AccueilÉcole
Se connecterCommencer

L'IA qui aide à décrocher le bon job.

contact@talya.app

Légal

  • Mentions légales
  • CGU
  • CGV particuliers
  • CGV entreprises
  • Confidentialité
  • Cookies

Compte

  • Connexion
  • Inscription
© 2026 Talya. Tous droits réservés.
·Hébergé en France · RGPD
Produit25 mars 2026 · 6 min

Construire un SaaS BtoC en respectant le RGPD strict : notre approche

Pourquoi on a choisi de tout héberger en Europe, comment on minimise les données collectées, et ce que ça coûte vraiment.

MF
Mehdi Fessiane
Équipe Talya

Le réflexe « hébergeons en US c'est moins cher »

Quand on lance un SaaS en 2026, le réflexe par défaut est d'utiliser AWS us-east-1, Vercel par défaut, OpenAI directement, et de basculer en mode « on s'occupera du RGPD plus tard ».

Plus tard veut souvent dire : jamais. Et un jour, votre première grosse école / entreprise vous demande où sont stockées les données. Si la réponse est « aux États-Unis », vous perdez le deal.

Sur Talya, on a fait le choix inverse depuis le jour 1 : tout en Europe, données minimales, traçabilité explicite. Voici comment.

Architecture EU strict

  • Base de données : Supabase région eu-central-1 (Francfort). C'est notre source de vérité unique. Aucune réplication hors UE.
  • Hébergement web : Vercel région fra1 (Paris). RSC, Server Actions, route handlers : tout exécute en France.
  • Emails transactionnels : Resend zone EU. Les magic links et notifications restent en UE.
  • IA : Anthropic Claude appelée via leur endpoint EU avec zero-retention activé. Aucune donnée conservée par le fournisseur après la génération.
  • Analytics produit : PostHog cloud EU. Aucun tracker tiers chargé sans consentement explicite.
  • Logs et observabilité : Axiom EU pour les logs structurés, Sentry hosted en région DE.

Données minimales par design

On collecte ce qui est strictement nécessaire au service :

  • Email + mot de passe (ou OAuth Google).
  • Critères de recherche : poste, salaire, ville, télétravail.
  • CV (uploadé par l'utilisateur, jamais réutilisé hors de son compte).
  • Candidatures que l'utilisateur enregistre lui-même.

Ce qu'on ne collecte pas :

  • Adresse postale, téléphone, date de naissance.
  • Localisation IP en clair (anonymisée à H+24).
  • Historique de navigation hors-app.
  • Données démographiques au-delà du strict minimum légal.

Le droit à l'effacement, vraiment effaçable

C'est la partie qui passe souvent à la trappe. Sur Talya :

  • Un bouton « Supprimer mon compte » dans Profil → Paramètres.
  • En 60 secondes, tous vos comptes, candidatures, lettres générées, prep, CV uploadés sont supprimés en cascade SQL.
  • Les sauvegardes Supabase tournent sur 7 jours. Au bout de 8 jours, vos données ne sont plus récupérables nulle part.
  • Anthropic, qu'on appelle pour générer, ne conserve rien (zero-retention).

Ce que ça coûte

Soyons honnêtes : c'est plus cher.

  • Supabase Pro EU : ~25€/mois (vs ~20€ en US).
  • Vercel Pro fra1 : facturation similaire mais latence légèrement supérieure depuis l'Asie.
  • Anthropic EU : pas de surcoût, mais quotas plus stricts.
  • Resend EU : ~3$/mois de surcoût.

Bilan : ~40€/mois supplémentaires sur l'infra à notre échelle actuelle. C'est négligeable face à la tranquillité juridique et à la confiance utilisateur.

Ce qu'on n'a pas (encore) fait

  • Certifications HDS (hébergement données de santé) : pas pertinent pour Talya en V1, mais on garde l'option si on s'ouvre aux services médicaux.
  • PITR (Point-In-Time Recovery) : on l'aura sur le tier Supabase Pro upgradé en Phase 5 ; pour l'instant on a des sauvegardes 7 jours.
  • Pseudo-anonymisation des logs : on chiffre déjà les logs, mais on n'a pas encore mis en place la pseudonymisation systématique des user_id. C'est sur la roadmap Phase 9.

Le vrai sujet, c'est la confiance

Le RGPD strict, ce n'est pas une checklist juridique. C'est un message envoyé à l'utilisateur : « ton CV, tes candidatures, ta recherche d'emploi, c'est privé, c'est en Europe, c'est effaçable. ». Et c'est ce message qui fait qu'une école comme EM Lyon nous confie 150 étudiants plutôt qu'un concurrent américain dont la TOS dit « we may transfer your data to our affiliates worldwide ».

C'est probablement notre meilleur argument commercial. Pas parce qu'on en parle dans nos pubs (on n'en fait pas), mais parce que les utilisateurs sentent la différence.

← Retour au blog

Prêt à ne plus rien rater ?

Commence gratuitement. Aucune carte bancaire requise.

Créer mon compte gratuitement →