§ Confidentialité

Politique de confidentialité

Comment SaaSBench collecte, utilise et protège vos données personnelles. Conformité RGPD — hébergement intégralement dans l'Union européenne.

Dernière mise à jour : 22 mai 2026 · v1.0

⚠️ Version 1.0 — pré-lancement.

Cette politique reflète nos pratiques actuelles. Une révision juridique formelle est programmée avant tout cycle commercial significatif. Si vous avez des questions sur un point précis, contactez-nous.

1. Responsable de traitement

SaaSBench est exploité depuis la France en tant qu'entreprise individuelle. Adresse de contact pour toute question relative au traitement de vos données : hello@saasbench.ai. L'entité juridique sera structurée avant tout traitement à grande échelle ; les utilisateurs actifs en seront notifiés. L'identité exacte du responsable de traitement peut être communiquée sur demande écrite.

2. Données collectées

Nous collectons uniquement les données nécessaires pour fournir le service de benchmarking de contrats SaaS :

  • Compte : email professionnel, nom complet, fonction, secteur, taille d'entreprise.
  • Profil entreprise : nom de l'entreprise, LinkedIn (utilisé pour la vérification manuelle).
  • Contrats uploadés : fichiers PDF + champs extraits par IA (éditeur, produits, prix, durée). Les contrats sont stockés tels quels pour permettre la re-extraction et la vérification.
  • Lignes contractuelles anonymisées : extraites de vos contrats et stockées séparément après application de la k-anonymity (k≥5) pour alimenter les benchmarks communautaires.
  • Logs techniques : IP, user-agent, pages visitées (via PostHog autocapture, hébergé en UE), erreurs côté serveur (Sentry, hébergement UE).
  • Communications : emails échangés avec le support, contenu des cases ouverts.

3. Finalités et bases légales

Vos données sont traitées pour les finalités suivantes, sur les bases légales suivantes (Art. 6 RGPD) :

  • Fourniture du service (exécution contractuelle) : authentification, accès aux benchmarks, gestion des crédits, génération des rapports.
  • Modération des inscriptions (intérêt légitime) : vérification manuelle des profils pour préserver l'intégrité de la communauté B2B.
  • Analyse produit (intérêt légitime) : compréhension de l'usage pour améliorer le produit. Données pseudonymisées via PostHog, pas de profilage publicitaire.
  • Marketing produit (consentement explicite, opt-in séparé) : newsletter, annonces de fonctionnalités. Désabonnement 1-clic sur tout email.
  • Conformité légale (obligation légale) : conservation des données de facturation 10 ans (Code de commerce).

4. Anonymisation et benchmarks communautaires

Les contrats que vous uploadez alimentent une base communautaire **uniquement** après anonymisation. Concrètement :

  • Le nom de votre entreprise et toute donnée nominative sont retirés des lignes contractuelles avant insertion dans la base agrégée.
  • Un benchmark n'est exposé sur un produit que lorsqu'au moins 5 contrats indépendants existent (k-anonymity k=5). En dessous, aucune donnée n'est révélée.
  • Les outliers extrêmes sont auto-exclus pour éviter qu'un contrat singulier soit identifiable par recoupement.
  • Vous pouvez à tout moment demander le retrait de vos contrats. Les lignes anonymisées correspondantes sont également supprimées (sous 30 jours).

5. Sous-traitants (data processors)

Nous utilisons les sous-traitants suivants, tous conformes RGPD et hébergés ou opérant principalement dans l'UE :

  • Supabase (PostgreSQL + Auth + Storage) — région eu-central-1 (Francfort).
  • Vercel (hébergement applicatif) — régions UE prioritaires.
  • Resend (envoi d'emails transactionnels et marketing).
  • PostHog Cloud EU (analytics produit) — région eu.posthog.com.
  • Inngest (orchestration de tâches asynchrones).
  • Stripe (paiements) — données carte jamais accédées par SaaSBench (PCI-DSS chez Stripe).
  • Anthropic Claude API — utilisé pour l'extraction de données depuis vos PDF de contrats. Les fichiers transmis ne sont pas conservés par Anthropic pour de l'entraînement de modèles.
  • Sentry (monitoring d'erreurs) — région UE.

6. Durée de conservation

Nous conservons vos données pendant les durées suivantes :

  • Compte actif : tant que votre compte existe.
  • Compte supprimé : les données identifiantes (email, nom, profil) sont effacées sous 30 jours. Les contrats uploadés sont supprimés, mais les lignes anonymisées peuvent rester dans les benchmarks communautaires (elles ne contiennent plus de lien avec vous).
  • Logs techniques : 90 jours.
  • Communications support : 3 ans après résolution.
  • Données de facturation : 10 ans (obligation légale).

7. Vos droits RGPD

Vous disposez à tout moment des droits suivants :

  • Accès : obtenir une copie de toutes les données vous concernant.
  • Rectification : corriger toute donnée inexacte (modifiable directement depuis /account ou sur demande).
  • Effacement (« droit à l'oubli ») : suppression de votre compte et de vos contrats (accessible depuis /account).
  • Portabilité : récupération de vos données dans un format structuré (JSON).
  • Opposition / retrait du consentement : désabonnement marketing 1-clic, ou demande globale par email.
  • Limitation du traitement : suspendre temporairement le traitement de vos données.
  • Plainte auprès de la CNIL (autorité de contrôle française) : www.cnil.fr.

8. Cookies et traceurs

Nous utilisons un nombre minimal de cookies, tous strictement nécessaires ou utilisés avec votre consentement :

  • Cookies de session (Supabase Auth) : indispensables pour vous garder connecté. Pas de bannière de consentement requise.
  • PostHog (analytics) : autocapture des clics et pageviews pour comprendre l'usage. Anonymisation IP activée. Aucun cookie tiers publicitaire.
  • Aucun tracker publicitaire (Google Ads, Facebook Pixel, etc.) n'est utilisé.

9. Transferts hors UE

Le service est conçu pour rester dans l'UE. Le seul transfert hors UE possible concerne les appels à Anthropic Claude API (États-Unis) pour l'extraction de données depuis vos PDF de contrats. Anthropic est certifiée conforme DPF (Data Privacy Framework) UE-US. Les fichiers transmis ne sont pas utilisés pour l'entraînement des modèles. Si ce transfert pose problème pour votre conformité interne, contactez-nous — une option de traitement intégralement UE peut être discutée.

10. Sécurité

Mesures techniques et organisationnelles mises en œuvre :

  • Chiffrement TLS sur toutes les connexions (HTTPS uniquement, HSTS).
  • Chiffrement at-rest des bases de données (AES-256, géré par Supabase).
  • Authentification password + reset par email signé (HMAC).
  • Row-Level Security sur PostgreSQL : isolation stricte par utilisateur.
  • Accès admin limité à un compte unique, authentifié par email professionnel.
  • Monitoring d'erreurs via Sentry, alertes sur incident.
  • Backups journaliers de la base, conservés 7 jours.

11. Modifications de la politique

Cette politique peut être mise à jour. Les changements significatifs (nouvelles finalités, nouveaux sous-traitants, modifications de durées de conservation) seront notifiés par email aux utilisateurs actifs au moins 30 jours avant prise d'effet. La date de dernière mise à jour est affichée en haut de cette page.

Pour exercer vos droits RGPD (accès, rectification, suppression, portabilité) ou pour toute question relative à cette politique :

hello@saasbench.ai