Vos données sont entre de bonnes mains
Le Trust Center explique de manière concrète comment nous protégeons les données, encadrons les agents IA et organisons la conformité. Il sert à rendre notre posture sécurité vérifiable, lisible et utile pour vos équipes métiers, techniques et juridiques.
Quels engagements de sécurité pouvez-vous vérifier rapidement ?
Vous pouvez vérifier rapidement quatre points structurants : l'hébergement, le chiffrement, la gouvernance des agents et la supervision humaine. Ce tableau donne une lecture synthétique de notre position pour faciliter vos échanges internes avant un cadrage plus détaillé avec vos équipes sécurité, produit ou conformité.
| Sujet | Notre position | Ce que cela signifie |
|---|---|---|
| Hébergement | Infrastructure européenne sur Vercel et Supabase, avec données hébergées en UE. | Réduit les risques de dispersion géographique et simplifie le cadre de conformité pour les clients européens. |
| Chiffrement | TLS 1.3 en transit, chiffrement au repos et contrôle d'accès au niveau des données. | Protège les échanges, limite l'exposition et renforce la traçabilité des accès. |
| Gouvernance des agents | Permissions granulaires, journalisation et fiches de rôle numériques pour chaque agent déployé. | Évite qu'un agent dispose de plus de droits que nécessaire et clarifie son périmètre d'action. |
| Supervision humaine | Validation humaine sur les actions critiques et possibilité de pause ou rollback rapide. | Maintient la décision côté humain sur les points sensibles et réduit le risque opérationnel. |
Quels piliers structurent notre sécurité et notre conformité ?
Notre dispositif repose sur six piliers complémentaires qui couvrent l'hébergement, la conformité, la sécurité technique, les permissions des agents, la supervision humaine et les politiques internes. C'est cette combinaison qui permet de passer d'une promesse de sécurité à un cadre d'exploitation plus robuste.
Hébergement européen
Vos données restent en Europe. Notre infrastructure repose sur Vercel pour la couche applicative et sur Supabase pour la base de données, avec un ancrage européen cohérent avec nos exigences de conformité.
- Vercel, edge network européen avec points de présence proches de la France
- Supabase, PostgreSQL hébergé dans l'Union européenne
- Backups chiffrés sur stockage européen
- Architecture pensée pour garder la donnée proche du besoin métier
Conformité RGPD
Nous traitons la conformité comme une contrainte de conception et pas comme une couche documentaire ajoutée à la fin. Les traitements, la conservation et les droits associés aux données sont cadrés dès le départ.
- Registre des traitements tenu à jour
- Politique de conservation documentée
- Droits d'accès, rectification et effacement opérationnels
- DPA disponible sur demande
- Consentement explicite pour newsletter et cookies analytiques
Chiffrement et sécurité
Les données sont protégées à chaque étape par du chiffrement, un contrôle d'accès fin et une logique zero trust. L'objectif est de limiter l'exposition, de segmenter les permissions et de rendre les actions auditables.
- TLS 1.3 pour les communications
- Chiffrement au repos pour les bases de données
- Row Level Security sur Supabase
- Rotation régulière des clés et secrets
- Authentification forte pour les équipes
- Journalisation des accès et actions sensibles
Fiches de rôle pour les agents
Chaque agent IA déployé dispose d'un périmètre clair. Nous définissons ce qu'il peut lire, écrire, proposer et déclencher pour éviter les usages trop larges et rendre le système pilotable.
- Périmètre d'action défini par agent
- Permissions de lecture, écriture et exécution limitées
- Budgets d'usage et garde-fous opérationnels
- Journalisation complète des actions
- Revue régulière des permissions
Supervision humaine
Notre approche Human in the Loop garde l'humain au centre des décisions critiques. Les agents accélèrent l'exécution, mais la validation finale et l'arbitrage restent du côté de vos équipes et des responsables métier.
- Validation humaine sur les actions critiques
- Workflow d'approbation configurable
- Dashboard de supervision en temps réel
- Alertes en cas de comportement anormal
- Pause et rollback possibles
- Rapports d'activité détaillés
Politique de sécurité
Nos opérations s'appuient sur une politique interne qui couvre les accès, les incidents, la protection des données, la continuité d'activité et la sécurité des développements. Cette discipline est nécessaire pour tenir dans la durée.
- Gestion des accès et des identités
- Classification et protection des données
- Réponse aux incidents de sécurité
- Continuité d'activité et reprise
- Sécurité des développements
- Formation et sensibilisation sécurité
Où en sommes-nous sur les certifications et la roadmap sécurité ?
Nous suivons une logique de progression continue sur les référentiels de conformité, de sécurité et d'audit. Cette section montre où nous sommes déjà alignés, ce qui est en cours et ce qui reste planifié pour renforcer le dispositif dans la durée.
Classification des risques, documentation et exigences de transparence prises en compte.
Registre des traitements, droits des personnes et cadre contractuel disponibles.
Structuration continue des pratiques pour atteindre un niveau d'exigence plus élevé.
Lecture des exigences en cohérence avec les sous-traitants et l'évolution du dispositif interne.
Campagnes externes prévues avec cabinet indépendant pour renforcer la vérification du dispositif.
Comment les données circulent-elles dans notre architecture ?
Les données circulent entre le client, la couche applicative et la base de données dans un cadre chiffré et supervisé. L'objectif est de réduire les points d'exposition, de rendre les accès lisibles et d'encadrer explicitement les appels aux modèles IA lorsque cela est nécessaire.
Données et appels aux modèles IA
Les appels aux modèles externes sont encadrés avec une logique de minimisation des données et d'anonymisation quand c'est possible. L'objectif est de limiter l'exposition des informations sensibles et de garder la gouvernance des usages côté client et côté infrastructure.
Quelles questions reviennent souvent sur la sécurité ?
Les questions ci-dessous reviennent souvent chez les prospects et les clients qui veulent comprendre comment nous traitons l'hébergement, les permissions, les erreurs potentielles des agents et le cadre contractuel lié à la protection des données.
Où sont stockées mes données ?+
Les agents IA ont-ils accès à toutes mes données ?+
Que se passe-t-il si un agent IA fait une erreur ?+
Puis-je obtenir un DPA ?+
Comment signaler une vulnérabilité ?+
Besoin d'une réponse sur la sécurité ou le RGPD ?
Si vous avez besoin d'un éclairage sur l'hébergement, la conformité, les permissions ou la gouvernance de nos agents, nous pouvons répondre de manière plus détaillée et contextualisée à partir de votre environnement, de vos contraintes et de vos exigences internes.
Contact : sales@orchestraintelligence.fr, réponse sous 48h ouvrées