RGPD

Politique de confidentialité

Dernière mise à jour : mars 2026

En bref : Merx ne pose aucun cookie. Aucun tracker. Aucune publicité. Les seules données traitées sont les logs techniques nécessaires au fonctionnement de l'API — conservés 12 mois puis supprimés.

Responsable du traitement

Le responsable du traitement des données personnelles est Jarvis Group (micro-entreprise), exploitant la marque commerciale MERX.

Contact : hello@merxprotocol.eu

Données collectées

Lors de chaque appel à l'API Merx, les éléments suivants sont enregistrés automatiquement dans les logs du serveur :

Donnée	Exemple	Finalité
Adresse IP	203.0.113.42	Détection d'abus, rate limiting
User-Agent	Claude/3.7	Identification des agents IA, analyse du trafic
Chemin de la requête	/v1/company/...	Monitoring, débogage
Horodatage	2026-03-25T10:00:00Z	Corrélation des événements
Code de réponse HTTP	200, 402	Monitoring qualité de service
Latence	320 ms	Optimisation des performances

Aucun contenu des requêtes (paramètres de recherche, numéros SIRET, numéros de TVA) n'est conservé dans les logs au-delà du traitement en mémoire.

Finalités et base légale

Les données de logs sont traitées pour les finalités suivantes :

Assurer le bon fonctionnement et la sécurité du service
Détecter et prévenir les abus (requêtes malveillantes, dépassements de quota)
Analyser le type de trafic reçu (agents IA vs appels humains)
Améliorer les performances et la disponibilité de l'API

Base légale : intérêt légitime au sens de l'article 6.1.f du RGPD. Merx a un intérêt légitime à sécuriser son infrastructure et à analyser son trafic. Ce traitement ne porte pas atteinte de manière disproportionnée aux droits et libertés des personnes concernées.

Durée de conservation

Les logs techniques sont conservés pendant 12 mois à compter de leur enregistrement, puis supprimés automatiquement. Cette durée est nécessaire pour répondre aux éventuelles réclamations et obligations légales.

Cookies et traceurs

Ce site n'utilise aucun cookie, aucun pixel de tracking, aucun outil d'analyse tiers (Google Analytics, Mixpanel, etc.), aucune régie publicitaire.

Aucune bannière de consentement n'est nécessaire car aucun traceur ne requiert ce consentement.

Transfert hors Union européenne

Les logs de l'API sont hébergés par Vercel Inc. (États-Unis). Ce transfert est encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne, conformément à l'article 46 du RGPD, garantissant un niveau de protection équivalent à celui applicable au sein de l'UE.

Pour plus d'informations sur les garanties mises en place par Vercel : vercel.com/legal/privacy-policy.

Partage des données

Les données de logs ne sont jamais vendues ni partagées avec des tiers à des fins commerciales. Elles peuvent être communiquées à des autorités compétentes en cas d'obligation légale (réquisition judiciaire, injonction réglementaire).

Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès Obtenir une copie des données vous concernant

Droit de rectification Corriger des données inexactes ou incomplètes

Droit à l'effacement Demander la suppression de vos données

Droit à la portabilité Recevoir vos données dans un format structuré

Droit d'opposition Vous opposer à un traitement fondé sur l'intérêt légitime

Droit à la limitation Restreindre temporairement un traitement

Pour exercer ces droits, contactez : hello@merxprotocol.eu. Réponse sous 30 jours.

Vous pouvez également introduire une réclamation auprès de la CNIL : cnil.fr.

Modification de cette politique

Cette politique peut être mise à jour pour refléter l'évolution du service ou des obligations légales. La date de dernière mise à jour est indiquée en haut de page. En cas de modification substantielle, une information sera publiée sur le site.