Politique de confidentialité.

Le responsable du traitement des données personnelles est l’éditeur du site (Tenga Labs), dont les coordonnées figurent sur la page Mentions légales.

Contact dédié RGPD : dpo@satora.fr. À ce stade, la désignation d’un Délégué à la Protection des Données (DPO) n’est pas obligatoire au regard des seuils de l’article 37 RGPD ; un référent interne est désigné et joignable à cette adresse.

Selon les fonctionnalités utilisées, Satora peut collecter :

Compte utilisateur

email, nom (optionnel), mot de passe (haché scrypt côté serveur, jamais stocké en clair), identifiant Google si tu utilises l'authentification Google.

Profil de matching

mots-clés, codes secteurs (CPV), départements, fourchettes de montants — saisis ou dérivés automatiquement de ton entreprise (NAF + historique DECP).

Entreprise

raison sociale, SIRET, adresse, NAF, dirigeant, effectifs, chiffre d’affaires, attestations, références — utilisés pour pré-remplir les pièces administratives et calibrer le matching.

Documents (coffre)

Kbis, attestations URSSAF/fiscales, mémoires techniques, CV, références — chiffrés au repos par l’hébergeur, chemin isolé par utilisateur.

Candidatures et notes

historique des marchés suivis, notes internes, statut des candidatures (gagné / perdu / en cours), montant proposé.

Demandes de rendez-vous

lorsque tu prends RDV sur /rdv/*: nom, email, téléphone, société, SIRET, description d'activité, message.

Formulaires d’intake

lorsqu’un consultant Satora t’envoie un lien d’identification (~60 champs : société, dirigeant, financier, technique, RSE, branding). Les données sont accessibles uniquement à toi et au consultant.

Paiements

gérés intégralement par Stripe — Satora ne stocke aucun numéro de carte. On conserve l’identifiant de client Stripe et la trace des factures (montant, date, mode).

Emails envoyés et reçus

Satora conserve les métadonnées des emails transactionnels (welcome, factures, rappels, RDV) et leurs événements d'engagement (envoyé, ouvert, cliqué, rebondi) reportés par Resend.

Notifications in-app

historique des notifications affichées dans la cloche du Header (alerte nouveau marché, rappel deadline, etc.).

Logs techniques

horodatage, adresse IP, user-agent, statut HTTP des requêtes — conservés 30 jours maximum.

Audit d’assistance (CRM)

lorsque, à ta demande, un consultant Satora se connecte sur ton compte pour le paramétrage technique (« Satora Support »), on conserve l'identité de l'opérateur, l'horodatage, l'IP, le motif et la durée de la session. Tu peux révoquer cet accès à tout moment depuis tes réglages.

• Fournir le service SaaS : matching d’appels d’offres, génération de pièces, suivi des candidatures, accès au coffre de documents.
• Exécuter les prestations de conseil ponctuelles (Diagnostic, Réponse MAPA, Réponse appel d’offres formalisé, Appel de découverte).
• Envoyer les emails transactionnels indispensables (création de compte, facturation, rappels d’échéances, confirmations de RDV).
• Envoyer le digest quotidien et les emails marketing — uniquement si tu y as consenti et avec un désabonnement en 1 clic à chaque envoi.
• Mesurer l’usage et améliorer le produit (Microsoft Clarity) — uniquement après ton consentement explicite via la bannière cookies.
• Sécuriser le service, prévenir les abus, respecter nos obligations légales et comptables.

Satora ne revend aucune donnée à des tiers et ne pratique aucun profilage à fins publicitaires.

Exécution du contrat

pour toutes les données nécessaires à la fourniture du SaaS, au traitement des paiements, à l’exécution des prestations de conseil et à la prise de rendez-vous (art. 6-1-b).

Intérêt légitime

pour la sécurité du service, la prévention de la fraude, les logs techniques et la mesure d'audience anonymisée (art. 6-1-f).

Consentement

pour les cookies non strictement nécessaires (Microsoft Clarity), les emails marketing et le digest quotidien (art. 6-1-a). Tu peux retirer ton consentement à tout moment.

Obligation légale

pour la conservation des factures pendant 10 ans (Code de commerce) et la lutte contre la fraude (art. 6-1-c).

