Conformité & sécurité.

1. Posture

Nous construisons des fonctionnalités IA qui touchent des données utilisateurs réelles dans des environnements régulés. Nous traitons donc la gestion des données, l’auditabilité et les conditions contractuelles des fournisseurs de modèles comme une partie intégrante du périmètre d’ingénierie, pas comme une ligne conformité ajoutée après coup.

Nous sommes conformes RGPD. Nous ne sommes pas certifiés ISO 27001 ni SOC 2 à ce jour. Quand un client en a besoin, nous opérons à l’intérieur de son enveloppe sécurité (son fournisseur d’identité, son cloud, sa journalisation) et documentons notre part de la matrice de contrôles.

2. Résidence des données

• Infrastructure par défaut : Vercel (régions UE disponibles), Postgres hébergé en UE, inférence des modèles en région UE quand le fournisseur la propose.
• Mode UE uniquement (sur demande) : Vercel en région UE, hébergement OVH ou Scaleway, inférence via Anthropic sur AWS Bedrock UE, OpenAI sur Azure UE, ou Mistral (natif FR). Le flux de données et la surface de sortie sont documentés dans le livrable architecture.
• Mode tenant client : nous déployons dans votre VPC, votre compte cloud, votre plateforme de conteneurs. Aucune donnée ne quitte votre périmètre.

3. Fournisseurs de modèles & traitement des données

• Anthropic, OpenAI, Mistral, Google Vertex.Contrats entreprise quand le périmètre ou le secteur l’exige. Zéro rétention des données et pas d’entraînement sur vos données sont des défauts contractuels sur les tiers entreprise utilisés.
• Nous remontons les contrats de protection des données des fournisseurs de modèles au client et alignons les fenêtres de rétention sur le plus strict de (a) la valeur par défaut du fournisseur, (b) votre contrat, (c) le plancher réglementaire de votre secteur.
• Quand le cas d’usage le permet, nous minimisons les prompts bruts : expurgation des identifiants personnels, transformation des champs sensibles en jetons anonymes, sorties structurées plutôt que texte libre quand l’IA ne s’en trouve pas dégradée.

4. Sous-traitants

Notre liste standard de sous-traitants pour un engagement type. La liste exacte est définie par projet et partagée par écrit.

• Hébergement : Vercel Inc. (US, régions UE disponibles)
• Fournisseurs de modèles : Anthropic PBC (US), OpenAI LLC (US), Mistral AI (FR), Google LLC (US, régions UE Vertex)
• Base de données : Neon, Supabase, ou Postgres fourni par le client
• Recherche vectorielle : pgvector dans la base du projet, ou Pinecone UE quand l’échelle l’impose
• Supervision : Axiom, Logflare, ou la pile de supervision du client
• Email : Resend ou Postmark sur demande

La liste est mise à jour en cours d’engagement si nous ajoutons ou retirons un sous-traitant, avec préavis.

5. Mesures techniques & organisationnelles

• Contrôle d’accès : moindre privilège par défaut. Les ingénieurs accèdent uniquement aux dépôts et environnements de leur mission. Double authentification imposée sur toutes les surfaces admin (Vercel, fournisseurs de modèles, Postgres, GitHub).
• Gestion des secrets :variables d’environnement chiffrées Vercel ou le gestionnaire de secrets du client. Aucun secret dans le code, aucun secret dans les journaux.
• Chiffrement : TLS 1.2 ou supérieur en transit, AES-256 au repos sur les fournisseurs managés. Sauvegardes de base chiffrées.
• Journaux & audit :journaux structurés avec expurgation des identifiants personnels avant écriture. Rétention par défaut 90 jours, configurable par engagement. Les traces d’utilisation des IA sont enregistrées pour évaluation et analyse d’incident.
• Réponse à incident :accusé de réception sous 24 heures après détection, analyse écrite sous 7 jours, contact nommé pendant l’engagement et la garantie 30 jours. Maintenance optionnelle pour une couverture astreinte prolongée.
• Sortie d’un ingénieur : accès révoqué le jour où la mission se termine, journalisé.

6. Données personnelles & sensibles

• Les identifiants personnels sont minimisés à l’ingestion. Nous ne collectons pas ce que nous n’utiliserons pas.
• Les journaux sont expurgés avant stockage. Journalisation par défaut sur option pour tout ce qui pourrait capturer du contenu utilisateur.
• Nous n’entraînons jamais sur vos données. Nos sous-traitants n’entraînent jamais sur vos données (contractuellement, sur les tiers entreprise utilisés).
• Les flux de droit d’accès, de rectification et d’effacement sont pensés dès la conception pour toute IA qui touche des utilisateurs identifiables.

7. Hors périmètre

Ce qui suit ne fait pas partie de la livraison par défaut et nécessite un sous-engagement spécifique, un partenaire, ou les deux :

• Manipulation de données carte PCI-DSS au-delà des références anonymisées
• Données de santé HIPAA / PHI (nous supportons les données de santé UE sous RGPD et le futur cadre EHDS sur demande)
• Environnements classifiés ou de défense
• Livrables d’audit SOC 2 ou ISO 27001 produits par nous (nous supportons l’audit, nous ne le rédigeons pas)

8. Documents disponibles sur demande

Sous accord de confidentialité, avant ou pendant l’engagement :

• Modèle de contrat de protection des données aligné sur les clauses contractuelles types de l’UE
• Liste complète des sous-traitants avec pays de traitement
• Mesures techniques et organisationnelles en une page (cette page, condensée)
• Schéma d’architecture du flux de données pour votre périmètre
• Réponse à votre questionnaire sécurité (les plus courants traités en moins de 5 jours ouvrés)
• Support et revue d’analyse d’impact (AIPD)
• Modèle d’accord de confidentialité (ou signature du vôtre)

9. Contact

Demandes sécurité, conformité, DPO : jerome@manibor.com. Réponse initiale sous un jour ouvré.