Confiance & Sécurité
L'IA en confiance.
Pas des promesses — des mécanismes.
Des PME nous confient leurs données métier, leurs processus internes, parfois leur infrastructure. Ce document explique précisément ce que nous faisons avec ces données, qui y accède, où elles sont traitées et comment nous gérons les risques.
Pas de langage générique. Que du concret.
Mise à jour · Mai 2026
Résidence des données
Où vos données sont-elles traitées ?
Nous travaillons avec trois familles de modèles de langage. Le choix du modèle pour chaque projet dépend de vos exigences de souveraineté, du cas d'usage et des performances techniques requises.
| Fournisseur | Modèles typiques | Siège légal | Traitement des données | Résidence UE | DPA |
|---|---|---|---|---|---|
| Mistral AI | Mistral Large, Mistral Small | Paris, France 🇫🇷 | France / UE | Par défaut | Oui |
| Anthropic | Claude 3.5 / Claude 4 | San Francisco, US 🇺🇸 | US (défaut) · UE via AWS Bedrock ou Vertex AI (endpoints UE) | Via cloud UE | Oui (API commerciale) |
| OpenAI | GPT-4o, GPT-4.1 | San Francisco, US 🇺🇸 | US (défaut) · UE pour nouveaux projets API Enterprise | Enterprise / API | Oui |
Notre approche
Pour les projets nécessitant la souveraineté la plus stricte (données personnelles sensibles, finance, santé) : nous recommandons Mistral AI, dont l'infrastructure est hébergée en France.
Pour les projets où les performances de Claude ou GPT-4 sont justifiées par le cas d'usage, nous configurons le pipeline pour traiter via les endpoints UE de AWS Bedrock ou de l'API OpenAI Enterprise avec résidence UE — ce qui maintient le traitement sur le territoire européen.
Nous pouvons également déployer des modèles open-source (Mistral, LLaMA) sur l'infrastructure de votre choix ou sur nos serveurs Hetzner (DE), pour un traitement 100 % UE sans aucun appel vers un fournisseur tiers.
Le site olixid.com est hébergé sur les serveurs Hetzner Online GmbH (Gunzenhausen, Allemagne).
RGPD
Notre posture RGPD
OLIXID agit en qualité de sous-traitant (au sens de l'article 28 du RGPD) pour tout traitement de données personnelles opéré dans le cadre de vos projets. Vous restez responsable de traitement.
Base légale
Le traitement repose sur l'exécution du contrat (Art. 6.1.b) et, pour les traitements annexes (amélioration du service, suivi qualité), sur l'intérêt légitime (Art. 6.1.f). Aucune donnée personnelle de vos utilisateurs finaux n'est utilisée pour entraîner des modèles d'IA tiers.
Accord de sous-traitance (DPA)
Un DPA conforme à l'article 28 est disponible à la signature pour tout projet. Il couvre les catégories de données traitées et leurs finalités, les mesures de sécurité techniques et organisationnelles, les délais de suppression, la liste des sous-traitants ultérieurs, et les modalités d'audit et de notification d'incident.
Minimisation
Par défaut, nos systèmes ne traitent que les données strictement nécessaires au cas d'usage défini. Les prompts envoyés aux API LLM ne contiennent pas de données personnelles identifiantes sauf nécessité technique documentée. La pseudonymisation ou l'anonymisation en amont est notre pratique standard pour tout pipeline RAG ou agent IA manipulant des données sensibles.
Rétention
Données de projet (code, configurations, fichiers) : durée du contrat + 12 mois, puis suppression. Logs d'appels API LLM : non conservés au-delà des délais propres à chaque fournisseur (Anthropic API : 7 jours ; Mistral AI : selon accord ; OpenAI API Enterprise : ZDR disponible). Données du formulaire de contact : 12 mois maximum. Sauvegardes : supprimées dans les 30 jours suivant la fin du contrat.
