Sécurité & conformité

Votre DSI a des questions.
Voici les réponses.

Quand nous déployons l'IA chez vous, nous travaillons dans le périmètre que votre équipe sécurité maîtrise déjà : hébergement en Suisse ou dans l'UE, aucun entraînement sur vos données, un DPA signé avec chaque fournisseur de la chaîne.

nLPD · RGPD · AI Act européen, alignés sur chaque déploiement

01 /Souveraineté

Trois niveaux d'hébergement. Le choix vous appartient.

StandardLe plus courant
SouverainRecommandé
LocalLe plus fermé
Hébergement
Europe
Suisse, Infomaniak
Vos serveurs
Juridiction
Européenne (RGPD)
Suisse (nLPD)
La vôtre
Modèles IA
API zéro rétention
API zéro rétention, résidence UE
Modèles locaux uniquement
Sortie réseau
Europe uniquement
Suisse uniquement
Aucune
Chiffrement
TLS 1.3 · AES-256
TLS 1.3 · AES-256
Selon votre politique
Entraînement
Jamais sur vos données
Jamais sur vos données
Jamais sur vos données
Idéal pour
La plupart des usages
Documents sensibles, secteurs régulés
Données qui ne doivent jamais transiter
  • nLPD / RGPD
  • Infomaniak, Suisse
  • Jamais d'entraînement sur vos données
02 /Ce que nous garantissons

Six engagements.
Zéro astérisque.

Aucun entraînement sur vos données

Rétention zéro activée chez chaque fournisseur que nous utilisons. Vos questions, vos documents et les réponses n'entraînent aucun modèle. Ni les nôtres, ni les leurs.

Hébergement souverain CH / UE

Index et vecteurs hébergés en Suisse ou dans l'UE, chez des fournisseurs sans exposition au droit américain. Ou directement dans votre propre cloud : vos DPA s'appliquent.

Vos droits d'accès respectés

Le déploiement hérite des permissions de vos systèmes sources. Un utilisateur ne voit que ce qu'il pouvait déjà ouvrir dans SharePoint, Drive ou votre ERP.

Chiffré de bout en bout

TLS 1.3 en transit, AES-256 au repos. Clés gérées par vos soins sur demande. Les secrets sont isolés par client, les vôtres compris.

Audité et testé

Test d'intrusion indépendant chaque année, scan de vulnérabilités en continu, grille d'évaluation revue avant chaque mise en production.

Tout est tracé

Chaque question, chaque source citée, chaque appel de modèle est journalisé. Export possible vers le SIEM que votre équipe conformité utilise déjà.

03 /DPA signés

Votre juriste demandera les DPA.
Ils sont déjà signés.

Fournisseurs de modèles IA

OpenAI

GPT-4 / GPT-4o · GPT sur mesure

Offre Enterprise avec rétention zéro. Résidence des données dans l’UE disponible.

En placeRésidence UE

Anthropic

Claude · Claude Projects

DPA commercial, aucun entraînement sur les données clients.

En placeUE / États-Unis

Mistral

Mistral Large · Codestral

Fournisseur souverain européen, hébergé en France.

En placeFrance

Microsoft

Azure OpenAI · Copilot

DPA Azure, Customer Lockbox, périmètre de données UE.

En placeSuisse / UE

Google

Gemini · Vertex AI

DPA Google Cloud avec engagements de localisation des données dans l’UE.

Sur demandeUE
Hébergement & infrastructure

Infomaniak

Hébergement souverain · Suisse

Entreprise suisse, données en Suisse. Aligné nLPD par défaut.

En placeSuisse

Exoscale

Cloud souverain · Suisse

IaaS suisse certifié ISO 27001.

En placeSuisse

OVHcloud

Hébergement souverain · UE

Régions France, Allemagne, Belgique. Qualifiable SecNumCloud.

En placeFrance / Allemagne

Votre tenant

Azure · GCP · AWS

Dans votre propre abonnement cloud. Vos DPA s’appliquent.

