourg, Grand-Est, France |
| Contact | Formulaire de contact |
| Autorité de contrôle | CNIL, www.cnil.fr |
Le service est destiné à un usage professionnel et aux personnes âgées de 16 ans ou plus. Il n'est pas conçu pour les enfants.
2. Données collectées
Selon votre utilisation du service, nous collectons les catégories de données suivantes :
| Données de compte | Adresse email, mot de passe haché (bcrypt), sites web déclarés, date d'inscription |
|---|---|
| Données de connexion | Adresse IP, horodatage des sessions, identifiant de session |
| Données d'usage | URLs capturées, nombre de captures, dates et options de soumission. Conseil : évitez de soumettre des URL contenant des jetons d'authentification, mots de passe ou données personnelles en clair dans les paramètres de requête. |
| Données de paiement | Traitées exclusivement par Stripe (certifié PCI-DSS). Aucune donnée bancaire ne transite par nos serveurs. |
| Données de géolocalisation | Pays et ville déduits de l'adresse IP, affichés dans la page des sessions. Résolution effectuée localement à partir d'une base de données IP (DB-IP City Lite) - aucune API externe. |
| Identifiants HTTP (option Pro) | Identifiant et mot de passe HTTP basique fournis pour une capture sur site protégé. Supprimés à l'issue de la capture. |
3. Finalités du traitement
Vos données sont traitées pour les finalités suivantes :
- Fourniture du service de capture d'écran automatisée
- Gestion des comptes webmasters et des clés API
- Traitement des paiements et gestion des crédits
- Prévention des abus et limitation du quota
- Amélioration du service et analyses statistiques anonymisées
- Envoi de notifications liées au service (quota atteint, confirmation de paiement)
4. Base légale
| Exécution du contrat | Fourniture du service, gestion du compte, traitement des paiements |
|---|---|
| Intérêt légitime | Sécurité du service, prévention des abus, limitation des quotas, journaux d'accès |
| Consentement | Actualités de service optionnelles (maintenances, évolutions API, tarifs) |
| Obligation légale | Journal de dépôt LCEN (identification de l'auteur d'un contenu, décret 2021-1362 du 20 octobre 2021), conservation comptable |
5. Durées de conservation
| Données de compte | Jusqu'à suppression du compte + 30 jours. Les comptes inactifs depuis plus de 2 ans (sans connexion, paiement ni activité) sont supprimés automatiquement, avec un préavis par email d'au moins 90 jours ; une reconnexion annule la suppression. Les comptes ayant déjà payé ou disposant d'un crédit ne sont pas concernés. |
|---|---|
| Sessions de connexion | 30 jours glissants |
| Journaux d'inscription | 90 jours (adresse IP et horodatage enregistrés à la création de compte) |
| Journaux d'accès (nginx) | 90 jours (sécurité et prévention des abus, intérêt légitime) | champs : adresse IP, méthode HTTP, chemin de la requête, code de réponse, volume en octets, User-Agent, referrer |
| Journal de dépôt (identification LCEN) | 12 mois à compter de chaque opération sur le contenu (création, mise à jour ou retrait), et non de la suppression du compte | e-mail et adresse IP de l'auteur au moment de l'opération, date, type et référence du contenu. Conservé même si le compte est supprimé ; communiqué sur réquisition de l'autorité judiciaire. |
| Historique des captures | Durée d'activité du compte. Les captures de comptes inactifs depuis plus d'un an (sans connexion ni paiement ni consultation) peuvent être supprimées. |
| Captures privées (CLI / MCP, par défaut) | Stockées hors CDN et supprimées automatiquement après 24 heures (lien de téléchargement réutilisable jusque-là, puis 410 Gone). Le mode CDN public (opt-in via --cdn / cdn:true) suit la conservation « Historique des captures » ci-dessus. |
| Journaux d'exécution des captures | 30 jours glissants | messages du navigateur, code d'erreur, URL capturée, horodatages |
| Captures planifiées (inactives) | Supprimées après 1 an d'inactivité de la planification |
| Fichiers de quota anonyme | 24 heures |
| Cache de géolocalisation | 90 jours |
| Journaux d'erreurs applicatives | 90 jours |
| Fichiers anti-abus (limitation de débit) | 6 heures |
| Jetons d'authentification (réinitialisation, vérification email, lien magique) | Supprimés à expiration |
| Identifiants HTTP (option Pro) | Supprimés à l'issue de la capture (2 heures maximum) |
| Données de paiement | 10 ans (obligation légale comptable | art. L123-22 Code de commerce) |
6. Vos droits (RGPD)
Conformément au Règlement européen 2016/679 (RGPD), vous disposez des droits suivants :
| Droit d'accès | Obtenir une copie de vos données personnelles |
|---|---|
| Droit de rectification | Corriger des données inexactes ou incomplètes |
| Droit à l'effacement | Demander la suppression de vos données (« droit à l'oubli »). La suppression du compte retire immédiatement les données de compte, préférences et sessions. L'historique des captures complètes et les données de facturation sont conservés séparément (obligation comptable légale de 10 ans pour les paiements ; purge automatique des captures après 1 an d'inactivité du compte). Les captures privées (CLI / MCP par défaut) s'effacent automatiquement sous 24 heures ; les fichiers d'images publiés sur le CDN sont supprimés dans un délai de 30 jours sur demande explicite. |
| Droit à la portabilité | Exporter mes données (JSON) | compte, préférences, historique des captures, captures planifiées, paiements |
| Droit d'opposition | Vous opposer aux traitements fondés sur l'intérêt légitime |
| Droit de limitation | Suspendre temporairement un traitement |
Pour exercer ces droits, utilisez notre formulaire de contact. Nous nous engageons à répondre dans un délai de 30 jours.