Droits des personnes
Si vos utilisateurs finaux exercent leurs droits (accès, rectification, effacement, portabilité, opposition) auprès de vous en tant que responsable de traitement, nous vous apportons notre assistance technique dans un délai de 5 jours ouvrés.
Transferts hors UE
Pour les traitements impliquant Anthropic ou OpenAI sans résidence UE activée, les transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne. Ces transferts sont documentés dans le DPA.
Contact RGPD
Pour toute question relative à la protection des données :
privacy@olixid.com
OLIXID SAS, 1 rue Marguerin, 75014 Paris, France
En cas de litige, vous pouvez également saisir la CNIL : www.cnil.fr
Règlement IA européen
Notre positionnement face au Règlement IA (UE) 2024/1689
Quel rôle joue OLIXID ?
Le Règlement IA distingue plusieurs acteurs. Selon le projet, OLIXID se trouve dans l'une ou l'autre situation :
Déployeur (Article 3.4)
Lorsque nous intégrons un système IA tiers (Claude, Mistral, GPT-4) dans votre environnement, sous votre autorité et pour votre usage. La majorité de nos missions.
Fournisseur (Article 3.3)
Lorsque nous développons un système IA sous notre nom ou notre marque et le mettons sur le marché — typiquement un agent IA livré et exploité en autonomie. Dans ce cas, les obligations de fournisseur nous incombent.
Cette distinction est documentée contractuellement dans chaque engagement.
Classification des risques
Le Règlement établit 4 niveaux de risque. La quasi-totalité des systèmes que nous construisons pour des PME relève de la catégorie « risque limité » ou « risque minimal » :
| Niveau | Exemples | Obligations principales |
|---|---|---|
| Risque minimal | Reporting automatisé, génération de contenu interne | Aucune (bonnes pratiques recommandées) |
| Risque limité | Chatbots client, résumés de documents, agents de devis | Transparence envers l'utilisateur final (Art. 50) |
| Risque élevé (Annexe III) | Scoring crédit, recrutement, dispositifs médicaux | Documentation, supervision humaine, enregistrement |
| Pratiques interdites | Notation sociale, IA de manipulation — jamais dans notre scope | Interdit |
Lors du diagnostic, nous évaluons le niveau de risque de chaque cas d'usage. Si un système atteint le seuil « risque élevé », nous en informons le client et adaptons les livrables (documentation, pistes d'audit, supervision humaine obligatoire).
Transparence et supervision humaine
- L'utilisateur final est informé qu'il interagit avec un système IA (Art. 50).
- Une sortie de secours humaine est toujours prévue (l'IA propose, l'humain valide).
- Les décisions à fort enjeu (financier, RH, contractuel) ne sont jamais entièrement automatisées sans validation humaine explicite.
Calendrier d'application
| Date | Entrée en vigueur |
|---|---|
| 2 févr. 2025 | Interdiction des pratiques IA prohibées |
| 2 août 2025 | Obligations literacy IA (Art. 4) |
| 2 août 2025 | Obligations modèles à usage général (GPAI) |
| 2 août 2026 | Obligations complètes systèmes à risque élevé (Annexe III) |
| 2 août 2027 | Systèmes embarqués dans produits réglementés (Annexe I) |
Qualité & fiabilité
L'engagement anti-hallucination
Chaque réponse d'un système OLIXID cite sa source. Si aucune source n'est disponible, le système le signale explicitement pour qu'un humain prenne le relais.
Architecture RAG
Le modèle répond toujours à partir d'une base documentaire contrôlée par votre entreprise, pas depuis ses paramètres.
Référencement obligatoire
Chaque assertion factuelle est tracée jusqu'au document source (page, paragraphe, référence interne). Vos équipes peuvent vérifier en 1 clic.
Garde-fous de confiance
Si le score de confiance est insuffisant, le système oriente vers un humain plutôt que de produire une réponse non étayée.
Monitoring continu
Les réponses sont surveillées en production. Les dérives sont détectées et corrigées sans attendre le signalement utilisateur.
Piste d'audit complète
Chaque interaction est journalisée avec son contexte documentaire. Auditable par vos équipes à tout moment.
