Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Supabase

Que fait Supabase ?

Supabase est une plateforme backend open source qui combine base Postgres, authentification, stockage, websockets temps réel et fonctions edge derrière une API développeur simple. Les projets sont déployés sur AWS dans la région choisie par le client, plusieurs régions UE étant disponibles. Au regard du RGPD, Supabase Inc. agit en sous traitant et traite les données applicatives pour le compte du client. Les utilisateurs finaux du site public ne voient en général pas de cookies Supabase, sauf si Supabase Auth leur est exposé.

Qu''est ce que Supabase et où s''intègre il dans une stack web

Supabase est une alternative open source à Firebase qui combine une base Postgres managée, un service d''authentification, du stockage de fichiers, des websockets temps réel et des fonctions edge en un backend unique. Les développeurs créent un projet, choisissent une région AWS et consomment la plateforme via le SDK supabase-js, l''API REST générée automatiquement à partir de Postgres, le endpoint GraphQL ou des connexions SQL directes. Supabase est très utilisé comme backend d''applications Next.js, SvelteKit, Nuxt et Expo où la couche de données, l''authentification et l''upload de fichiers sont entièrement délégués à Supabase.

Données traitées par Supabase

Supabase traite les données applicatives que le client pousse dans le projet : comptes utilisateurs dans la table auth.users, données métier dans des tables personnalisées, fichiers dans les buckets Storage, payloads diffusés en temps réel via la réplication Postgres et journaux d''audit. Supabase Auth émet un JSON Web Token, un cookie d''accès (sb-access-token), un cookie de rafraîchissement (sb-refresh-token) et stocke la session dans le localStorage du navigateur lorsque le SDK JavaScript est utilisé. La plateforme collecte également des métadonnées standard (adresse IP, User Agent) à des fins de sécurité et de limitation de débit.

Implications RGPD et ePrivacy

Supabase Inc. agit en sous traitant pour les données applicatives du client et en responsable pour des finalités limitées de compte, de facturation et de sécurité. Les cookies Supabase Auth sont strictement nécessaires pour maintenir l''utilisateur authentifié et bénéficient de l''exemption ePrivacy ; aucun consentement n''est requis. Les données personnelles stockées dans la base, dans Storage ou dans les canaux Realtime héritent de la base légale choisie par le client (typiquement exécution d''un contrat au sens de l''article 6, paragraphe 1, point b) du RGPD pour un SaaS authentifié, ou consentement au sens de l''article 6, paragraphe 1, point a) pour des données marketing).

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferts internationaux de données

Les projets Supabase peuvent être déployés dans eu-central-1 (Francfort), eu-west-1 (Irlande), eu-west-2 (Londres) ou eu-west-3 (Paris). Même avec une région européenne, le dashboard Supabase, le support, l''observabilité et la facturation sont opérés depuis les États Unis. Les transferts s''appuient sur l''Addendum Supabase au traitement, les Clauses Contractuelles Types européennes au sens de l''article 46, paragraphe 2, point c) du RGPD et le Data Privacy Framework UE États Unis, avec TLS 1.3, chiffrement au repos, SOC 2 Type II, HIPAA pour le plan entreprise et un accès support strictement contrôlé. Les sauvegardes long terme sont conservées dans la même région AWS que le projet.

Étapes pratiques de conformité

Signez l''Addendum Supabase, choisissez une région UE pour la production, restreignez l''usage de politiques RLS permissives, activez les journaux d''audit et définissez des règles de rétention pour auth.users, les métadonnées utilisateurs et les buckets Storage. Inscrivez Supabase comme sous traitant dans le registre des activités de traitement, mentionnez Supabase Inc., la destination américaine et les garanties CCT et DPF dans la politique de confidentialité, et assurez vous que les intégrations analytiques ou marketing branchées sur Supabase (Segment, PostHog, Hotjar, Meta Pixel) respectent l''état du consentement du visiteur.

Categorie de consentement RGPD

Analytique

Les sites web utilisant Supabase doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legalePerformance of a contract (Art. 6(1)(b) GDPR) for accounts and application data; consent (Art. 6(1)(a) GDPR) if Supabase Auth uses optional analytics or if the application sets non essential cookies; legitimate interest (Art. 6(1)(f) GDPR) for security logs

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive (Cookie Law), CCPA, HIPAA (enterprise)

Considerations AIPD

Une AIPD est recommandée lorsque Supabase stocke des volumes importants de données personnelles (comptes utilisateurs, profils, données de santé, financières ou de localisation), lorsque l'application profile systématiquement les utilisateurs européens ou lorsque Realtime diffuse en direct des données personnelles. Un usage backend classique pour une waiting list ou un formulaire de contact ne nécessite normalement pas d'AIPD.

Exemple de texte de consentement

Cette application utilise Supabase, une plateforme backend exploitée par Supabase Inc. (États Unis) sur l'infrastructure AWS, dans une région européenne. Supabase stocke vos données de compte, profil et application. Des cookies et jetons strictement nécessaires sont posés par Supabase Auth pour maintenir votre session. En créant un compte, vous acceptez ce traitement sous Clauses Contractuelles Types européennes et Data Privacy Framework UE États Unis.