7. Cookies et stockage local
Shotbot utilise uniquement des cookies et données de stockage local strictement nécessaires au service ou liés à vos préférences d'interface. Aucun bandeau de consentement n'est requis : aucun cookie analytique, publicitaire ou de traçage tiers n'est déposé.
| Type | Nom | Durée | Finalité |
|---|---|---|---|
| Cookie | PHPSESSID | Session | Session PHP : fonctionnement du site, protection CSRF, antispam, mémorisation des préférences du formulaire de capture |
| Cookie | sb_auth | 30 jours | Maintien de la connexion (authentification) |
| Cookie | sb_status_lang | 1 an | Préférence de langue sur la page d'état du service |
| localStorage | sb-theme | Permanent | Thème visuel choisi (sombre / clair / CDE) |
| localStorage | sb-tester-lang | Permanent | Langue d'interface du testeur API en ligne |
| localStorage | sb-form-opts | Permanent | Préférences du formulaire de capture (preset, format, viewport, options) | restaurées entre captures |
Ces données restent sur votre appareil ou sur le domaine shotbot.fr / shotbot.net et ne sont jamais transmises à des tiers.
8. Sous-traitants & hébergement
Vos données personnelles (compte, sessions, journaux, rendus finaux) sont hébergées sur des serveurs loués auprès de Oneprovider (BrainStorm Network Inc.), revendeur de l'infrastructure Scaleway, au datacenter Scaleway DC5 (PAR-2) en région parisienne (France). Les sauvegardes sont conservées dans l'Union européenne, au datacenter OVH de Varsovie (Pologne). L'administration et l'infogérance (CDN, messagerie) sont assurées par Permalink (Valentin Beck), qui n'est pas un hébergeur tiers.
Les emails transactionnels reposent sur Amazon SES (région eu-west-3, Paris). Amazon Web Services étant une société américaine, ce sous-traitant peut impliquer un traitement hors UE, encadré par des garanties appropriées (clauses contractuelles types / EU-US Data Privacy Framework) ; une migration vers une messagerie hébergée en France est prévue. Les paiements sont traités par Stripe Technology Europe Ltd (entité irlandaise) ; Stripe appartenant à un groupe américain, les transferts éventuels sont encadrés par les mêmes garanties (CCT / EU-US DPF). Aucune donnée bancaire ne transite par nos serveurs.
Par défaut, le rendu de vos captures et leur stockage restent dans l'Union européenne ; seules les captures géolocalisées ci-dessous (option Pro, opt-in) peuvent router le contenu hors UE, à votre demande.
Captures géolocalisées (option Pro, opt-in).
Le paramètre APIv2 render_region permet de demander le rendu
d'une capture via un point de sortie situé hors de France :
fr-paris | Paris, France (UE) | Scaleway | défaut, aucun transfert hors UE |
|---|---|
ca-montreal | Montréal, Canada | OVH Beauharnois | décision d'adéquation partielle (commercial) |
sg-singapore bêta | Singapour | OVH Singapour | pas d'adéquation |
au-sydney bêta | Sydney, Australie | OVH Sydney | pas d'adéquation |
vn-hanoi bêta | Hanoï, Vietnam | FTTH résidentiel FPT | pas d'adéquation |
L'appel API avec render_region est une instruction documentée du client.
Le contenu de la page cible peut transiter par le point de sortie choisi.
Sélectionner sg-singapore, au-sydney ou vn-hanoi relève de votre responsabilité
en tant que responsable de traitement : consentement, intérêt légitime ou clauses contractuelles vous incombent.
Voir captures géolocalisées pour le détail.
9. Sécurité
Les mesures techniques et organisationnelles mises en œuvre :
- Chiffrement des communications (HTTPS/TLS)
- Hachage des mots de passe (bcrypt)
- Sessions identifiées par jeton cryptographiquement aléatoire
- Accès restreint aux données personnelles
- Paiements délégués à Stripe (certifié PCI-DSS niveau 1)
10. Contact et réclamations
Pour toute question relative à vos données personnelles ou pour exercer vos droits, utilisez notre formulaire de contact.
Vous pouvez également introduire une réclamation auprès de la CNIL :
| Site web | www.cnil.fr |
|---|---|
| Adresse | 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 |
| Téléphone | +33 (0)1 53 73 22 22 |
Des questions sur ce document ?
Nous contacter