Cet engagement s'applique à tous les systèmes RAG, agent documentaire et assistant interne. Il ne s'applique pas de la même manière aux systèmes de génération créative ou aux pipelines de classification.
Sécurité
Notre socle de sécurité
OLIXID n'est pas certifié ISO 27001 ni SOC 2 à ce jour. Ces certifications représentent un investissement significatif et sont sur notre feuille de route pour les projets impliquant des secteurs réglementés. Ce que nous faisons concrètement :
Gestion des secrets
- Aucun secret (clé API, mot de passe, token) n'est commité dans un dépôt de code.
- Utilisation systématique de gestionnaires de secrets dans tous les environnements de développement, staging et production.
- Rotation des clés API à chaque fin de mission ou au départ d'un collaborateur.
Contrôle des accès
- Principe du moindre privilège : chaque membre de l'équipe n'a accès qu'aux ressources nécessaires à sa mission.
- Accès au code client : limité aux ingénieurs assignés au projet.
- Authentification à deux facteurs (2FA) obligatoire sur tous les outils.
- Révocation immédiate des accès en fin de mission.
Dépôts de code
- Code source des projets clients hébergé sur des dépôts GitHub privés, sous organisation dédiée ou transférés vers votre propre organisation à la livraison.
- Pas de code client dans des dépôts publics.
- Revues de code systématiques avant chaque merge en production.
Chiffrement
- Données en transit : TLS 1.2 minimum, TLS 1.3 recommandé.
- Données au repos : chiffrement AES-256 pour toutes les bases et sauvegardes hébergées.
- Communications internes : chiffrées de bout en bout.
Réponse aux incidents
- Détection et confinement : dans les 4 heures ouvrées.
- Notification au client : dans les 24 heures suivant la détection.
- Notification CNIL si violation de données personnelles : dans les 72 heures (Art. 33 RGPD).
- Rapport d'incident : transmis dans les 5 jours ouvrés.
Délais de suppression
- Fin de projet : suppression des données client dans les 30 jours calendaires.
- Logs de débogage : supprimés dans les 7 jours.
- Environnements de staging : désactivés et supprimés dans les 72 heures après livraison.
Propriété intellectuelle
Vous êtes propriétaire de tout ce qu'on livre.
À la livraison et au solde du projet, le code source, les modèles entraînés, les configurations, les pipelines et la documentation appartiennent intégralement au client. OLIXID ne conserve aucun droit de propriété sur les livrables.
Code source
Transféré via GitHub (dépôt cédé ou PR acceptée dans votre organisation). Vous avez accès au code intégral dès le premier sprint, pas seulement à la livraison finale.
Modèles fine-tunés
Les poids de modèle entraînés sur vos données vous appartiennent. Ils sont stockés dans votre environnement cloud ou transférés sur vos serveurs.
Données d'entraînement
Les données et annotations restent sous votre contrôle. OLIXID n'y accède qu'aux fins du projet.
Secrets et credentials
Toutes les clés API et identifiants utilisés pour votre infrastructure vous sont transférés à la fin du projet.
Licences open source
Lorsque nous intégrons des bibliothèques open source, nous documentons les licences applicables (MIT, Apache 2.0, etc.). Aucune bibliothèque à licence restrictive (GPL copyleft) n'est intégrée sans validation expresse du client.
OLIXID peut se référer à votre projet comme référence commerciale (secteur, type d'usage, résultat générique) — sauf accord de confidentialité spécifique.
