tous les systèmes opérationnels
heldqr
se connecter créer un code
01 / FAIR USE
[ chaque limite, publiée ]

Usage raisonnable.
Tous les chiffres, sur une seule page.

Notre article pilier s'engage par écrit à publier chaque cadence et chaque plafond appliqués par Heldqr. C'est cette page. Les chiffres sur le chemin de redirection, l'API de gestion et les boucliers anti-abus sont tous ci-dessous — y compris ceux que nous espérons que personne ne déclenchera jamais.

02 / REDIRECT PATH

Chemin de redirection — délibérément sans limitation

Un scan de votre QR code imprimé est une requête depuis le téléphone de votre client. La limiter, c'est limiter votre client. Nous n'appliquons aucun rate-limit sur le chemin de redirection heldqr.io/:shortcode — pas de plafond par IP, pas de ralentissement par shortcode, rien qui présenterait un code mort à quelqu'un devant votre menu un vendredi à 19h.

Les abus sur le chemin de redirection (attaques de scan-farming, scripts d'inondation) sont traités séparément. Voir la section « Boucliers anti-abus » ci-dessous.

03 / SCAN CAPS

Plafonds de scan par formule

Les scans nous coûtent du calcul et du stockage. Chaque formule inclut un quota de scans. Dépasser le quota n'est pas un événement de désactivation — conformément au plan de continuité, votre code continue à rediriger. Ce qui change, c'est la durée de conservation des analytics et, sur les formules commerciales, le déclenchement éventuel de la facturation à l'usage.

Formule gratuite

100 scans par mois et par code, voilà votre quota inclus. Dépasser n'est pas un abus — c'est le signe que la formule gratuite n'est plus la bonne formule. Votre code continue à rediriger, chaque scan est toujours enregistré, et le tableau de bord vous propose de passer à un palier supérieur au lieu de vous couper l'accès. Une véritable limitation ne se déclenche qu'à des volumes de trafic qu'un code de petite entreprise n'approcherait jamais (de l'ordre de dizaines de milliers de scans par mois sur un seul code gratuit), et elle est gérée par le bouclier anti-abus par shortcode au §04 ci-dessous, pas par le quota de la formule.

Pro (9 € / mois)

1 000 000 de scans par an inclus. Au-delà, la tarification à l'usage s'applique — publiée quand nous publierons la grille (vous la verrez dans votre compte avant d'approcher le plafond). Le client au 99e percentile ne l'atteint jamais. Les pics de scans viraux sont couverts par la même politique d'usage raisonnable.

Business (29 € / mois)

Mêmes 1 000 000 de scans par an inclus, même tarification à l'usage au-delà. Business ajoute 3 sièges, l'import CSV en masse, l'accès API et les analytics à granularité journalière — pas un quota de scans plus large en soi.

04 / ANTI-ABUSE

Boucliers anti-abus

Les plafonds suivants existent pour qu'un seul acteur malveillant ne puisse pas dégrader le service pour tous les autres clients. Ils sont des ordres de grandeur au-dessus de tout usage légitime — aucun ne devrait jamais se déclencher pour un acheteur réel. Ils sont publiés ici parce que les « plafonds cachés » sont précisément le schéma contre lequel notre article pilier a été écrit.

Inondation de scans par shortcode

Un même shortcode ne peut pas être scanné plus de 100 fois par seconde. Au-delà, la redirection est retardée plutôt que servie — le code ne casse pas. Ce plafond n'existe que pour empêcher qu'un code soit transformé en vecteur de déni de service contre le resolver. Les pics de scans viraux normaux ne l'approchent jamais.

Cadence de création de codes

Un compte peut créer au maximum 5000 nouveaux codes sur toute fenêtre glissante de 24 heures — via le tableau de bord ou (à sa sortie) l'API de gestion. C'est un plafond anti-abus, pas une caractéristique de la formule. Une petite entreprise ne l'approche jamais ; un script qui génère des millions de codes comme vecteur de spam l'atteint immédiatement.

Cadence de l'API de gestion

Chaque token API est limité à 600 requêtes par minute en fenêtre glissante, avec les en-têtes de réponse X-RateLimit-* standards et un 429 + Retry-After en cas de dépassement. L'API de gestion n'est pas encore en ligne — ce chiffre est indiqué dès maintenant parce que docs/02-api-spec.md s'y engage, et nous voulons qu'une seule page soit la source unique de vérité, que l'API soit livrée ou non.

Cadence d'export des données

Chaque compte peut exécuter l'export en libre-service « télécharger mes données » au maximum 1 fois par minute. C'est un bouclier anti-abus par compte sur le chemin d'export en streaming — il ne plafonne pas le nombre d'exports par jour, seulement la vitesse à laquelle des clics successifs peuvent se déclencher. Un humain qui clique sur le bouton ne l'approche jamais.

Cadence de téléchargement des images QR

Les URL publiques des images QR (téléchargements SVG et PNG) sont limitées à 120 requêtes par minute et par adresse IP ; au-delà, la réponse est un 429 + Retry-After. Intégrer votre image QR dans une page n'est pas affecté — chaque visiteur la récupère depuis sa propre adresse — et un téléchargement en masse effectué à la main ne soutient jamais deux requêtes par seconde. Ce garde-fou existe uniquement pour qu'une source unique ne puisse pas brûler du CPU serveur en re-rendant une même image en boucle.

05 / CODE LIMITS

Limites de codes par formule

Gratuit

QR codes dynamiques illimités, dans la limite du plafond de cadence de création de codes ci-dessus. La formule gratuite est le produit — pas un essai — donc illimité signifie illimité. Chaque code gratuit porte une petite légende « made with heldqr.com » sur son export SVG ; les formules payantes la retirent.

Pro et Business

Codes illimités, dans la limite du plafond de cadence de création de codes ci-dessus. « Illimité » signifie pas de nombre de codes par formule — Ownqrcode vend un seul code dynamique pour 15 $ ; nous donnons des QR codes dynamiques illimités sur la formule Gratuite, et Pro à 9 €/mois retire la légende et déverrouille les analytics. C'est la différence.

Shortcodes personnalisés

Le shortcode est le segment après heldqr.io/ — la partie imprimée sur votre support. En Free, il est attribué automatiquement : une courte chaîne aléatoire que vous ne choisissez pas. Pro et Business peuvent définir un shortcode personnalisé : 3 à 32 caractères — lettres, chiffres, traits d'union ou tirets bas — commençant par une lettre ou un chiffre. Dans tous les cas, il est figé dès que le code est en ligne — il figure déjà sur le tirage imprimé.

06 / WHAT THIS PAGE ISN'T

Ce que cette page n'est pas

Ceci est la politique d'usage raisonnable, pas les Conditions d'utilisation. Les Conditions couvrent ce que cette page ne couvre pas — responsabilité, remboursements, droits sur les données, droit applicable. Les chiffres ici sont contraignants ; c'est dans les Conditions qu'ils sont juridiquement opposables.

Cette page n'est pas non plus l'engagement de continuité. Si nous cessions un jour notre activité, le plan de continuité sur /continuity prend le relais — 12 mois de préavis, source publiée au mois 6, données de redirection publiées au mois 9. Les chiffres d'usage raisonnable ci-dessus ne s'appliquent que pendant que le service tourne normalement. Le plan de continuité est pour quand ce n'est plus le cas.