Confiance & Sécurité
L'IA en confiance.
Pas des promesses — des mécanismes.
Des PME nous confient leurs données métier, leurs processus internes, parfois leur infrastructure.
Nous sommes une structure jeune. Nos engagements sont réels, nos processus évoluent avec chaque projet, et cette page reflète l'état de notre pratique à date — pas des promesses creuses.
Ce document explique précisément ce que nous faisons avec ces données, qui y accède, où elles sont traitées et comment nous gérons les risques.
Mise à jour · Mai 2026
Résidence des données
Où vos données sont-elles traitées ?
Nous travaillons avec trois familles de modèles de langage. Le choix du modèle pour chaque projet dépend de vos exigences de souveraineté, du cas d'usage et des performances techniques requises.
| Fournisseur | Type d'accès | Siège légal | Traitement des données | Résidence UE | DPA |
|---|---|---|---|---|---|
| Mistral AI | API LLM européenne | Paris, France 🇫🇷 | UE selon offre et configuration | Priorité UE documentée, pas France uniquement | Oui |
| Anthropic | API LLM commerciale | San Francisco, US 🇺🇸 | US via API directe · UE via AWS Bedrock ou Vertex AI configuré | Via cloud UE ; le cloud est alors le processeur | Oui (API commerciale) |
| OpenAI | API LLM commerciale | San Francisco, US 🇺🇸 | US par défaut · UE selon offre et contrat éligibles | À confirmer au contrat selon l'offre | Oui |
Notre approche
Pour les projets nécessitant la souveraineté la plus stricte (données personnelles sensibles, finance, santé) : nous recommandons un fournisseur européen ou un déploiement self-hosted. Nous ne promettons pas un traitement « France uniquement » sans l'avoir vérifié contractuellement.
Pour les projets où les performances d'un fournisseur américain sont justifiées par le cas d'usage, nous configurons le pipeline via une région cloud UE lorsque l'offre et le contrat le permettent. Dans ce cas, le fournisseur cloud est généralement le processeur opérationnel et les limites de souveraineté restantes sont documentées.
Nous pouvons également déployer des modèles open-source adaptés au cas d'usage sur l'infrastructure de votre choix ou sur nos serveurs Hetzner (DE), pour un traitement 100 % UE sans aucun appel vers un fournisseur tiers.
Le site olixid.com est hébergé sur les serveurs Hetzner Online GmbH (Gunzenhausen, Allemagne).
RGPD
Notre posture RGPD
OLIXID agit en qualité de sous-traitant au sens de l'article 4(8) du RGPD pour les traitements de données personnelles opérés dans le cadre de vos projets. Le contrat de sous-traitance relève de l'article 28. Vous restez responsable de traitement.
Base légale
Le traitement repose sur l'exécution du contrat (Art. 6.1.b) et, pour les traitements annexes (amélioration du service, suivi qualité), sur l'intérêt légitime (Art. 6.1.f). Aucune donnée personnelle de vos utilisateurs finaux n'est utilisée pour entraîner des modèles d'IA tiers.
Accord de sous-traitance (DPA)
Un DPA conforme à l'article 28 est disponible à la signature pour tout projet. Il couvre les catégories de données traitées et leurs finalités, les mesures de sécurité techniques et organisationnelles, les délais de suppression, la liste des sous-traitants ultérieurs, et les modalités d'audit et de notification d'incident.
Minimisation
Dans chaque projet, nous configurons nos systèmes pour ne traiter que les données strictement nécessaires au cas d'usage défini. Les prompts envoyés aux API LLM ne contiennent pas de données personnelles identifiantes sauf nécessité technique documentée. La pseudonymisation ou l'anonymisation en amont est notre pratique standard pour tout pipeline RAG ou agent IA manipulant des données sensibles.
Rétention
Données de projet (code, configurations, fichiers) : durée du contrat + 12 mois, puis suppression. Logs d'appels API LLM : selon fournisseur et contrat ; Anthropic API et Mistral API documentent une conservation jusqu'à 30 jours, et les options de Zero Data Retention dépendent des offres et validations fournisseur. Données du formulaire de contact : 12 mois maximum. Sauvegardes : supprimées dans les 30 jours suivant la fin du contrat.
