Beta privée Rejoindre la waitlist →
Sécurité & RGPD

Tes données client,
traitées comme les nôtres.

Nous traitons des données business sensibles (revenus, dépenses pub, conversions) issues de tes outils marketing. Voici ce qu’on fait concrètement pour les protéger, sans jargon marketing.

Hébergement & infrastructure

100% en Europe

Base de données et stockage sur Supabase, région Irlande (eu-west-1). Aucune réplication vers les États-Unis. Les backups restent en Europe.

Postgres + Row-Level Security

Chaque ligne de la base est protégée par une Row-Level Security policy au niveau Postgres : impossible pour un utilisateur d’accéder à un workspace qui n’est pas le sien, même en cas de bug applicatif.

Tokens OAuth chiffrés

Les tokens d’accès à tes connecteurs (GA4, Meta Ads, Google Ads…) sont stockés chiffrés via Supabase Vault. Jamais loggés, jamais affichés en clair, jamais transmis hors du processus serveur.

HTTPS partout

TLS 1.2+ sur tous les domaines (app, api, smartanalyst.io). Headers de sécurité stricts (HSTS, CSP, X-Frame-Options). Cookies HttpOnly + Secure + SameSite=Strict.

RGPD, concrètement

Consentement explicite

À l’inscription, les checkboxes de consentement sont décochées par défaut. Tu actives ce que tu veux, quand tu le veux. Chaque consentement est horodaté et conservé.

Droit à l’oubli

Tu demandes la suppression de ton compte ? On exécute en moins de 30 jours. Soft-delete immédiat, anonymisation des données personnelles, et purge des identifiants.

Export de tes données

À tout moment, tu peux exporter l’ensemble de tes données (insights, rapports, métriques) au format JSON. Pas de lock-in.

Audit trail complet

Chaque action sensible (login, connexion d’un outil, envoi de rapport, changement de plan) est loggée avec utilisateur, timestamp, IP et user-agent. Consultable par toi sur demande.

Ce qu’on ne fait pas

Pas de revente de données

Tes données ne sont jamais revendues, jamais utilisées pour entraîner un modèle d’IA généraliste, jamais transmises à un tiers sans ton consentement explicite.

Pas de tracking tiers

Pas de Google Analytics, pas de Meta Pixel, pas de Hotjar sur les espaces authentifiés. On utilise Plausible (analytics européen, sans cookie) sur les pages publiques.

Pas d’accès humain à tes données

Notre équipe n’accède jamais au contenu de ton workspace, sauf si tu nous y autorises explicitement pour résoudre un ticket support. L’accès est tracé et révocable.

IA & confidentialité

SmartAnalyst utilise les modèles Claude d’Anthropic (Sonnet et Haiku) pour générer insights et réponses. Anthropic s’engage contractuellement à :

  • ne pas entraîner ses modèles sur les requêtes envoyées par notre API ;
  • conserver les requêtes 30 jours maximum pour des raisons de sécurité opérationnelle, puis les supprimer ;
  • ne pas partager le contenu avec des tiers.

Nous transmettons à l’IA uniquement les métriques nécessaires à la question posée, jamais d’identifiants personnels (email, nom, adresse). L’IA dialogue avec notre schéma canonique de métriques, pas avec tes données brutes.

Sous-traitants & DPA

La liste complète de nos sous-traitants, leur rôle et leur région d’hébergement, conformément à l’article 28 du RGPD.

Sous-traitant Rôle Hébergement DPA signé
Supabase Base de données + auth + stockage Irlande (eu-west-1)
Anthropic Modèles IA (Claude) États-Unis (zero data retention)
Stripe Paiements Irlande (entité européenne)
Resend Emails transactionnels Europe
Hostinger Hébergement site vitrine Europe

Une question, un incident, un signalement ?

Écris-nous à securite@smartanalyst.io. Pour les signalements de vulnérabilité, nous nous engageons à un premier retour sous 48 heures ouvrées.