Chez Relevante.IA, la securite des donnees de nos clients est une priorite fondamentale. Cette page decrit les mesures techniques et organisationnelles que nous mettons en oeuvre pour proteger vos informations.
1. Architecture de securite
1.1 Infrastructure
| Composant | Detail |
|---|---|
| Hebergement frontend | Vercel (CDN global, edge network, certificats SSL automatiques) |
| Hebergement backend | Railway (conteneurs isoles, infrastructure geree) |
| Base de donnees | Supabase (PostgreSQL gere avec sauvegardes automatiques, chiffrement au repos) |
| File de taches | Redis sur Railway (connexion chiffree, pas de persistance de donnees sensibles) |
| Traitement des paiements | Stripe (certifie PCI-DSS Level 1) |
1.2 Chiffrement
- Chiffrement en transit : toutes les communications utilisent HTTPS/TLS 1.2+ de bout en bout.
- Chiffrement des mots de passe : stockes avec hash bcrypt via Supabase Auth. Jamais stockes en clair.
- Chiffrement des identifiants d'integration : les mots de passe WordPress et les jetons OAuth de Google Search Console sont chiffres avec AES-256-GCM avant d'etre stockes dans la base de donnees.
- Chiffrement au repos : la base de donnees Supabase chiffre les donnees stockees via le chiffrement du disque.
1.3 Authentification et controle d'acces
- Authentification par JWT (JSON Web Token) avec verification a chaque requete au serveur.
- Support de Google OAuth 2.0 comme methode d'authentification alternative.
- Row Level Security (RLS) sur toutes les tables de la base de donnees : chaque utilisateur ne peut acceder qu'a ses propres donnees.
- Controle d'acces base sur les roles : separation stricte entre utilisateurs standard et administrateurs.
- Jeton interne dedie pour la communication serveur-worker (isolation des processus internes).
2. Protection de l'application
2.1 Securite serveur
- En-tetes HTTP de securite (Helmet) : Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security, Referrer-Policy.
- Protection CORS : liste blanche stricte des origines autorisees (ALLOWED_ORIGINS).
- Limitation du debit : 100 requetes par minute par utilisateur pour prevenir les abus.
- Limitation du debit specifique : 1 audit gratuit par IP et par jour.
- Validation des entrees sur tous les endpoints API.
- Protection contre les injections SQL via des requetes parametrees (client Supabase).
2.2 Securite frontend
- Aucun secret ou cle API stocke dans le code frontend.
- Variables d'environnement separees pour le frontend (uniquement cles publiques) et le backend (cles privees).
- Assainissement des entrees utilisateur avant rendu.
2.3 Securite des integrations
- WordPress : les identifiants (Application Passwords) sont chiffres avec AES-256-GCM et transmis par HTTPS. Ils sont supprimes immediatement a la deconnexion.
- Google Search Console : authentification OAuth 2.0 standard. Les refresh tokens sont chiffres avec AES-256-GCM. Revocables a tout moment.
- Bing Webmaster Tools : cle API fournie par l'utilisateur, chiffree avec AES-256-GCM. Pas d'OAuth ; connexion directe. Suppressible a tout moment.
- Shopify (en attente d'approbation) : OAuth 2.0 Authorization Code Grant. Jetons d'acces chiffres avec AES-256-GCM. Limitation de debit preventive (bucket 40, leak 2/s). Relevante.IA n'accede pas aux donnees clients ni aux commandes de la boutique.
- Stripe : traitement des paiements entierement delegue a Stripe. Relevante.IA n'accede jamais aux donnees completes des cartes bancaires.
3. Gestion des donnees
3.1 Minimisation des donnees
- Nous ne collectons que les donnees strictement necessaires a la fourniture du service.
- Les prompts envoyes aux prestataires d'IA ne contiennent que des donnees publiques sur l'entreprise de l'utilisateur (contenu web, denomination commerciale). Aucune donnee personnelle n'est envoyee (e-mail, mot de passe, donnees de paiement).
- Le systeme d'optimisation de contexte (SRO Skill Context) reduit le volume de donnees envoyees a l'IA d'environ 35 % par rapport a un envoi complet.
3.2 Isolation des donnees
- Chaque entreprise opere comme racine d'agregat dans la base de donnees avec des relations isolees.
- Row Level Security (RLS) garantit qu'un utilisateur ne peut en aucun cas acceder aux donnees d'un autre utilisateur.
- Les jobs asynchrones (BullMQ) sont traites dans des workers isoles avec un jeton interne dedie.
3.3 Conservation et suppression
- Les periodes de conservation sont definies dans la Politique de confidentialite.
- A l'annulation du compte, les identifiants d'integration sont supprimes immediatement.
- Apres l'ecoulement des periodes de conservation, les donnees sont supprimees de maniere irreversible ou anonymisees.
- L'utilisateur peut demander l'exportation de ses donnees au format JSON avant l'annulation.
4. Prestataires d'IA et securite
| Prestataire | Donnees recues | Usage pour entrainement | Garantie |
|---|---|---|---|
| DeepSeek V3 | Contenu public du site web, nom de l'entreprise | Non (opt-out actif) | CCT + TIA |
| Anthropic (Claude) | Contenu public du site web, nom de l'entreprise | Non (opt-out actif) | CCT + DPF |
| OpenAI | Fragments de texte pour embeddings, requetes M3 | Non (usage API, opt-out) | CCT + DPF |
| Perplexity | Nom de l'entreprise, requetes de visibilite | Non (usage API) | CCT |
| Google Gemini | Requetes de visibilite M3 | Non (usage API, opt-out) | CCT + DPF |
Les utilisateurs peuvent demander que leurs analyses soient traitees exclusivement avec des prestataires bases aux Etats-Unis/UE (excluant DeepSeek) en ecrivant a contacto@relevanteia.com.
5. Reponse aux incidents
- Monitoring continu des erreurs et anomalies sur la plateforme.
- Journaux d'erreurs (error_logs) et journaux d'utilisation d'API (api_usage_logs) pour la detection de comportements anormaux.
- En cas de violation de securite affectant des donnees personnelles, nous notifierons l'autorite competente de protection des donnees dans un delai maximum de 72 heures conformement a l'article 33 du RGPD.
- Les utilisateurs affectes seront notifies sans retard injustifie conformement a l'article 34 du RGPD lorsque la violation peut presenter un risque eleve pour leurs droits et libertes.
6. Sauvegardes
- Sauvegardes automatiques de la base de donnees (Supabase managed backups).
- Snapshots des pages WordPress avant toute modification, permettant un rollback complet.
- Historique des versions des pages modifiees via l'integration WordPress.
7. Amelioration continue
Nous revoyons et mettons a jour periodiquement nos mesures de securite pour nous adapter aux nouvelles menaces et aux meilleures pratiques. Si vous avez des questions sur notre securite ou souhaitez signaler une vulnerabilite, contactez-nous a contacto@relevanteia.com.
Divulgation responsable :
Si vous decouvrez une vulnerabilite de securite dans notre plateforme, nous vous demandons de la communiquer de maniere responsable avant toute divulgation publique. Nous nous engageons a enqueter et a resoudre toute vulnerabilite verifiee dans les plus brefs delais.
8. Contact
- Email: contacto@relevanteia.com
- Barcelone, Espagne