Droits des personnes
Si vos utilisateurs finaux exercent leurs droits (accès, rectification, effacement, limitation du traitement, portabilité, opposition) auprès de vous en tant que responsable de traitement, nous vous apportons notre assistance technique dans un délai de 5 jours ouvrés.
Transferts hors UE
Pour les traitements impliquant un fournisseur hors UE sans résidence UE activée, les transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne. Ces transferts sont documentés dans le DPA.
Contact RGPD
Pour toute question relative à la protection des données :
privacy@olixid.com
OLIXID SAS, 1 rue Marguerin, 75014 Paris, France
En cas de litige, vous pouvez également saisir la CNIL : www.cnil.fr
Règlement IA européen
Notre positionnement face au Règlement IA (UE) 2024/1689
Quel rôle joue OLIXID ?
Le Règlement IA distingue plusieurs acteurs. Selon le projet, OLIXID se trouve dans l'une ou l'autre situation :
Déployeur (Article 3.4)
Lorsque nous intégrons un système IA tiers dans votre environnement, sous votre autorité et pour votre usage. La majorité de nos missions.
Fournisseur (Article 3.3)
Lorsque nous développons un système IA sous notre nom ou notre marque et le mettons sur le marché — typiquement un agent IA livré et exploité en autonomie. Dans ce cas, les obligations de fournisseur nous incombent.
Cette distinction est documentée contractuellement dans chaque engagement.
Classification des risques
Le Règlement établit 4 niveaux de risque. La quasi-totalité des systèmes que nous construisons pour des PME relève de la catégorie « risque limité » ou « risque minimal » :
| Niveau | Exemples | Obligations principales |
|---|---|---|
| Risque minimal | Reporting automatisé, génération de contenu interne | Aucune (bonnes pratiques recommandées) |
| Risque limité | Chatbots client, résumés de documents, agents de devis | Transparence envers l'utilisateur final (Art. 50) |
| Risque élevé (Annexe III) | Scoring crédit, recrutement, accès à la formation | Documentation, supervision humaine, enregistrement |
| Pratiques interdites | Notation sociale, IA de manipulation — jamais dans notre scope | Interdit |
Lors du diagnostic, nous évaluons le niveau de risque de chaque cas d'usage. Si un système atteint le seuil « risque élevé », nous en informons le client et adaptons les livrables (documentation, pistes d'audit, supervision humaine obligatoire). Les systèmes IA intégrés à des produits réglementés, comme certains dispositifs médicaux, relèvent d'un autre régime de risque élevé (Art. 6(1) et Annexe I).
Transparence et supervision humaine
- L'utilisateur final est informé qu'il interagit avec un système IA (Art. 50).
- Une sortie de secours humaine est prévue dans chaque projet concerné (l'IA propose, l'humain valide).
- Les décisions à fort enjeu (financier, RH, contractuel) ne sont jamais entièrement automatisées sans validation humaine explicite.
Calendrier d'application
| Date | Entrée en vigueur |
|---|---|
| 2 févr. 2025 | Interdiction des pratiques IA prohibées et obligations de culture IA (Art. 4) |
| 2 août 2025 | Obligations modèles à usage général (GPAI) |
| 2 août 2026 | Obligations complètes systèmes à risque élevé (Annexe III) |
| 2 août 2027 | Systèmes embarqués dans produits réglementés (Annexe I) |
Qualité & fiabilité
L'engagement anti-hallucination
Dans chaque projet, nos systèmes sont conçus pour que chaque réponse cite sa source. Si aucune source n'est disponible, le système signale explicitement qu'un humain doit prendre le relais.
Architecture RAG
Le modèle est configuré pour répondre à partir d'une base documentaire contrôlée par votre entreprise, pas depuis ses paramètres.
Référencement obligatoire
Chaque assertion factuelle est tracée jusqu'au document source (page, paragraphe, référence interne). Vos équipes peuvent vérifier l'origine de l'information.
Garde-fous de confiance
Si le score de confiance est insuffisant, le système oriente vers un humain plutôt que de produire une réponse non étayée.
Monitoring continu
Les réponses font l'objet d'un monitoring continu. Les dérives sont identifiées et corrigées dans le cadre du suivi projet.
Piste d'audit complète
Chaque interaction est journalisée avec son contexte documentaire. Vos équipes peuvent auditer ces historiques.