Details techniques

Methode de suiviBackend service: REST and GraphQL APIs, Postgres database, Realtime websockets, Auth, Storage, Edge Functions; supabase-js client in the frontend or server

Localisation des serveursCustomer chosen region on AWS (eu-central-1, eu-west-1, eu-west-2, eu-west-3 available); company headquartered in San Francisco (Supabase Inc., USA)

Suivi sans cookie disponibleOui

Donnees transferees hors UESupabase Inc. is incorporated in the United States and operates the Supabase platform on AWS. Each project is provisioned in a single AWS region chosen by the customer, including EU regions. Even for EU projects, the dashboard, support, billing and monitoring infrastructure are operated from the United States. Transfers rely on the Supabase Data Processing Addendum, the EU Standard Contractual Clauses under Article 46(2)(c) GDPR and the EU US Data Privacy Framework.

Domaines tiers contactes

supabase.comsupabase.cosupabase.insupabase.io

Cookies deposes

Nom	Type	Duree	Finalite
sb-access-token	Strictly necessary	1 hour (configurable)	Stores the JWT access token issued by Supabase Auth to authenticate the user against the project APIs.
sb-refresh-token	Strictly necessary	7 days (configurable)	Stores the refresh token used to obtain a new access token without re prompting the user for credentials.
sb-{project-ref}-auth-token	Strictly necessary	7 days (configurable)	Composite Supabase Auth helper cookie used by the SSR helpers (next.js, sveltekit) to read the session on the server.

Supabase collecte des donnees analytiques — vous avez legalement besoin d'un bandeau de consentement. Essayez FlowConsent gratuitement.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Supabase pose t il ?

Lorsque l'application utilise Supabase Auth côté navigateur, Supabase pose des cookies strictement nécessaires : sb-access-token (JWT d'accès), sb-refresh-token (jeton de rafraîchissement) et un cookie auxiliaire sb- pour le SSR. Ces cookies sont posés sur le domaine de l'application (first party). Supabase Auth stocke également la session dans le localStorage lorsque le SDK JavaScript est configuré pour cela.

Faut il un consentement pour Supabase au regard du RGPD et d'ePrivacy ?

Les cookies posés par Supabase Auth sont strictement nécessaires au maintien d'une session authentifiée et bénéficient de l'exemption ePrivacy ; aucun consentement n'est requis. Un consentement est requis si l'application stocke via Supabase des données marketing ou analytiques qui vont au delà du compte utilisateur, ou si le frontend embarque des trackers non essentiels à côté de Supabase.

Quelle est la base légale du traitement par Supabase ?

La création de compte, la connexion et le SaaS lui même reposent sur l'exécution d'un contrat au sens de l'article 6, paragraphe 1, point b) du RGPD. Les journaux de sécurité et la limitation de débit s'appuient sur l'intérêt légitime (article 6, paragraphe 1, point f). Les données marketing, les opt in newsletter et les analytics stockés dans Supabase s'appuient sur le consentement (article 6, paragraphe 1, point a).

Comment les transferts vers les États Unis sont ils encadrés ?

Supabase signe les Clauses Contractuelles Types européennes au sens de l'article 46, paragraphe 2, point c) du RGPD via son Addendum au traitement et confirme son adhésion au Data Privacy Framework UE États Unis. Les données de production résident dans la région AWS choisie par le client (eu-central-1, eu-west-1, eu-west-2, eu-west-3). Les mesures complémentaires comprennent TLS 1.3, le chiffrement au repos, SOC 2 Type II, HIPAA pour les clients entreprise et un accès support strictement encadré.

Une AIPD est elle requise pour Supabase ?

Une AIPD est recommandée lorsque Supabase stocke des volumes importants de données personnelles (comptes utilisateurs, profils, données de santé, données financières, données de localisation), lorsque l'application profile systématiquement les utilisateurs européens ou lorsque Realtime diffuse en direct des données personnelles. Pour une petite waiting list, un formulaire de contact ou un outil interne, une AIPD n'est en général pas nécessaire.

Comment intégrer Supabase de manière conforme au RGPD ?

Signez l'Addendum Supabase, choisissez une région européenne pour la production, activez des politiques RLS strictes, n'utilisez les clés service role qu'en environnement serveur sécurisé, activez les journaux d'audit, définissez des règles de rétention pour les utilisateurs et Storage et inscrivez Supabase comme sous traitant dans le registre des activités de traitement. Mentionnez Supabase Inc., la région UE et les garanties CCT et DPF dans la politique de confidentialité.

Quelles sont les alternatives à Supabase en Europe ?

Les alternatives européennes ou auto hébergées incluent Supabase auto hébergé (le projet est open source sous Apache 2.0), Nhost (Allemagne), Hasura (US et UE), Appwrite (Pays Bas, auto hébergé ou cloud), Pocketbase (open source, auto hébergé), Directus (open source, auto hébergé) et OVHcloud Postgres managé combiné à une authentification maison.

Comment mettre à jour la politique cookies pour Supabase ?

Listez Supabase Inc. comme sous traitant du backend, mentionnez les cookies strictement nécessaires de Supabase Auth (sb-access-token, sb-refresh-token) et expliquez qu'ils maintiennent la session de l'utilisateur, précisez que les données sont stockées dans une région AWS européenne choisie par l'éditeur et renvoyez vers la Politique de confidentialité de Supabase. Aucune entrée de consentement n'est requise pour ces cookies qui relèvent de l'exemption stricte nécessité.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min