Sur demandeSous votre contrôle
Demander la copie d'un DPA
04 /Conformité

Trois cadres.
Alignés par défaut.

Données personnelles en Suisse et dans l'UE, systèmes d'IA sous l'AI Act européen : trois cadres dans lesquels nous travaillons sur chaque déploiement, avec les contrôles pour le prouver.

CadreJuridictionPérimètreCe que ça change pour vous
nLPDLoi suisse sur la protection des donnéesSuisseDonnées personnelles

Hébergement suisse disponible, registre des traitements tenu à jour, interlocuteur protection des données joignable.

RGPDRèglement général sur la protection des donnéesUEDonnées personnelles

Modèle de DPA prêt à signer, liste des sous-traitants publique, droit à l'effacement appliqué.

AI ActRèglement européen sur l'IAUESystèmes d'IA

Classification de risque revue à chaque déploiement, supervision humaine par défaut.

05/FAQ

Des réponses directes
aux questions sécurité.

Où sont hébergées nos données, exactement ?

Index, vecteurs et journaux restent dans la région que vous choisissez au cadrage : Suisse (Infomaniak ou Exoscale), UE (OVHcloud), ou votre propre tenant cloud (Azure, GCP, AWS). Un déploiement sur vos serveurs est possible quand la conformité l'exige. Vos documents bruts, eux, restent dans vos systèmes sources, sauf si vous demandez explicitement une copie.

Entraînez-vous des modèles sur nos données ?

Non. Vos questions, vos documents et les réponses n'entraînent aucun modèle, ni les nôtres, ni ceux d'un fournisseur. Nous activons le mode rétention zéro sur chaque API utilisée. Quand un fournisseur ne le propose pas, cette route est désactivée pour votre déploiement.

Avec quels fournisseurs avez-vous signé un DPA ?

OpenAI (offre Enterprise, rétention zéro), Anthropic, Mistral, Microsoft (Azure OpenAI et Copilot), plus nos hébergeurs Infomaniak, Exoscale et OVHcloud. Google Gemini est disponible sur demande. La copie de chaque DPA signé est consultable sous NDA : écrivez à thibault@bumps-agency.ch.

Et vos sous-traitants ?

Notre liste de sous-traitants est publique et versionnée. Tout changement est notifié 30 jours à l'avance, avec un droit d'objection inscrit dans le DPA. Si un fournisseur est sur votre liste noire, nous passons par une alternative.

Comment obtenir votre DPA ?

Notre modèle de DPA part sous 24 h après demande. Nous signons aussi votre propre modèle sans friction quand le fond est équivalent. Envoi signé PGP possible sur demande.

Que se passe-t-il si l'un de vos fournisseurs IA subit une fuite ?

La notification d'incident fait partie de chaque DPA que nous signons : le fournisseur doit nous alerter sous 72 h. Nous vous prévenons sous 24 h après réception de l'alerte, avant même l'échéance réglementaire. Notre procédure de réponse à incident fait partie du dossier sécurité.

Pouvons-nous auditer Atlas nous-mêmes ?

Oui. Vous avez accès en lecture aux journaux de questions, à la traçabilité des sources réponse par réponse, et à notre grille d'évaluation exécutée sur vos données. Nous fournissons la documentation d'architecture et l'inventaire des connecteurs. Besoin d'une session avec votre DSI ? Nous la planifions.

Que devient le système si BUMPSLAB cesse son activité ?

L'index Atlas, les connecteurs, la documentation d'architecture et les comptes administrateurs vous appartiennent. Le dossier sécurité inclut un plan de migration vers un autre prestataire. Rien de propriétaire ne vous empêche de reprendre le système en interne.

06 /Dossier sécurité

Apportez ce dossier à votre DSI.

Le dossier sécurité complet : modèle de DPA, liste des sous-traitants, schéma d'architecture, synthèse du dernier test d'intrusion, procédure de réponse à incident. Un seul PDF pour votre revue sécurité.

Contact
thibault@bumps-agency.ch
Délai de réponse
Sous 24 h