Légal

Politique de confidentialité.

Conforme RGPD. Ce que Satora collecte, pourquoi, combien de temps, avec qui c'est partagé et comment exercer vos droits.

Dernière mise à jour : 28 mai 2026

Responsable de traitement

Le responsable du traitement des données personnelles est l’éditeur du site (Tenga Labs), dont les coordonnées figurent sur la page Mentions légales.

Contact dédié RGPD : dpo@satora.fr. À ce stade, la désignation d’un Délégué à la Protection des Données (DPO) n’est pas obligatoire au regard des seuils de l’article 37 RGPD ; un référent interne est désigné et joignable à cette adresse.

Données collectées

Selon les fonctionnalités utilisées, Satora peut collecter :

Compte utilisateur
email, nom (optionnel), mot de passe (haché scrypt côté serveur, jamais stocké en clair), identifiant Google si vous utilisez l'authentification Google.
Profil de matching
mots-clés, codes secteurs (CPV), départements, fourchettes de montants : saisis ou dérivés automatiquement de votre entreprise (NAF + historique DECP).
Entreprise
raison sociale, SIRET, adresse, NAF, dirigeant, effectifs, chiffre d’affaires, attestations, références : utilisés pour pré-remplir les pièces administratives et calibrer le matching.
Documents (coffre)
Kbis, attestations URSSAF/fiscales, mémoires techniques, CV, références : chiffrés au repos par l’hébergeur, chemin isolé par utilisateur.
Candidatures et notes
historique des marchés suivis, notes internes, statut des candidatures (gagné / perdu / en cours), montant proposé.
Demandes de rendez-vous
lorsque vous prenez RDV sur /rdv/*: nom, email, téléphone, société, SIRET, description d'activité, message.
Formulaires d’intake
lorsqu’un consultant Satora vous envoie un lien d’identification (~60 champs : société, dirigeant, financier, technique, RSE, branding). Les données sont accessibles uniquement à vous et au consultant.
Paiements
gérés intégralement par Stripe (Satora ne stocke aucun numéro de carte). On conserve l’identifiant de client Stripe et la trace des factures (montant, date, mode).
Emails envoyés et reçus
Satora conserve les métadonnées des emails transactionnels (welcome, factures, rappels, RDV) et leurs événements d'engagement (envoyé, ouvert, cliqué, rebondi) reportés par Resend.
Notifications in-app
historique des notifications affichées dans la cloche du Header (alerte nouveau marché, rappel deadline, etc.).
Logs techniques
horodatage, adresse IP, user-agent, statut HTTP des requêtes : conservés 30 jours maximum.
Audit d’assistance (CRM)
lorsque, à votre demande, un consultant Satora se connecte sur votre compte pour le paramétrage technique (« Satora Support »), on conserve l'identité de l'opérateur, l'horodatage, l'IP, le motif et la durée de la session. Vous pouvez révoquer cet accès à tout moment depuis vos réglages.

Finalités du traitement

  • Fournir le service SaaS : matching d’appels d’offres, génération de pièces, suivi des candidatures, accès au coffre de documents.
  • Exécuter les prestations de conseil (Appel de découverte, Accompagnement annuel).
  • Envoyer les emails transactionnels indispensables (création de compte, facturation, rappels d’échéances, confirmations de RDV).
  • Envoyer le digest quotidien et les emails marketing, uniquement si vous y avez consenti et avec un désabonnement en 1 clic à chaque envoi.
  • Mesurer l’usage et améliorer le produit (Microsoft Clarity), uniquement après votre consentement explicite via la bannière cookies.
  • Sécuriser le service, prévenir les abus, respecter nos obligations légales et comptables.

Satora ne revend aucune donnée à des tiers et ne pratique aucun profilage à fins publicitaires.

Base légale (art. 6 RGPD)

Exécution du contrat
pour toutes les données nécessaires à la fourniture du SaaS, au traitement des paiements, à l’exécution des prestations de conseil et à la prise de rendez-vous (art. 6-1-b).
Intérêt légitime
pour la sécurité du service, la prévention de la fraude, les logs techniques et la mesure d'audience anonymisée (art. 6-1-f).
Consentement
pour les cookies non strictement nécessaires (Microsoft Clarity), les emails marketing et le digest quotidien (art. 6-1-a). Vous pouvez retirer votre consentement à tout moment.
Obligation légale
pour la conservation des factures pendant 10 ans (Code de commerce) et la lutte contre la fraude (art. 6-1-c).

