Sécurité & Conformité

La sécurité, condition sine qua non.

Vos données de contreparties sont sensibles. Voici exactement où elles vivent, qui y accède, et comment nous les protégeons.

RGPD conforme Hébergement OVH Gravelines (FR) TLS 1.3 · AES-256 ISO 27001 en cours SOC 2 Type I en cours

Architecture

Trois principes, zéro compromis.

Chiffrement partout. Minimum de données. Traçabilité maximale.

Chiffrement partout

TLS 1.3 en transit. AES-256 au repos. Clés gérées par OVH KMS, rotation trimestrielle. Aucune donnée client ne circule en clair.

100% dans l'UE

Infrastructure hébergée chez OVH Gravelines (France). Pas de transit américain. Pas de serveurs hors UE. Conforme RGPD par design, pas par clause contractuelle.

Audit trail 5 ans

Chaque analyse horodatée, signée cryptographiquement, vérifiable via QR code public. Logs d'accès conservés 5 ans au titre de la piste d'audit LCB-FT.

Données & rétention

Qu'est-ce qu'on stocke vraiment.

Transparence totale sur ce qui entre, ce qui sort, et combien de temps on le garde.

Données d'entrée

Nom de la contrepartie, identifiants publics (SIRET, RC, ICE), dirigeants éventuels. Jamais de données personnelles sensibles (carte d'identité, RIB, etc.).

Sources externes

24 sources officielles publiques (Pappers, INPI, BODACC, OMPIC, OFSI, OFAC, ONU, Wikidata, revue de presse). Aucune revente de ces données, aucun partage croisé entre clients.

Rapports générés

Stockés chiffrés, accessibles uniquement à votre équipe via authentification. Exporté en PDF/Excel/Word à la demande.

Rétention

Durée de l'abonnement + 5 ans (piste d'audit LCB-FT obligatoire). Purge immédiate possible sur demande pour un rapport spécifique. Purge totale à la résiliation sous 30 jours.

IA & inférence

Analyse via Claude Sonnet (Anthropic). Les données sont transmises pour traitement uniquement, jamais utilisées pour entraîner un modèle (clause DPA explicite avec Anthropic).

Sous-traitants

OVHcloud (hébergement, UE), Anthropic (IA, DPA signé), Stripe (facturation, PCI DSS L1), Clerk (authentification, SOC 2). Liste complète fournie dans le DPA.

Contrôle d'accès

Vous décidez qui voit quoi.

SSO / SAML (Enterprise)

Intégration avec Azure AD, Okta, Google Workspace, Ping. Provisioning SCIM. MFA obligatoire forcé par politique.

Rôles & permissions

Admin, Analyste, Lecteur. Contrôle par équipe, par dossier, par type de rapport. Audit log de chaque accès.

DPA & contrat

Data Processing Agreement standard fourni. Clauses SCC européennes. Négociation juridique sous 5 jours ouvrés sur Enterprise.

Incident response

Notification sous 72 h en cas de breach (obligation RGPD). Runbook publié sur demande. Pen-test annuel externe.