Beta privée Rejoindre la waitlist →
Légal

Politique de confidentialité.

Comment on collecte, utilise et protège tes données. Sans jargon, mais juridiquement complet — comme on aimerait qu'on nous l'écrive.

Dernière mise à jour : 5 juin 2026

1. Qui est responsable de tes données ?

Le responsable du traitement au sens du RGPD est Aurélien Roche EI (Entrepreneur individuel), dont le siège est situé au 174 Rue du Temple, 75003 Paris, immatriculée sous le SIRET 908 185 564 00014.

Pour toute question relative à la protection de tes données, tu peux nous contacter à [email protected].

2. Quelles données on collecte

2.1 — Données de compte (toi en tant qu'utilisateur)

  • Email, nom complet, mot de passe haché (bcrypt)
  • Nom de ton workspace, rôle dans le workspace
  • Préférences (langue, paramètres d'affichage)
  • Logs d'authentification (timestamp, IP, user-agent) pour la sécurité

2.2 — Données business via les connecteurs OAuth

Quand tu connectes un outil (GA4, Meta Ads, Shopify, etc.), on récupère et stocke :

  • Les tokens OAuth d'accès (chiffrés via Supabase Vault, jamais loggés en clair)
  • Les métriques marketing agrégées : sessions, conversions, revenus, dépenses publicitaires, etc.
  • Les identifiants de comptes/propriétés connectés (ID GA4, ID compte Meta, domaine Shopify)

On ne récupère jamais les données personnelles de tes clients finaux (emails, adresses, numéros de carte, etc.). Uniquement des agrégats.

2.3 — Événements de tracking via le SmartTag

Si tu installes notre script sa.js sur ton propre site, on collecte par visiteur :

  • URL de la page (path + clés de query — les valeurs sont strippées pour éviter de capter des emails ou tokens dans les URLs)
  • Origine du référent (host uniquement, jamais le path complet)
  • Sélecteurs CSS des éléments cliqués (jamais le texte du contenu)
  • Un identifiant de session aléatoire stocké en sessionStorage (effacé à la fermeture de l'onglet — pas un cookie)
  • Préfixe IP (ex. 185.42.x.x) pour géolocalisation pays uniquement

Les emails et numéros de téléphone trouvés dans les propriétés custom d'événements sont automatiquement supprimés côté serveur en filet de sécurité.

3. Pourquoi on collecte ces données (finalités)

  • Fournir le service : afficher tes dashboards, calculer tes métriques, te connecter à tes outils.
  • Communication transactionnelle : alertes anomalies, rapports automatiques, emails de sécurité.
  • Sécurité : détecter les tentatives d'intrusion, prévenir l'abus, satisfaire nos obligations légales.
  • Améliorer le produit : statistiques agrégées et anonymisées d'usage (quelle feature est utilisée, où ça crashe).

On ne vend jamais tes données. On ne les utilise pas pour de la publicité tierce, du profiling commercial, ou de l'entraînement de modèles d'IA tiers.

4. Bases légales (RGPD article 6)

TraitementBase légale
Création de compte, fourniture du serviceExécution du contrat (art. 6.1.b)
Connexion d'un outil OAuthConsentement explicite (art. 6.1.a)
Tracking SmartTag sur ton siteIntérêt légitime, sans cookie (art. 6.1.f) — voir §9
Logs de sécurité, fraudeIntérêt légitime (art. 6.1.f) + obligation légale (art. 6.1.c)
Emails marketing produitConsentement opt-in explicite (art. 6.1.a)

5. Sous-traitants & destinataires

On utilise les sous-traitants suivants, tous engagés contractuellement à respecter le RGPD :

Sous-traitantRôleLocalisation
Supabase Inc.Hébergement base de données et stockageIrlande (eu-west-1)
HostingerHébergement applicatif (API, app, site marketing)Lituanie / France
Anthropic, PBCGénération d'insights IA (Claude)États-Unis — encadré par les Clauses Contractuelles Types de la Commission Européenne
ResendEnvoi d'emails transactionnelsÉtats-Unis — CCT
StripePaiements & abonnementsIrlande / États-Unis — CCT

Aucune donnée n'est partagée avec des annonceurs, courtiers en données, ou plateformes publicitaires.

6. Transferts hors Union Européenne

La majorité des données est hébergée en Europe (Supabase Irlande, Hostinger UE). Certains sous-traitants situés aux États-Unis (Anthropic, Resend, Stripe) traitent des données pour notre compte. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne le 4 juin 2021.

7. Combien de temps on garde tes données

DonnéeDurée
Compte utilisateur actifTant que le compte existe
Compte suppriméAnonymisation sous 30 jours, purge complète sous 90 jours
Métriques agrégées des connecteursDurée de l'abonnement + 12 mois
Événements bruts du SmartTagPlan gratuit : non stockés (temps réel seulement). Plans payants : 30 à 365 jours selon le plan
Logs de sécurité, factures5 à 10 ans (obligations comptables / fiscales)
Tokens OAuth révoquésSupprimés immédiatement

8. Tes droits

Au titre du RGPD, tu as les droits suivants :

  • Accès — obtenir une copie de toutes les données qu'on a sur toi
  • Rectification — corriger une donnée inexacte ou incomplète
  • Effacement ("droit à l'oubli") — demander la suppression de ton compte et de tes données
  • Portabilité — récupérer tes données dans un format machine-lisible (JSON)
  • Limitation — restreindre temporairement le traitement
  • Opposition — t'opposer au traitement basé sur l'intérêt légitime
  • Retrait du consentement à tout moment, sans préjudice du traitement effectué avant le retrait
  • Réclamation auprès de la CNILcnil.fr/plaintes

Pour exercer ces droits, écris à [email protected]. On te répond dans le mois (allongeable de 2 mois si la demande est complexe, avec notification).

9. Cookies & traceurs

Site marketing (smartanalyst.io) : aucun cookie de tracking, aucun outil d'analyse tiers. On utilise uniquement des cookies techniques de session pour le formulaire de contact.

Application (app.smartanalyst.io) : cookies de session strictement nécessaires à l'authentification (HttpOnly, Secure, SameSite=Strict). Ces cookies sont exemptés de consentement préalable conformément à la position CNIL.

Notre SmartTag (script sa.js installé chez nos clients) : aucun cookie. Les événements sont rattachés à un identifiant de session stocké en sessionStorage, qui n'est pas un cookie et qui est effacé à la fermeture de l'onglet. Conformément aux lignes directrices CNIL, ce mécanisme est exempté de consentement pour les besoins d'analyse statistique, à condition qu'il ne soit pas utilisé pour le suivi cross-site ni pour de la publicité ciblée — ce qui est notre cas.

10. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS 1.2+ pour tous les transferts, chiffrement au repos via Supabase Vault pour les tokens OAuth, Row-Level Security au niveau Postgres pour l'isolation entre workspaces, hashage bcrypt des mots de passe, audit logs des accès sensibles, sauvegardes journalières chiffrées.

En cas de violation de données susceptible d'engendrer un risque pour tes droits, nous notifions la CNIL dans les 72 heures et te prévenons directement si le risque est élevé, conformément aux articles 33 et 34 du RGPD.

11. Modifications

Cette politique peut évoluer. En cas de changement substantiel, on te prévient par email au moins 30 jours avant l'entrée en vigueur. La date de dernière mise à jour est affichée en haut de cette page.

12. Contact

Pour toute question, exercice de droit, ou réclamation : [email protected]

Tu peux aussi introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy, 75007 Paris — cnil.fr.