Politique de confidentialité
Dernière mise à jour : mai 2026 — Version 1.0
Castor s'engage à protéger vos données personnelles et à respecter le Règlement Général sur la Protection des Données (RGPD, UE 2016/679). Cette page explique, en langage clair, quelles données nous collectons, pourquoi, comment nous les protégeons et quels sont vos droits.
1. Responsable du traitement
Société : [Raison sociale à compléter]
Adresse : [Adresse complète]
Contact DPO / Référent RGPD : privacy@getcastor.fr
2. Données que nous collectons
2.1 Profil entreprise
- Raison sociale, SIRET, forme juridique, secteur d'activité BTP
- Nom et prénom des membres de l'équipe (rôles dans Castor)
- Adresses email professionnelles
- Références chantiers (lieu, montant, description, photos si uploadées)
- Certifications et attestations (Qualifelec, Qualibat, URSSAF, KBIS, etc.)
2.2 Données techniques
- Adresses IP anonymisées (tronquées — les 3 derniers octets IPv4 ou 80 bits IPv6 masqués)
- Cookies de session (authentification Supabase Auth)
- Logs d'accès et d'erreurs techniques (sans données personnelles brutes)
- Données d'utilisation agrégées (pages visitées, fonctions utilisées)
2.3 Contenu des dossiers
- Documents DCE uploadés (RC, CCAP, CCTP, BPU/DPGF) — contenu des marchés publics
- Dossiers de réponse générés (DC1, DC2, mémoires techniques, DPGF remplis)
- Courriers post-dépôt et réponses rédigées
- Transcriptions vocales des entretiens avec l'assistant (si vous utilisez la voix)
Données vocales : les fichiers audio des entretiens vocaux sont traités en temps réel et purgés automatiquement sous 30 jours. Seule la transcription textuelle est conservée. L'activation de la reconnaissance vocale est soumise à votre consentement explicite lors de la première utilisation.
3. Pourquoi nous collectons ces données (finalités)
| Finalité | Base légale RGPD |
|---|---|
| Fournir le service SaaS (coffre, veille, génération) | Exécution du contrat (CGV) |
| Authentification et sécurité du compte | Exécution du contrat + intérêt légitime (sécurité) |
| Facturation et comptabilité | Obligation légale |
| Amélioration des modèles IA (données anonymisées, agrégées) | Intérêt légitime (amélioration du service) |
| Envoi d'alertes et notifications service | Exécution du contrat |
| Surveillance des performances et détection d'erreurs | Intérêt légitime (fiabilité du service) |
| Statistiques d'usage (avec consentement) | Consentement (opt-in cookies) |
Nous ne vendons jamais vos données à des tiers. Nous n'utilisons pas vos dossiers pour entraîner les modèles d'IA de nos fournisseurs (clause de Zero Data Retention demandée à Anthropic — en cours de validation commerciale).
4. Sous-traitants — article 28 RGPD
Nous faisons appel aux prestataires suivants qui traitent des données pour notre compte. Des contrats de sous-traitance conformes à l'article 28 RGPD ont été (ou seront) signés avec chacun d'eux avant traitement en production.
| Sous-traitant | Données traitées | Localisation | Garanties |
|---|---|---|---|
| Anthropic Ireland | Textes envoyés à l'IA pour génération | UE (Dublin) | ZDR demandé — DPA disponible |
| Supabase EU | Toutes les données (DB + fichiers) | UE (Frankfurt) | DPA signé, ISO 27001 |
| Vercel EU | Requêtes HTTP, logs applicatifs | UE (Paris cdg1) | DPA signé, SOC 2 Type II |
| Stripe (Ireland) | Données de paiement (PCI-DSS) | UE (Dublin) | PCI-DSS Level 1, DPA |
| OpenAI (Ireland) | Texte → voix (TTS uniquement) | UE (Dublin) | Pas d'entraînement sur nos data, DPA |
| Deepgram | Audio voix → transcription | USA | CCT UE-USA (clauses contractuelles type) |
| PostHog EU | Statistiques d'usage anonymisées | UE | Consentement opt-in, DPA |
| Sentry EU | Erreurs techniques (anonymisées) | UE | DPA, PII scrubbing activé |
| Axiom | Logs applicatifs (sans PII) | USA / UE | DPA, redaction PII avant log |
| Resend | Email (destinataire + contenu) | USA / UE | DPA disponible |
5. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Compte actif (profil, coffre, dossiers) | Toute la durée de vie du compte |
| Compte inactif (aucune connexion) | 5 ans après la dernière connexion, puis suppression |
| Après fermeture de compte | 30 jours (période d'export), puis suppression définitive |
| Factures et données comptables | 10 ans (obligation légale) |
| Fichiers audio voix (entretiens) | 30 jours maximum, puis purge automatique |
| Logs techniques anonymisés | 90 jours |
6. Vos droits RGPD
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Droit d'accès
Vous pouvez demander une copie de toutes les données personnelles que nous détenons sur vous.
Droit de rectification
Vous pouvez corriger vos données depuis votre espace (paramètres du compte) ou en nous contactant.
Droit à l'effacement ("droit à l'oubli")
Vous pouvez demander la suppression de votre compte et de vos données. La suppression est effective sous 30 jours (hors données légalement obligatoires comme les factures).
Droit à la portabilité
Vous pouvez demander un export de vos données dans un format lisible (JSON) depuis les paramètres de votre compte.
Droit d'opposition et de limitation
Vous pouvez vous opposer au traitement de vos données pour les finalités basées sur l'intérêt légitime (analytics, amélioration IA). Contactez-nous pour exercer ce droit.
Pour exercer l'un de ces droits, contactez-nous à privacy@getcastor.fr. Nous répondons sous 30 jours calendaires.
7. Sécurité des données
Castor met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Isolation multi-tenant : chaque entreprise cliente accède uniquement à ses propres données. L'isolation est garantie par des politiques RLS (Row Level Security) directement dans la base de données PostgreSQL.
- Chiffrement en transit : toutes les communications utilisent TLS 1.2+.
- Chiffrement au repos : les données sont chiffrées au niveau du disque (AES-256) chez Supabase et Vercel.
- Audit trail IA : chaque document généré par l'IA est tracé de façon immuable (horodatage, modèle utilisé, version) pour garantir la traçabilité juridique.
- Anti-SSRF et anti-open-redirect : les URLs externes soumises à la plateforme sont filtrées pour prévenir les attaques par redirection et les requêtes vers des ressources internes.
- Anonymisation des logs : les adresses IP dans les journaux techniques sont tronquées. Les emails et SIRET sont masqués avant tout envoi vers les outils d'observabilité.
8. Transferts hors Union Européenne
La majorité de nos traitements se font dans l'Union Européenne. Pour les prestataires basés hors UE, voici les garanties en place :
- Deepgram (USA) : transfert encadré par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.
- Axiom / Resend : selon la région d'hébergement sélectionnée, le traitement peut être localisé dans l'UE ou aux USA avec CCT.
Vercel, Anthropic, OpenAI et Stripe utilisent leurs datacenters européens pour les comptes Castor — pas de transfert hors UE pour ces prestataires.
9. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit de déposer une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :
Pour toute question relative à vos données : privacy@getcastor.fr