Sécurité & conformité

Pensé pour l'entreprise européenne dès la première ligne de code.

Vos données sont précieuses. On les traite comme telles : chiffrées, hébergées en UE, traçables, supprimables sur demande.

Contacter l'équipe sécurité Voir les sous-traitants

Sécurité

Chiffré bout en bout. Audité en continu.

Vos données sont chiffrées en transit (TLS 1.3) et au repos (AES-256). Les tokens OAuth sont chiffrés colonne par colonne via pgcrypto. Audit log immuable de chaque action.

TLS 1.3 sur toutes les communications
AES-256 at-rest (PostgreSQL + S3)
Tokens OAuth chiffrés via pgcrypto
Audit log append-only + copie S3 WORM
Rotation automatique des secrets (Doppler)
MFA obligatoire pour les admins

Conformité

RGPD natif. SOC 2 en cours.

Conçus pour l'entreprise européenne dès la première ligne de code. RGPD, registre des traitements, DPA prêt, droit à l'oubli implémenté.

RGPD : registre des traitements à jour
DPA signable en ligne (template Enterprise)
Droit à l'oubli : purge cascade par tenant
Politique de retention configurable
SOC 2 Type 1 : audit Vanta démarré, livraison M9
ISO 27001 : ciblé Y2

Souveraineté

Hébergé en France. Sous-traitants UE.

Toutes vos données restent en Union européenne. Hébergement Scaleway (Paris) ou OVHcloud, bases de données managées en UE, sous-traitants RGPD-compliant.

Hébergement Scaleway Paris (PAR1/PAR2)
Bases managées Aiven (Frankfurt / Paris)
Anthropic API : EU residency dès disponibilité
Pas de transfert hors UE sans votre accord explicite
Subprocessors : liste publique à jour

Traitement des données

Le minimum strict. Toujours traçable.

On ne collecte que ce qui sert directement à analyser votre delivery. Rien de plus.

Données collectées

Métadonnées de delivery uniquement : tickets, statuts, assignations, messages, commits, PRs. Pas le contenu de votre code source, pas les pièces jointes, pas les données personnelles au-delà des identités professionnelles.

Données envoyées au LLM

Uniquement les fragments nécessaires à l'analyse demandée. Aucun envoi de votre code source. Les transcripts de réunions sont anonymisés avant analyse. Mode 'on-premise LLM' (vLLM/RunPod) disponible en Enterprise.

Vos clés, vos règles

OAuth uniquement, pas de stockage de mot de passe. Vous pouvez révoquer l'accès à tout moment depuis votre admin Jira/GitHub/Microsoft. Export complet de vos données disponible à la demande.

Sous-traitants

Liste publique. Mise à jour en temps réel.

Vous avez le droit de savoir qui touche à vos données. Voici la liste exhaustive de nos sous-traitants — modifiée uniquement avec préavis 30 jours.

Sous-traitant	Finalité	Région
Scaleway	Hébergement compute + storage	France (PAR1/PAR2)
Aiven	PostgreSQL + Kafka managés	UE (Frankfurt / Paris)
Anthropic	LLM (Claude API)	EU residency activable
RunPod	GPU pour modèles self-hosted (option)	UE (NL / DE)
Microsoft Azure AD	OAuth Teams / Graph API	UE
Atlassian	OAuth Jira (sortant uniquement)	EU instance possible
GitHub	OAuth GitHub (sortant uniquement)	Selon votre instance
Doppler	Gestion des secrets	US (chiffrement client-side)
Grafana Cloud	Métriques + logs + traces	UE

Dernière mise à jour : 2026-06-19. Notification email pour tout ajout / suppression.

Trust center

Documents disponibles sur demande.

Pour les équipes sécurité qui ont besoin de plus.

DPA modèle (PDF)
Politique de sécurité de l'information
Procédure d'incident response
Rapport SOC 2 Type 1 (à partir de M9)
Rapport pen test annuel (Enterprise)
Architecture sécurité (deep dive)

Demander un document Signaler une vulnérabilité