Sécurité & conformité

🔐 Chiffrement de bout en bout

Toutes les données stockées dans la base de données sont chiffrées en AES-256-CBC avec des clés de chiffrement uniques stockées dans des variables d'environnement sécurisées. Les communications sont protégées par TLS 1.2+. Même en cas de compromission de la base de données, les données restent illisibles. Les mots de passe sont hashés avec bcrypt (salt automatique).

🇫🇷 Hébergement souverain

L'infrastructure est hébergée sur des serveurs OVH situés en France. Vos données ne quittent pas le territoire national pour le stockage. Les sauvegardes automatiques quotidiennes sont conservées 30 jours dans le même datacenter français.

🤖 Intelligence artificielle & données

A/Lex utilise l'API Anthropic (Claude) pour le traitement des requêtes. Voici les garanties apportées :

• Aucun entraînement — Vos données ne sont jamais utilisées pour entraîner ou améliorer les modèles d'IA
• Rétention limitée — Les logs API sont conservés maximum 7 jours puis automatiquement supprimés
• DPA signé — Un accord de traitement des données encadre la sous-traitance avec Anthropic
• Transferts encadrés — Les transferts hors UE sont protégés par les clauses contractuelles types de la Commission européenne

📋 Conformité RGPD

Notre plateforme respecte l'ensemble des obligations du Règlement Général sur la Protection des Données :

• Registre des activités de traitement tenu à jour
• Base juridique identifiée pour chaque traitement
• Droit d'accès, rectification, effacement, portabilité et opposition
• Notification de violation dans les 72h si applicable
• Politique de confidentialité transparente et détaillée
• Durées de conservation définies et appliquées

Pour exercer vos droits : [email protected]

🛡️ Sécurité applicative

Mesures de protection actives sur la plateforme :

• Rate limiting — Protection contre le brute-force (10 tentatives/15min sur le login)
• Headers sécurité — HSTS, X-Frame-Options DENY, XSS-Protection, Content-Type nosniff
• CORS strict — Seul le domaine autorisé peut accéder à l'API
• Logs d'audit — Chaque action est tracée (utilisateur, IP, horodatage, durée)
• Sanitisation des entrées — Protection contre les injections
• Politique de mot de passe fort — Minimum 8 caractères, 1 majuscule, 1 chiffre

💾 Sauvegarde & continuité

La base de données est sauvegardée automatiquement toutes les 24 heures. Les 30 dernières sauvegardes sont conservées. En cas d'incident, la restauration complète est possible en moins d'une heure.