Sous-traitants
Liste de nos sous-traitants
Tout nouveau sous-traitant est notifié aux clients concernés avec un préavis de 30 jours.
| Sous-traitant | Service | Siège | Zone de traitement | Données traitées |
|---|---|---|---|---|
| Anthropic, PBC | API LLM (Claude) | San Francisco, US | US / UE via AWS Bedrock | Prompts et contexte (projets concernés) |
| Mistral AI SAS | API LLM (Mistral) | Paris, France 🇫🇷 | France / UE | Prompts et contexte (projets concernés) |
| OpenAI, LLC | API LLM (GPT-4) | San Francisco, US | US / UE (Enterprise opt-in) | Prompts et contexte (projets concernés) |
| Hetzner Online GmbH | Hébergement serveurs | Gunzenhausen, DE 🇩🇪 | Allemagne (UE) | Infrastructure, code, BDD |
| Cloudflare, Inc. | CDN, DDoS, Turnstile | San Francisco, US | UE + US (edge) | Requêtes HTTP, IPs anonymisées |
| Resend, Inc. | Envoi d'emails transactionnels | San Francisco, US | US | Adresses e-mail, contenu |
| Twenty | CRM interne | Paris, France 🇫🇷 | France / UE | Contacts clients, historique commercial |
| Umami (auto-hébergé) | Analytics web | Hetzner DE | Allemagne (UE) | Pages vues, sessions anonymisées |
| GitHub (Microsoft) | Hébergement code source | San Francisco, US | US / UE | Code source, issues, CI/CD |
Les sous-traitants marqués « projets concernés » ne traitent des données que pour les projets configurés avec leur API. Un projet utilisant exclusivement Mistral AI ne transmet aucune donnée à Anthropic ou OpenAI.
Amélioration continue
Audit & amélioration continue
Ce document est mis à jour chaque trimestre et à chaque changement structurant (nouveau sous-traitant, nouveau modèle LLM en production, évolution réglementaire).
- Revue sécurité interne : trimestrielle — accès, secrets, dépôts, configurations.
- Veille réglementaire : suivi actif des publications CNIL, EDPB et Parlement européen (AI Act, ePrivacy, Data Act).
- Revue des sous-traitants : annuelle — vérification que chaque sous-traitant maintient ses engagements RGPD.
- Exercices de réponse aux incidents : testés en interne deux fois par an.
- ISO 27001 / ISO 42001 : en évaluation pour les marchés réglementés.
Questions fréquentes
Mes données sont-elles utilisées pour entraîner les modèles d'IA ?
Non. Les fournisseurs LLM avec lesquels nous travaillons (Anthropic, Mistral, OpenAI sur API commerciale) n'utilisent pas les données transmises pour l'entraînement de leurs modèles. Cela est documenté dans le DPA et vérifié à chaque évaluation.
Pouvez-vous traiter mes données 100 % en France ?
Oui. En utilisant exclusivement Mistral AI (infrastructure France) ou en déployant un modèle open source (Mistral, LLaMA) sur nos serveurs Hetzner Allemagne ou votre propre infrastructure, le traitement reste intégralement dans l'UE.
Êtes-vous certifiés ISO 27001 ou SOC 2 ?
Non, pas à ce jour. Ces certifications représentent un investissement significatif et sont sur notre feuille de route pour les projets impliquant des secteurs réglementés. Nous appliquons un socle de sécurité aligné sur les bonnes pratiques (gestion des secrets, accès, chiffrement, revue de code, réponse aux incidents).
À qui appartient le code et les modèles que vous développez ?
Au client, intégralement, à la livraison et au solde du projet. Pas d'exception. Vous avez accès au code dès le premier sprint et le dépôt peut être transféré à votre organisation GitHub.
Comment gérez-vous les hallucinations des modèles ?
Architecture RAG systématique pour les agents documentaires : le modèle répond à partir d'une base contrôlée par votre entreprise, chaque réponse cite sa source, et un score de confiance déclenche l'escalade vers un humain si nécessaire. Une piste d'audit complète permet de tracer chaque interaction.
Contact
Une question sur la sécurité ou vos données ?
Deux adresses, deux réponses dans les 2 jours ouvrés :
security@olixid.com
Incidents de sécurité, questions techniques
privacy@olixid.com
RGPD, exercice de droits, DPA
Ou par courrier : OLIXID SAS — 1 rue Marguerin — 75014 Paris, France
Pour toute réclamation CNIL : www.cnil.fr
