Sécurité & Confidentialité
chez ISMS Copilot
Nous développons des outils de conformité pour les professionnels de la sécurité. La sécurité de vos données n'est pas une simple fonctionnalité — c'est notre fondation.
Conformité RGPD complète avec DPA disponible
Résidence complète des données UE avec Protection Avancée
Fournisseurs d'infrastructure (AWS, Supabase) disposent d'attestations SOC 2 Type II
Pratiques de Sécurité
Comment nous protégeons vos données de conformité
Chiffrement en transit
Toutes les connexions sécurisées avec TLS 1.3. Aucune donnée non chiffrée ne quitte votre navigateur.
Chiffrement au repos
Chiffrement AES-256 pour toutes les données stockées. Base de données et stockage chiffrés par défaut.
Sécurité au niveau des lignes
Isolation des accès au niveau de la base de données. Les utilisateurs ne peuvent accéder qu'à leurs propres données.
Centre de données UE
Infrastructure principale hébergée à Francfort, Allemagne (AWS EU-Central-1). Les données restent dans l'UE.
Infrastructure SOC 2 Type II
Basée sur Supabase et AWS, tous deux attestés SOC 2 Type II. Sécurité enterprise par défaut.
Pas d'entraînement IA
Vos données ne sont jamais utilisées pour entraîner des modèles IA. Tous les fournisseurs IA sont contractuellement engagés.
Masquage des DCP
Le masquage intégré des données personnelles supprime automatiquement les informations sensibles avant qu'elles n'atteignent les fournisseurs IA.
Résidence des Données
Choisissez où vos données sont traitées
Mode Standard
- Base de donnéesEUUE (Francfort)
- Stockage de fichiersEUUE (Francfort)
- Traitement IAUSAnthropic Claude (direct) et OpenRouter → Inceptron / DeepInfra / Cerebras / Google Vertex (allowlist + ZDR)
- Rétention IA30 jours
- Modération de contenuEUMistral AI
- Failover IAEUMistral AI (UE)
- Garanties des donnéesClauses Contractuelles Types
Protection Avancée des Données
- Base de donnéesEUUE (Francfort)
- Stockage de fichiersEUUE (Francfort)
- Traitement IAEUMistral AI uniquement
- Rétention IAAucune rétention
- Modération de contenuEUMistral AI
- Failover IAEUMistral AI (UE)
- Transferts USÉliminés
La base de données et le stockage de fichiers sont toujours hébergés dans l'UE (Francfort, Allemagne), quel que soit le mode sélectionné.
Les métadonnées de modération sont conservées 12 mois pour examen de sécurité (aucun contenu de message). Les fils contenant des messages signalés sont verrouillés contre la suppression par l'utilisateur. Voir DPA §2.8.
Les adresses e-mail sont traitées par SendGrid et Kit (US) avec des Clauses Contractuelles Types dans tous les modes.
Sous-traitants
Services tiers qui traitent des données pour notre compte
| Service | Finalité | Localisation | Rétention |
|---|---|---|---|
| Supabase | Database & Authentication | EUEU (Frankfurt, Germany) | User-controlled |
| AWS | Infrastructure | EUEU (Frankfurt, Germany) | User-controlled |
| Anthropic (Claude) | AI Processing (default routing, ADP off) | USUnited States | 30 days (abuse monitoring only, not training) |
| OpenRouter | Routing aggregator (ADP off) — routes only to the four allowlisted underlying providers below; mandatory Zero Data Retention enforced at account level | USUnited States | Zero retention (mandatory at OpenRouter account level) |
| ↳ Inceptron | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ DeepInfra | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Cerebras | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Google Vertex | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| Mistral AI | AI Processing (ADP), content moderation, failover, conversation summaries | EUEU (Frankfurt) | Zero retention |
| Fly.io | Chat API Service | EUEU-based deployment | 7 days (logs) |
| ConvertAPI | Document Format Conversion (ISO 27001:2022) | EUEU (Frankfurt) | Zero retention (in-memory only) |
| Stripe | Payment Processing | USUnited States | Per Stripe policy (PCI DSS Level 1) |
| PostHog | Product Analytics | EUEU (Frankfurt) | Up to 7 years (anonymized) |
| Sentry | Error Tracking & Monitoring | EUGermany | Up to 90 days (PII-scrubbed, no IP stored) |
| Vercel | Web Hosting & Analytics | EUEU (Frankfurt) | Anonymized (cookieless) |
| SendGrid (Twilio) | Legal Update Emails | USUnited States | Until account deletion or unsubscribe |
| Kit (ConvertKit) | Onboarding & Product Emails | USUnited States | Until account deletion or unsubscribe |
Intégrations activées par le client
Actives pour vos données uniquement lorsque votre organisation les installe.
| Service | Finalité | Localisation | Rétention |
|---|---|---|---|
| Slack Technologies, Inc. | heygrc bot — receives messages addressed to the bot, posts AI responses back. Activated only when a paid-organization owner installs from the Connectors page; uninstall hard-deletes integration records. | USUnited States | Active while integration installed |
Dernière mise à jour : avril 2026 · Préavis de 30 jours avant l'ajout de nouveaux sous-traitants. Les intégrations activées par le client ne sont pas soumises à cette règle car aucune donnée ne circule tant que votre organisation ne les installe pas explicitement.
Contenu de tiers
Contenu open source et Creative Commons intégré à la plateforme, avec attribution aux mainteneurs d'origine.
Compétence Revue de rapport SOC 2
Adapte le SOC 2 Reliability Rubric maintenu par le SOC 2 Quality Guild. La taxonomie à 11 signaux et les piliers Structure / Substance / Source proviennent du référentiel du Guild ; le flux conversationnel, les verdicts et la grille d'évaluation sont l'adaptation de ce projet. Conformément à CC BY-SA 4.0 §3(b)(1), cette adaptation est également publiée sous CC BY-SA 4.0.
Documents Juridiques
Documentation de transparence disponible à la consultation
Contrat de sous-traitance
DPA couvrant les exigences de l'article 28 du RGPD
Politique de Confidentialité
Comment nous collectons, utilisons et protégeons vos données
Conditions d'Utilisation
Conditions régissant l'utilisation d'ISMS Copilot
Registre des Activités de Traitement
RoPA détaillant toutes les opérations de traitement
Conformité de la propriété intellectuelle
Comment nous acquérons les normes, protégeons les droits PI dans nos conseils IA et créditons le contenu de tiers
Journal des modifications des documents juridiques
Résumé cumulatif des révisions de nos documents juridiques