Sécurité & conformité

Vos données,
votre contrôle.

Collaboria est conçue dès l'origine pour répondre aux exigences des entreprises européennes : hébergement UE, chiffrement de bout en bout, isolation stricte, conformité RGPD. Pas de compromis sur la souveraineté.

🇪🇺 UE

Hébergement

RGPD

Conforme

TLS 1.3

Chiffrement

AES-256

Au repos

Hébergement

Vos données restent en Europe

L'application Collaboria et l'ensemble des données utilisateurs sont hébergées dans l'Union européenne (région Francfort, Allemagne) chez Supabase, sur infrastructure AWS UE.

Données stockées exclusivement dans des centres de données UE
Aucun transfert vers les États-Unis sans encadrement (clauses contractuelles types)
Sauvegardes chiffrées et géo-répliquées dans l'UE
Conformité aux exigences du RGPD et de la CNIL

Chiffrement

Vos données sont chiffrées de bout en bout

Chaque échange entre votre navigateur et nos serveurs, et chaque donnée au repos dans nos bases, est chiffré avec des standards industriels.

TLS 1.3 pour toutes les communications réseau
AES-256 pour les données au repos (Supabase / AWS KMS)
Secrets et clés API stockés dans un coffre-fort dédié
Mots de passe hachés avec bcrypt (jamais stockés en clair)

Isolation

Row-Level Security sur toutes les tables

Notre architecture PostgreSQL impose un cloisonnement strict des données au niveau ligne. Aucun utilisateur ne peut accéder aux données d'une autre organisation.

Row-Level Security PostgreSQL activée sur l'ensemble des tables
Chaque requête validée contre l'identité de l'utilisateur authentifié
Tests automatisés vérifiant les politiques RLS en continu
Architecture multi-tenant avec isolation par organisation

Authentification

Authentification renforcée

Plusieurs facteurs d'authentification disponibles, gestion fine des rôles et permissions.

Magic Link (mot de passe sans mémorisation)
OAuth (Google, Microsoft, GitHub)
JWT signés avec rotation périodique des clés
4 niveaux de rôles : super_admin, admin, user, guest

Confidentialité IA

Vos prompts n'entraînent aucun modèle

Tous nos fournisseurs IA sont configurés en mode « zero-data-retention » ou opt-out d'entraînement. Vos données métier ne deviennent jamais des données d'entraînement.

Opt-out d'entraînement chez OpenAI, Anthropic, Google, Mistral
API uniquement — pas de mode "chatbot grand public" qui apprend
Logs minimaux (rétention 30 jours maximum) côté fournisseurs
Mistral disponible pour les cas les plus sensibles (hébergement 100% UE de bout en bout)

Conformité

RGPD et droits des personnes

Net It Be est responsable de traitement au sens du RGPD. Nous appliquons les principes de minimisation, de finalité et de durée de conservation.

Politique de confidentialité détaillée et accessible
Droit d'accès, de rectification, d'effacement, de portabilité
Export complet de vos données en un clic
Suppression définitive du compte sur demande (< 30 jours)

Audit

Traçabilité et journaux d'audit

Chaque action sensible est tracée. Les administrateurs disposent d'un journal d'audit consultable et exportable.

Audit log de toutes les actions administratives
Historique des connexions et accès par utilisateur
Journalisation des appels API IA avec horodatage
Export des journaux au format JSON/CSV

Continuité

Disponibilité et résilience

Notre infrastructure est conçue pour offrir une haute disponibilité et une reprise rapide en cas d'incident.

Sauvegardes automatiques quotidiennes (rétention 30 jours)
Architecture multi-zone (haute disponibilité)
Plan de continuité d'activité documenté
Notifications proactives en cas d'incident

Questions fréquentes

Vos questions sécurité & conformité

Mes données peuvent-elles être utilisées pour entraîner des modèles d'IA ?

Non. Tous nos fournisseurs IA (OpenAI, Anthropic, Google, Mistral, etc.) sont configurés en mode « zero-data-retention » ou opt-out d'entraînement. Vos prompts et vos documents ne deviennent jamais des données d'entraînement. Pour les cas les plus sensibles, Mistral propose un hébergement 100 % UE de bout en bout — c'est notre recommandation pour les administrations et les secteurs régulés.

Où sont stockées les données utilisateurs ?

Dans l'Union européenne, plus précisément en Allemagne (région Francfort de Supabase, infrastructure AWS UE). Les sauvegardes restent également dans l'UE. Aucune donnée client n'est stockée hors UE.

Comment fonctionne l'isolation entre clients ?

Nous utilisons le mécanisme de Row-Level Security de PostgreSQL, activé sur l'ensemble des tables qui contiennent des données utilisateur. Chaque requête est validée contre l'identité de l'utilisateur authentifié, et nos tests automatisés vérifient en continu que les politiques d'isolation tiennent.

Puis-je supprimer ou exporter mes données ?

Oui. Depuis votre espace, vous pouvez exporter l'intégralité de vos conversations, projets et fichiers au format standard (JSON, Markdown, PDF). Vous pouvez également demander la suppression complète de votre compte ; nous procédons à l'effacement définitif sous 30 jours maximum, en conformité avec l'article 17 du RGPD (droit à l'effacement).

Êtes-vous certifiés ISO 27001 ou SOC 2 ?

Nous ne sommes pas encore certifiés à notre nom, mais notre infrastructure repose sur des fournisseurs qui le sont : AWS (SOC 2, ISO 27001, HDS), Supabase (SOC 2 Type II), Netlify (SOC 2). Une démarche de certification ISO 27001 est en cours d'étude pour 2027.

Comment me signaler une faille de sécurité ?

Écrivez-nous à security@collaboria.fr en décrivant la vulnérabilité et les conditions de reproduction. Nous accusons réception sous 48 heures ouvrées et travaillons rapidement à un correctif. Toute divulgation responsable est appréciée.

Sécurité

Signaler une faille

Vous avez identifié une vulnérabilité ? Nous prenons la divulgation responsable au sérieux. Écrivez-nous à security@collaboria.fr. Accusé de réception sous 48 heures ouvrées.

Une équipe sécurité dédiée à votre conformité

Question DPO, demande d'audit, plan Enterprise sur-mesure ? Parlons-en.

Contacter notre équipe Politique de confidentialité

Vos données, votre contrôle.