manibor
Paris · MMXXVIEN/FR
Folio № 001 / FY26 · Pack conformitéDernière révision · 2026-05-14

Conformité & sécurité.

Nous sommes un studio d’ingénierie IA de production, pas un CISO externalisé. Ci-dessous, la posture sur laquelle nous nous engageons aujourd’hui, les documents partagés sous NDA, et les contrôles mis en œuvre. Un appel de 30 minutes avec votre équipe sécurité ou votre DPO est toujours possible pour dérouler le tout.

1. Posture

Nous construisons des fonctionnalités IA qui touchent des données utilisateurs réelles dans des environnements régulés. Nous traitons donc la gestion des données, l’auditabilité et les conditions contractuelles des fournisseurs de modèles comme une partie intégrante du périmètre d’ingénierie, pas comme une ligne conformité ajoutée après coup.

Nous sommes conformes RGPD. Nous ne sommes pas certifiés ISO 27001 ni SOC 2 à ce jour. Quand un client en a besoin, nous opérons à l’intérieur de son enveloppe sécurité (son fournisseur d’identité, son cloud, son logging) et documentons notre part de la matrice de contrôles.

2. Résidence des données

  • Infrastructure par défaut : Vercel (edge US avec régions UE disponibles), Postgres hébergé en UE, inférence des modèles en région UE quand le fournisseur la propose.
  • Mode UE uniquement (sur demande) :Vercel en région UE pinned, hébergement OVH ou Scaleway, inférence via Anthropic sur AWS Bedrock UE, OpenAI sur Azure UE, ou Mistral (natif FR). Le flux de données et la surface d’egress sont documentés dans le livrable architecture.
  • Mode tenant client : nous déployons dans votre VPC, votre compte cloud, votre plateforme de containers. Aucune donnée ne quitte votre périmètre.

3. Fournisseurs de modèles & traitement des données

  • Anthropic, OpenAI, Mistral, Google Vertex.Contrats entreprise quand le périmètre ou le secteur l’exige. Zéro rétention des données et pas d’entraînement sur vos données sont des défauts contractuels sur les tiers entreprise utilisés.
  • Nous remontons les DPA des fournisseurs de modèles au client et alignons les fenêtres de rétention sur le plus strict de (a) la valeur par défaut du fournisseur, (b) votre DPA, (c) le plancher réglementaire de votre secteur.
  • Quand le cas d’usage le permet, nous minimisons les prompts bruts : expurgation des identifiants personnels, tokenization des champs sensibles, sorties structurées plutôt que texte libre quand l’agent ne s’en trouve pas dégradé.

4. Sous-traitants

Notre stack standard de sous-traitants pour un engagement type. La liste exacte est définie par projet et partagée par écrit.

  • Hébergement : Vercel Inc. (US, régions UE disponibles)
  • Fournisseurs de modèles : Anthropic PBC (US), OpenAI LLC (US), Mistral AI (FR), Google LLC (US, régions UE Vertex)
  • Base de données : Neon, Supabase, ou Postgres fourni par le client
  • Recherche vectorielle : pgvector dans la base du projet, ou Pinecone UE quand l’échelle l’impose
  • Observabilité : Axiom, Logflare, ou la stack d’observabilité du client
  • Email : Resend ou Postmark sur demande

La liste est mise à jour en cours d’engagement si nous ajoutons ou retirons un sous-traitant, avec préavis.

5. Mesures techniques & organisationnelles (MTO)

  • Contrôle d’accès : moindre privilège par défaut. Les ingénieurs accèdent uniquement aux dépôts et environnements de leur mission. MFA imposé sur toutes les surfaces admin (Vercel, fournisseurs de modèles, Postgres, GitHub).
  • Gestion des secrets :variables d’environnement chiffrées Vercel ou le secrets manager du client. Aucun secret en repo, aucun secret en log.
  • Chiffrement : TLS 1.2+ en transit, AES-256 au repos sur les providers managés. Sauvegardes base chiffrées.
  • Logs & audit :logs structurés avec expurgation PII avant écriture. Rétention par défaut 90 jours, configurable par engagement. Les traces d’utilisation d’outils des agents IA sont enregistrées pour évaluation et analyse d’incident.
  • Réponse à incident :accusé de réception sous 24 heures après détection, post-mortem sous 7 jours, contact nommé pendant l’engagement et la garantie 30 jours. Retainer optionnel pour une couverture on-call prolongée.
  • Sortie d’un ingénieur : accès révoqué le jour où la mission se termine, journalisé.

6. Données personnelles & sensibles

  • Les identifiants personnels sont minimisés à l’ingestion. Nous ne collectons pas ce que nous n’utiliserons pas.
  • Les logs sont expurgés avant stockage. Logging par défaut en opt-in pour tout ce qui pourrait capturer du contenu utilisateur.
  • Nous n’entraînons jamais sur vos données. Nos sous-traitants n’entraînent jamais sur vos données (contractuellement, sur les tiers entreprise utilisés).
  • Les flux de droit d’accès, de rectification et d’effacement sont pensés dès la conception pour tout agent qui touche des utilisateurs identifiables.

7. Hors périmètre

Ce qui suit ne fait pas partie de la livraison par défaut et nécessite un sous-engagement scopé, un partenaire, ou les deux :

  • Manipulation de données carte PCI-DSS au-delà des références tokenisées
  • Workloads HIPAA / PHI (nous supportons les données de santé UE sous RGPD et le futur cadre EHDS sur demande)
  • Environnements classifiés ou de défense
  • Livrables d’audit SOC 2 ou ISO 27001 produits par nous (nous supportons l’audit, nous ne le rédigeons pas)

8. Documents disponibles sur demande

Sous NDA, avant ou pendant l’engagement :

  • Template de DPA aligné sur les CCS de l’UE
  • Liste complète des sous-traitants avec pays de traitement
  • MTO en une page (cette page, condensée)
  • Schéma d’architecture du flux de données pour votre périmètre
  • Réponse à votre questionnaire sécurité (les plus courants traités en moins de 5 jours ouvrés)
  • Support et revue d’AIPD
  • Template NDA (ou signature du vôtre)

9. Contact

Demandes sécurité, conformité, DPO : jerome@manibor.com. Réponse initiale sous un jour ouvré.

← Retour à manibor.com