Recours à l'intelligence artificielle

Satora utilise des modèles d’IA tiers (OpenAI GPT, Google Gemini) pour des opérations ciblées :

  • résumer un avis d’appel d’offres,
  • extraire des mots-clés de votre activité pour calibrer le matching,
  • aider à la rédaction de mémoires techniques.

Les prompts envoyés à ces fournisseurs sont limités au strict nécessaire et ne contiennent jamais votre mot de passe, votre numéro de carte bancaire ou les pièces confidentielles de votre coffre. Conformément aux engagements contractuels d’OpenAI et de Google, vos prompts ne sont pas utilisés pour entraîner leurs modèles via l’API.

Durée de conservation

Compte utilisateur
tant que votre compte est actif · purge complète sous 30 jours après suppression
Documents du coffre
jusqu’à suppression manuelle ou suppression du compte
Historique des marchés et candidatures
jusqu’à suppression du compte
Demandes de RDV
24 mois (suivi commercial)
Formulaires d’intake
24 mois après finalisation
Logs techniques
30 jours maximum
Données de facturation
10 ans (Code de commerce)
Audit d'assistance (impersonation)
5 ans (preuve d'accès et de motif)
Emails transactionnels
180 jours côté Resend (métadonnées + événements d'engagement)

Sous-traitants (RGPD art. 28)

Liste des sous-traitants techniques ayant accès aux données :

  • Vercel Inc. (USA, certifié EU-US DPF) : hébergement de l’application web et exécution des fonctions serveur.
  • Neon, Inc. (UE, Frankfurt) : base de données Postgres managée. Stockage chiffré au repos.
  • Stripe Payments Europe Ltd. (Irlande, avec sous-traitance vers Stripe Inc. USA · DPF) : traitement des paiements par carte. Satora ne stocke aucun numéro de carte.
  • Resend, Inc. (USA, DPF) : envoi des emails transactionnels et marketing, suivi d’engagement.
  • Microsoft Clarity (USA, DPF) : heatmaps et enregistrements de session, uniquement après consentement explicite.
  • OpenAI, L.L.C. (USA, DPF) : modèles d’IA (GPT) appelés via API pour les résumés, le matching et la rédaction assistée.
  • Google LLC (USA, DPF) : modèles d’IA Gemini appelés via API (résumés, matching, rédaction, lecture de DCE) ; et la connexion Google si vous choisissez de l’utiliser.

Transferts hors UE

Certains sous-traitants sont établis hors Union Européenne (principalement aux États-Unis). Ces transferts sont encadrés par :

  • l’adhésion du sous-traitant au EU-US Data Privacy Framework (DPF), reconnu adéquat par la Commission européenne ;
  • à défaut, par les clauses contractuelles types (CCT) adoptées par la Commission européenne et signées avec le sous-traitant.

Sécurité

  • Mots de passe hachés via scrypt côté serveur (jamais stockés en clair).
  • HTTPS imposé sur tout le site (TLS 1.3).
  • Chiffrement au repos par l’hébergeur de base de données (Neon, AES-256).
  • Sessions signées HMAC-SHA256, expiration automatique, cookie HttpOnly · Secure · SameSite=Lax.
  • Accès assistance (impersonation) toujours révocable, journalisé et soumis à motif.
  • Sauvegardes quotidiennes de la base de données par Neon (rétention 14 jours).

Vos droits

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :

  • Accès : savoir quelles données vous concernent.
  • Rectification : corriger des données inexactes.
  • Effacement : demander la suppression de vos données. Vous pouvez supprimer votre compte directement depuis vos Réglages.
  • Limitation : geler le traitement sur une partie de vos données.
  • Portabilité : récupérer vos données dans un format structuré (JSON exporté depuis votre espace).
  • Opposition : refuser un traitement (en particulier le marketing).
  • Retrait du consentement : sans incidence sur la légalité du traitement passé.

Pour exercer un de ces droits : dpo@satora.fr. Réponse sous 30 jours.

Vous pouvez également déposer une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris).

Notification de violation de données

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes, l’éditeur s’engage à :

  • notifier la CNIL dans un délai maximum de 72 heures à compter de la prise de connaissance de la violation ;
  • informer les personnes concernées sans délai injustifié lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés (notamment en cas de fuite de pièces du coffre, d’identifiants, ou de données financières).

L’information communiquée précise la nature de la violation, les catégories de données concernées, les conséquences probables et les mesures prises pour y remédier.

Cookies

Satora utilise deux familles de cookies : strictement nécessaires (session, langue, thème) et de mesure (Microsoft Clarity). Les seconds ne sont déposés qu’après votre consentement via la bannière. Détail complet sur la page politique cookies.

Retour à l’accueil