Cet engagement est intégré à chaque projet RAG, agent documentaire ou assistant interne. Il ne s'applique pas de la même manière aux systèmes de génération créative ou aux pipelines de classification.
Sécurité
Notre socle de sécurité
OLIXID n'est pas certifié ISO 27001 ni SOC 2. Nous appliquons un socle de sécurité rigoureux et nous discutons de certifications spécifiques si votre projet ou votre secteur l'exige. Ce que nous faisons concrètement :
Gestion des secrets
- Aucun secret (clé API, mot de passe, token) n'est commité dans un dépôt de code.
- Utilisation de gestionnaires de secrets dans les environnements de développement, staging et production concernés.
- Rotation des clés API à chaque fin de projet ou au départ d'un collaborateur.
Contrôle des accès
- Principe du moindre privilège : chaque membre de l'équipe n'a accès qu'aux ressources nécessaires à sa mission.
- Accès au code client : limité aux ingénieurs assignés au projet.
- Authentification à deux facteurs (2FA) obligatoire sur tous les outils.
- Révocation immédiate des accès en fin de projet.
Dépôts de code
- Code source des projets clients hébergé sur des dépôts GitHub privés, sous organisation dédiée ou transférés vers votre propre organisation à la livraison.
- Pas de code client dans des dépôts publics.
- Revues de code croisées avant chaque merge en production.
Chiffrement
- Données en transit : TLS 1.2 minimum, TLS 1.3 recommandé.
- Données au repos : chiffrement AES-256 pour toutes les bases et sauvegardes hébergées.
- Communications internes : chiffrées de bout en bout.
Réponse aux incidents
- Détection et confinement : dans les meilleurs délais suivant la détection.
- Notification au client : dans les 24 heures ouvrées suivant la détection.
- Notification CNIL si la violation de données personnelles présente un risque pour les personnes : dans les 72 heures (Art. 33 RGPD).
- Rapport d'incident : transmis dans les 5 jours ouvrés.
Délais de suppression
- Fin de projet : suppression des données client dans les 30 jours calendaires.
- Logs de débogage : supprimés dans les 7 jours.
- Environnements de staging : désactivés et supprimés dans les 72 heures après livraison.
Propriété intellectuelle
Vous êtes propriétaire de tout ce qu'on livre.
À la livraison et au solde du projet, le code source, les modèles entraînés, les configurations, les pipelines et la documentation appartiennent intégralement au client. Le transfert de propriété est effectif dès le solde de chaque jalon. En cas d'interruption du projet, les livrables intermédiaires déjà soldés restent votre propriété. OLIXID ne conserve aucun droit de propriété sur les livrables.
Code source
Transféré via GitHub (dépôt cédé ou PR acceptée dans votre organisation). Vous avez accès au code intégral dès le premier sprint, pas seulement à la livraison finale.
Modèles fine-tunés
Les poids de modèle entraînés sur vos données vous appartiennent. Ils sont stockés dans votre environnement cloud ou transférés sur vos serveurs.
Données d'entraînement
Les données et annotations restent sous votre contrôle. OLIXID n'y accède qu'aux fins du projet.
Secrets et credentials
Toutes les clés API et identifiants utilisés pour votre infrastructure vous sont transférés à la fin du projet.
Licences open source
Lorsque nous intégrons des bibliothèques open source, nous documentons les licences applicables (MIT, Apache 2.0, etc.). Aucune bibliothèque à licence restrictive (GPL copyleft) n'est intégrée sans validation expresse du client.
OLIXID peut se référer à votre projet comme référence commerciale (secteur, type d'usage, résultat générique) — sauf accord de confidentialité spécifique.
