Sécurité et conformité

Où vivent les données, et ce qu’elles ne font pas.

Rédigé pour les achats, la sécurité informatique et les juristes. Pas d’habillage marketing, juste les faits tels qu’ils sont aujourd’hui, y compris ce que nous ne prétendons pas encore.

URL à transmettre. Si votre équipe de sécurité a besoin d’un questionnaire fournisseur ou d’un DPA contresigné, voir Contact en bas.

Un petit donjon de pierre avec une seule porte chaleureusement éclairée, à l’aube dans une prairie paisible : une protection par conception plutôt que par la force.

Sous-traitants

Où vos données sont traitées.

La liste complète des tiers qui touchent aux données des sujets ou des répondants, avec la région et la base de transfert. Anthropic est aux États-Unis et est couvert par les clauses contractuelles types ; tout le reste est dans l’UE.

Service	Finalité	Région	Base de transfert
Supabase supabase.com/security	Postgres géré (données des sujets et des répondants, sécurisées par RLS), authentification sans mot de passe.	UE	Au sein de l’UE.
Anthropic trust.anthropic.com	Inférence LLM pour le concepteur de critères, l’intervieweur et le synthétiseur.	États-Unis	UE → US sous clauses contractuelles types, DPA Anthropic signé. API Messages uniquement, sans Batch, Files ni Memory serveur.
Resend resend.com/legal/security	E-mails transactionnels (connexion par lien magique, invitations aux répondants, rappels).	UE	Au sein de l’UE.
Stripe stripe.com/privacy	Traitement des paiements pour les offres à 50 $ à l’unité et 100 $/an et les pools de licences pour les équipes.	États-Unis (infrastructure mondiale Stripe)	UE → US sous clauses contractuelles types. Les données de carte sont collectées directement par Stripe ; Trueings ne voit ni ne stocke jamais les détails des cartes.
PostHog posthog.com/handbook/company/security	Analytique produit (décomptes d’événements uniquement : sans cookies, sans enregistrement de session, sans capture automatique, sans profil par personne).	UE (eu.i.posthog.com)	Au sein de l’UE.

Hébergement : l’application elle-même s’exécute sur une infrastructure serverless gérée (Vercel). Aucun contenu de retour client n’est stocké dans les journaux applicatifs ; le stockage de référence est Supabase.

Conservation

Ce que nous gardons, pendant combien de temps, et ce que nous ne gardons pas.

Les transcriptions brutes sont supprimées par une tâche de base de données programmée 30 jours après la synthèse de chaque campagne. La tâche s’exécute quotidiennement et est auditable. Après son exécution, la campagne ne peut plus être re-synthétisée ; seul le rapport anonymisé subsiste.

Transcriptions brutes des répondants
30 jours après la finalisation de la synthèse d’une campagne
Purgées quotidiennement par une tâche de base de données programmée. Après la purge, la campagne ne peut plus être re-synthétisée ; seul le rapport anonymisé subsiste.
Rapport synthétisé (thèmes, carte de Johari, plan de développement)
Durée de vie du compte du sujet
Nettoyé de tout identifiant par le passage obligatoire du garde-fou de confidentialité. Le sujet peut l’exporter ou le supprimer à tout moment.
Compte, consentement, documents de facturation
Durée de vie du compte + la période requise par le droit fiscal / de la consommation de l’UE
Liés au sujet ; supprimés à l’effacement du compte, sous réserve de la conservation légale.
Journaux opérationnels agrégés (sans contenu de répondant)
Jusqu’à 90 jours
Utilisés pour la réponse aux incidents et la détection des abus. Aucune réponse de répondant ; aucun contenu de retour.

La confidentialité est architecturale

Appliquée dans le code, pas par une politique.

Le produit ne peut pas divulguer de retours à la mauvaise partie, car la mauvaise partie ne figure pas dans le chemin des données. Ce sont des garanties structurelles, pas des engagements.

Sécurité au niveau des lignes sur chaque table sensible. Politiques de refus par défaut, étroites ; la base de données elle-même rejette les lectures inter-comptes.
Le synthétiseur ne voit jamais l’identité des répondants. Il ne reçoit que du texte factuel (aucun nom, aucune adresse e-mail, aucun lien vers l’auteur des propos), de sorte que même un prompt arbitraire ne peut exfiltrer ce qui ne se trouve pas dans son contexte.
Un garde-fou de confidentialité déterministe s’exécute avant que le sujet ne voie quoi que ce soit. Il applique le seuil minimal de répondants, la réduction de détail en accès restreint, et un nettoyage final des identifiants. Ce n’est pas un jugement de LLM.
Pour les équipes : le portail de l’entreprise est aveugle au contenu par conception. Il n’expose que le nombre d’activations et le taux de complétion, jamais l’identité, le contenu ou les thèmes.

Authentification et accès

Sans mot de passe, restreint, audité.

