Offre de lancement : -20% sur le Starter en plus du premier audit gratuit avec le code NEW20

🛡 Sécurité & confidentialité

On ne veut pas
de vos données.

On a déjà suffisamment de documents légaux à gérer grâce à l'AI Act — honnêtement, ajouter vos réponses d'audit à notre liste de responsabilités semble une très mauvaise idée.

Ce que vous tapezCe que nous stockons
company
Acme SAS
ai_system
HR CV screening
contact
jane@acme.eu
audit_score
38 / 100
Chiffrement au repos — AES-256-GCM

Le principe : on ne peut pas y accéder.

Vos réponses au questionnaire et les documents générés sont chiffrés avant d'être stockés. La clé de déchiffrement est dérivée de votre identifiant utilisateur — quelque chose que notre base de données seule ne peut pas utiliser.

Concrètement : si quelqu'un accède directement à notre base de données — fuite, intrusion, ou un admin curieux — tout ce qu'il voit, c'est du bruit illisible.

// Ce que voit la base de données
questionnaire_data:
aBuDeFgHiJkL.X9k2n4pQr87LEvWxYzE1234567890ACDEF3H.yZ01234abcde

// Ce qu'elle peut en faire
¯\_(ツ)_/¯

Une clé par utilisateur

Vos données sont chiffrées avec une clé dérivée de votre identifiant unique (AES-256-GCM). Même nous ne pouvons pas lire les données d'un utilisateur sans sa session active. C'est mathématiquement impossible, pas juste une promesse.

Hébergé en Suisse, base on-premise

Le VPS est chez Infomaniak en Suisse. La base Supabase tourne localement sur ce même serveur — pas de service tiers impliqué. Infomaniak héberge les bits, mais ne peut rien lire : tout est chiffré avant d'arriver là.

Pas de revente, pas de tracking pub

Nous sommes rémunérés par les abonnements et la génération de documents, pas en vendant vos données. Notre modèle économique n'a aucun intérêt à monétiser ce que vous partagez. L'alignement des incitations, comme on dit.

RLS + isolation par compte

Chaque requête vérifie que vous ne pouvez accéder qu'à vos propres données (Supabase Row-Level Security). Il est techniquement impossible pour un utilisateur de lire les audits d'un autre, même en bricolant les requêtes API.

🙂

La mise en garde honnête : Mistral AI voit une partie de vos données.

Pour analyser votre audit et générer vos documents réglementaires, nous utilisons Mistral AI — notre fournisseur de modèle IA génératif (GPAI). Ils produisent les synthèses, recommandations et le contenu narratif de vos documents.

Avant d'envoyer quoi que ce soit à Mistral, nous appliquons une pseudonymisation automatique : emails, numéros de téléphone, SIRETs et adresses IP sont remplacés par des tokens neutres (EMAIL_1, PHONE_2…). Mistral ne voit jamais vos identifiants directs.

Le contenu métier de votre questionnaire (secteur, usages du système IA, contexte organisationnel) est nécessaire à la génération — Mistral y accède. C'est le compromis inhérent à l'utilisation d'un LLM externe. On préfère vous le dire clairement plutôt que l'enfouir dans les CGU.

Qui voit quoi

DonnéesDILAIGBase de donnéesMistral AI
Réponses au questionnaire (stockage)
Chiffrées
Chiffrées
Aucun
Réponses au questionnaire (analyse IA)
Oui
Aucun
Pseudonymisées
Documents générés (stockage)
Chiffrés
Chiffrés
Aucun
Emails de contact / newsletter
Oui
En clair
Aucun
Identifiants directs (email, SIRET…)
Oui
Aucun
Non (masqués)
Score de conformité
Oui
En clair
Aucun

Des questions sur nos pratiques ? Notre politique de confidentialité complète est disponible ci-dessous.

Démarrer l'audit gratuitPolitique de confidentialité
Sécurité — DILAIG