Satora utilise des modèles d’IA tiers (Anthropic Claude, OpenAI GPT) pour des opérations ciblées :

• résumer un avis d’appel d’offres,
• extraire des mots-clés de ton activité pour calibrer le matching,
• aider à la rédaction de mémoires techniques.

Les prompts envoyés à ces fournisseurs sont limités au strict nécessaire et ne contiennent jamais ton mot de passe, ton numéro de carte bancaire ou les pièces confidentielles de ton coffre. Conformément aux engagements contractuels d’Anthropic et d’OpenAI, tes prompts ne sont pas utilisés pour entraîner leurs modèles via l’API.

Compte utilisateur

tant que ton compte est actif · purge complète sous 30 jours après suppression

Documents du coffre

jusqu’à suppression manuelle ou suppression du compte

Historique des marchés et candidatures

jusqu’à suppression du compte

Demandes de RDV

24 mois (suivi commercial)

Formulaires d’intake

24 mois après finalisation

Logs techniques

30 jours maximum

Données de facturation

10 ans (Code de commerce)

Audit d'assistance (impersonation)

5 ans (preuve d'accès et de motif)

Emails transactionnels

180 jours côté Resend (métadonnées + événements d'engagement)

Liste des sous-traitants techniques ayant accès aux données :

• Vercel Inc. (USA, certifié EU-US DPF) — hébergement de l’application web et exécution des fonctions serveur.
• Neon, Inc. (UE, Frankfurt) — base de données Postgres managée. Stockage chiffré au repos.
• Stripe Payments Europe Ltd. (Irlande, avec sous-traitance vers Stripe Inc. USA · DPF) — traitement des paiements par carte. Satora ne stocke aucun numéro de carte.
• Resend, Inc. (USA, DPF) — envoi des emails transactionnels et marketing, suivi d’engagement.
• Microsoft Clarity (USA, DPF) — heatmaps et enregistrements de session, uniquement après consentement explicite.
• Anthropic PBC et OpenAI, L.L.C. (USA, DPF) — modèles d’IA appelés via API pour le matching et la rédaction assistée.
• Google LLC (USA, DPF) — uniquement si tu choisis d’utiliser la connexion Google sur Satora.

Certains sous-traitants sont établis hors Union Européenne (principalement aux États-Unis). Ces transferts sont encadrés par :

• l’adhésion du sous-traitant au EU-US Data Privacy Framework (DPF), reconnu adéquat par la Commission européenne ;
• à défaut, par les clauses contractuelles types (CCT) adoptées par la Commission européenne et signées avec le sous-traitant.

• Mots de passe hachés via scrypt côté serveur (jamais stockés en clair).
• HTTPS imposé sur tout le site (TLS 1.3).
• Chiffrement au repos par l’hébergeur de base de données (Neon — AES-256).
• Sessions signées HMAC-SHA256, expiration automatique, cookie HttpOnly · Secure · SameSite=Lax.
• Accès assistance (impersonation) toujours révocable, journalisé et soumis à motif.
• Sauvegardes quotidiennes de la base de données par Neon (rétention 14 jours).

Conformément au RGPD (articles 15 à 22), tu disposes des droits suivants :

• Accès — savoir quelles données te concernent.
• Rectification — corriger des données inexactes.
• Effacement — demander la suppression de tes données. Tu peux supprimer ton compte directement depuis tes Réglages.
• Limitation — geler le traitement sur une partie de tes données.
• Portabilité — récupérer tes données dans un format structuré (JSON exporté depuis ton espace).
• Opposition — refuser un traitement (en particulier le marketing).
• Retrait du consentement — sans incidence sur la légalité du traitement passé.

Pour exercer un de ces droits : dpo@satora.fr. Réponse sous 30 jours.

Tu peux également déposer une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris).

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes, l’éditeur s’engage à :

• notifier la CNIL dans un délai maximum de 72 heures à compter de la prise de connaissance de la violation ;
• informer les personnes concernées sans délai injustifié lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés (notamment en cas de fuite de pièces du coffre, d’identifiants, ou de données financières).

L’information communiquée précise la nature de la violation, les catégories de données concernées, les conséquences probables et les mesures prises pour y remédier.

Satora utilise deux familles de cookies : strictement nécessaires (session, langue, thème) et de mesure (Microsoft Clarity). Les seconds ne sont déposés qu’après ton consentement via la bannière. Détail complet sur la page politique cookies.