Les sujets se connectent via des liens magiques à usage unique vers un e-mail vérifié. Aucun mot de passe n’est stocké ni accepté. L’émission des liens magiques est limitée en débit et échoue en silence sur les sondages d’énumération.
Les répondants n’ont pas de compte. Chaque invitation est un JWT signé, à portée d’audience définie, à usage unique, lié à une réponse spécifique ; l’algorithme est fixé, et les jetons sont invalidés à l’envoi.
Les administrateurs d’entreprise s’authentifient de la même manière que les sujets, via un lien magique vers un e-mail vérifié, dans un portail distinct et aveugle au contenu.
L’accès opérateur est limité à un petit nombre de membres du personnel nommément désignés via une interface d’administration protégée par environnement. Le personnel n’accède pas au contenu des retours dans le cours normal des opérations ; les accès à la base de données sont journalisés.

Chiffrement et transport

Standard, de bout en bout.

En transit : TLS 1.2+ pour chaque connexion : navigateur ↔ application, et application ↔ chaque sous-traitant.
Au repos : le chiffrement est assuré par chaque sous-traitant (liens dans le tableau ci-dessus) : Postgres géré par Supabase, runtime géré par Vercel, Resend, Stripe, PostHog.
Données de carte : gérées directement par Stripe via Checkout. Trueings ne voit ni ne stocke jamais les numéros de carte.
Secrets : les secrets applicatifs résident dans le coffre d’environnement chiffré de la plateforme ; la clé de base de données à rôle de service n’atteint jamais le navigateur.

Ce que nous ne prétendons pas

Les choses que nous préférons que vous lisiez ici plutôt que de ne pas les lire du tout.

Le contraire d’une page de sécurité marketing. Si un contrôle ou une certification ne figure pas ci-dessous, supposez que nous ne l’avons pas encore. Si c’est important pour votre évaluation, dites-le-nous et nous vous expliquerons le plan.

Pas de SOC 2

Nous n’avons pas réalisé d’audit SOC 2. Le Type I est prévu pour la phase B2B2C du marché intermédiaire ; nous publierons le rapport lorsqu’il sera prêt, et pas avant.

Pas d’ISO 27001

Non envisagé pour la version bêta. Nous le reconsidérerons lorsque la demande des acheteurs le justifiera.

Pas d’AIPD formelle au dossier

Une analyse d’impact relative à la protection des données est réservée à l’expansion dans la santé. Le produit actuel est RGPD dès la conception (confidentialité appliquée structurellement, et non par une politique) et documenté comme tel dans l’avis de confidentialité et le DPA.

Pas encore de CAPTCHA anti-robot sur le formulaire de connexion

La connexion par lien magique est limitée en débit et échoue en silence sur les tentatives d’énumération ; un CAPTCHA est prévu dans la feuille de route.

Non-conservation de données Anthropic : demandée, vérification en attente

Notre organisation Anthropic est sur le niveau Commercial et nous avons demandé la non-conservation (ZDR). L’avis de confidentialité et le DPA seront mis à jour, et les sujets existants reconsultés, dès que la couverture ZDR sera confirmée.

Revue de sécurité indépendante

Examiné au niveau du code source avant le lancement.

Le code a fait l’objet d’une revue de sécurité au niveau du code source le 2026-05-19. Aucune constatation critique n’a été identifiée. Tous les éléments de gravité élevée et moyenne soulevés par la revue ont été corrigés, à une exception près, documentée et acceptée comme un risque résiduel surveillable plutôt que prévenu (un cas limite de marionnette face au minimum d’anonymat).

La revue s’est concentrée sur l’authentification, le moteur d’entretien, le garde-fou de confidentialité, la facturation et les surfaces sujettes aux abus. Nous pouvons partager le périmètre et le résumé des corrections sur demande, dans le cadre d’un questionnaire fournisseur.

Notification des violations

72 heures, par écrit, avec ce que nous savons et ce que nous faisons.

Si nous prenons connaissance d’une violation de données personnelles affectant les données des sujets ou des répondants, nous en informerons le responsable du traitement concerné sans retard injustifié et dans les 72 heures lorsque la violation est susceptible d’engendrer un risque pour les personnes concernées, conformément à l’article 33 du RGPD. Les engagements procéduraux figurent dans l’accord de traitement des données.

Documents juridiques

Le contrat et les informations, en un seul endroit.

Avis de confidentialité

Ce que nous traitons, pourquoi, pendant combien de temps, et vos droits, pour les sujets et les répondants.

Conditions d’utilisation

Le contrat pour les sujets utilisant Trueings directement.

Contrat d’abonnement principal

Le contrat pour les entreprises achetant un pool de licences pour leurs collaborateurs.

Accord de traitement des données

Rôles, sous-traitants, conservation, transferts, mesures de sécurité, notification des violations.

Contact

Pour votre équipe de sécurité.

Pour un questionnaire fournisseur, un DPA contresigné, un abonnement aux notifications de changement de sous-traitant, ou toute question que cette page laisse ouverte, écrivez à teams@trueings.com. Nous répondons sous deux jours ouvrés.

Pour les demandes des personnes concernées (accès, suppression, portabilité), les sujets utilisent les contrôles de confidentialité intégrés au produit ; les répondants et les tiers peuvent écrire à privacy@trueings.com.