Sous-traitants
Liste de nos sous-traitants
Tout nouveau sous-traitant est notifié aux clients concernés avec un préavis de 30 jours.
| Sous-traitant | Service | Siège | Zone de traitement | Données traitées |
|---|---|---|---|---|
| Anthropic, PBC | API LLM | San Francisco, US | US / UE via cloud configuré (AWS ou Google processeur) | Prompts et contexte (projets concernés) |
| Mistral AI SAS | API LLM | Paris, France 🇫🇷 | UE selon offre et configuration | Prompts et contexte (projets concernés) |
| OpenAI, LLC | API LLM | San Francisco, US | US / UE selon offre et contrat éligibles | Prompts et contexte (projets concernés) |
| Hetzner Online GmbH | Hébergement serveurs | Gunzenhausen, DE 🇩🇪 | Allemagne (UE) | Infrastructure, code, BDD |
| Cloudflare, Inc. | CDN, DDoS, Turnstile | San Francisco, US | Réseau edge mondial (incluant UE et US) | Requêtes HTTP, IPs anonymisées |
| Plus Five Five, Inc. (Resend) | Envoi d'emails transactionnels | US | US | Adresses e-mail, contenu |
| GitHub, Inc. (Microsoft) | Hébergement code source | San Francisco, US | US (contrôleur UE : GitHub B.V., Pays-Bas) | Code source, issues, CI/CD |
Les sous-traitants marqués « projets concernés » ne traitent des données que pour les projets configurés avec leur API. Un projet utilisant exclusivement un fournisseur ou un déploiement self-hosted ne transmet aucune donnée aux autres fournisseurs LLM.
Logiciels auto-hébergés
Ces logiciels sont exploités par OLIXID sur notre infrastructure. Les données ne sont pas transmises à l'éditeur du logiciel ; le sous-traitant d'hébergement reste Hetzner.
| Logiciel | Éditeur | Licence | Service | Hébergement | Données traitées |
|---|---|---|---|---|---|
| Twenty | Twenty.com PBC | AGPL-3.0 | CRM interne (données commerciales Olixid uniquement) | Hetzner (opéré par OLIXID) | Contacts clients, historique commercial |
| Umami | umami-software | MIT | Analytics web | Hetzner (opéré par OLIXID) | Pages vues, sessions anonymisées |
Amélioration continue
Audit & amélioration continue
Ce document est mis à jour chaque trimestre et à chaque changement structurant (nouveau sous-traitant, nouveau modèle LLM intégré à un projet, évolution réglementaire).
- Revue sécurité interne : régulière — accès, secrets, dépôts, configurations.
- Veille réglementaire : suivi actif des publications CNIL, EDPB et Parlement européen (AI Act, ePrivacy, Data Act).
- Revue des sous-traitants : annuelle — vérification que chaque sous-traitant maintient ses engagements RGPD.
Questions fréquentes
Mes données sont-elles utilisées pour entraîner les modèles d'IA ?
Non. Nous sélectionnons des offres API commerciales dont les conditions excluent par défaut l'entraînement sur les données client. Ce point est vérifié dans le DPA ou les conditions contractuelles à chaque projet.
Pouvez-vous traiter mes données 100 % en France ou dans l'UE ?
Pour un traitement 100 % UE, oui : nous pouvons utiliser un fournisseur européen ou déployer un modèle open source adapté sur nos serveurs Hetzner Allemagne ou votre propre infrastructure. Pour un traitement 100 % France, nous le confirmons au cas par cas selon l'infrastructure et le contrat retenus.
Êtes-vous certifiés ISO 27001 ou SOC 2 ?
Non. Nous appliquons un socle de sécurité rigoureux (gestion des secrets, chiffrement, contrôle d'accès, revue de code) et nous nous engageons à discuter de certifications spécifiques si votre projet ou votre secteur l'exige.
À qui appartient le code et les modèles que vous développez ?
Au client, intégralement, à la livraison et au solde du projet. Pas d'exception. Vous avez accès au code dès le premier sprint et le dépôt peut être transféré à votre organisation GitHub.
Comment gérez-vous les hallucinations des modèles ?
Pour les agents documentaires, nous configurons une architecture RAG : le modèle est orienté vers une base contrôlée par votre entreprise, chaque réponse doit citer sa source, et un score de confiance déclenche l'escalade vers un humain si nécessaire. Une piste d'audit complète permet de tracer chaque interaction.
Contact
Une question sur la sécurité ou vos données ?
Deux adresses, deux réponses dans les 2 jours ouvrés :
security@olixid.com
Incidents de sécurité, questions techniques
privacy@olixid.com
RGPD, exercice de droits, DPA
Ou par courrier : OLIXID SAS — 1 rue Marguerin — 75014 Paris, France
Pour toute réclamation CNIL : www.cnil.fr
