Les réponses claires aux questions que se posent les acheteurs SaaS sérieux.
Où sont stockées nos données ?
Sur des serveurs Supabase situés en Union européenne (Irlande, région eu-west-1). Aucune donnée n'est transférée hors UE. Les sauvegardes restent dans la même région.
Stockéo est-il conforme RGPD ?
Oui. Hébergement UE, registre des traitements à jour, droits RGPD applicables (accès, rectification, effacement, portabilité, opposition), DPO accessible à sourcify21@gmail.com, suppression réelle des données à la résiliation (60 jours).
Comment les données sont-elles isolées entre entreprises ?
Architecture multi-tenant avec Row Level Security PostgreSQL : chaque ligne de base est filtrée par company_id, vérifié à chaque requête côté serveur. Aucune entreprise ne peut, techniquement, lire les données d'une autre.
Que se passe-t-il si Stockéo arrête son activité ?
Vous pouvez à tout moment exporter vos données (Excel/JSON) depuis vos paramètres. En cas d'arrêt du service, un préavis de 60 jours est donné, pendant lequel l'export reste disponible.
Comment sont chiffrés les échanges ?
Toutes les communications passent par HTTPS / TLS 1.3. Les mots de passe sont hashés avec bcrypt. Les jetons de session sont à durée limitée.
Qui peut accéder à nos données en interne ?
Personne, sauf intervention support après votre demande explicite. Aucun accès marketing, aucune revente, aucun partage tiers à des fins commerciales.
Y a-t-il un audit de sécurité ?
Supabase fait l'objet d'audits SOC 2 Type II et HIPAA. Stripe est certifié PCI-DSS niveau 1. Le code applicatif Stockéo est revu en continu et ne contient aucune dépendance critique non-patchée.
En cas de fuite de données, que se passe-t-il ?
Notification dans les 72 heures conformément à l'article 33 RGPD. Notification à la CNIL et aux entreprises concernées. Plan de remédiation immédiat.
Stockéo peut-il fonctionner hors ligne ?
Partiellement : les données déjà chargées sont accessibles en mode dégradé. La synchronisation reprend dès la reconnexion.
Combien de temps les données sont-elles conservées après résiliation ?
60 jours, pendant lesquels une réactivation est possible. Au-delà : suppression définitive (purges automatiques + journaux d'audit conservés 1 an pour les obligations légales).
Sous-traitants et tiers techniques ?
Trois uniquement : Supabase (base de données, UE), Stripe (paiements, certifié PCI-DSS), Brevo (emails transactionnels, hébergé en France). Tous sous contrat de sous-traitance RGPD.
Une question reste sans réponse ?
Écrivez à sourcify21@gmail.com — réponse sous 48 heures ouvrées avec le détail technique demandé.