Cette notice décrit les mesures techniques et organisationnelles de la plateforme ORBIT (diagnostic en ligne et espace de pilotage). Elle complète la politique de confidentialité (traitements et droits RGPD) et les CGU. Elle s'applique au périmètre édité par Net It Be.
1. Hébergement et localisation
- Données applicatives (diagnostics, plans d'action, projets) : hébergées par Supabase à Paris, France (région AWS eu-west-3).
- Site et fonctions serveur : servis par Netlify (États-Unis), encadré par des clauses contractuelles types — aucune donnée applicative n'y est stockée durablement.
- Traitement IA : inférence exécutée par Nebius dans un data center à Mäntsälä, Finlande (Union européenne).
2. Modèle d'IA et données
Le diagnostic et les fonctions IA reposent sur GLM-5.2, modèle à poids ouverts, exécuté via Nebius. Les contenus soumis ne sont ni conservés par le fournisseur d'inférence, ni réutilisés pour entraîner les modèles. Le traitement est réalisé côté serveur, sans exposition au navigateur. Détail : l'IA souveraine derrière ORBIT.
3. Chiffrement
- En transit : tous les échanges sont chiffrés en HTTPS/TLS.
- Au repos : la base de données et les fichiers sont chiffrés par l'hébergeur de données (standard AES-256 sur l'infrastructure AWS utilisée par Supabase).
4. Sauvegardes
La base de données fait l'objet de sauvegardes automatiques quotidiennes opérées par l'hébergeur, avec une rétention glissante de 7 jours, permettant une restauration en cas d'incident majeur.
5. Comptes et contrôle d'accès
- Authentification par e-mail et mot de passe haché (jamais accessible en clair), ou par lien d'accès sécurisé non devinable, à traiter comme un secret.
- Rôles par projet : le titulaire invite les membres et attribue les droits.
- Base fermée par défaut : les données ne sont ni lisibles ni modifiables directement depuis le navigateur ; tous les accès passent par le serveur, qui vérifie les droits à chaque requête.
6. Journalisation
- Journal applicatif : chaque action sur un plan (statut, échéance, commentaire…) est tracée et attribuable à son auteur ; ce fil d'activité est conservé avec le projet.
- Journaux techniques (adresses IP, horodatages) : conservés temporairement par nos hébergeurs à des fins de sécurité, selon leurs politiques (de l'ordre de quelques jours à quelques semaines).
7. Durées de conservation
Détaillées dans la politique de confidentialité : diagnostics et projets conservés pendant l'utilisation du service, supprimés à votre demande ou après 3 ans d'inactivité ; contacts prospects 3 ans après le dernier contact.
8. Entraînement des modèles
Vos données ne servent jamais à entraîner des modèles d'IA — ni les nôtres (nous n'en entraînons pas), ni ceux de nos fournisseurs (engagement contractuel de non-réutilisation).
9. Suppression des données
Suppression complète d'un diagnostic, d'un projet ou d'un compte sur simple demande (effet cascade sur les données liées : étapes, commentaires, journal, livrables), et automatiquement après 3 ans d'inactivité. Droit d'effacement exercé sous un mois.
10. Sous-traitants
Six sous-traitants, listés nominativement avec rôle et localisation dans la politique de confidentialité : Supabase (données, Paris), Netlify (site, États-Unis — CCT), Nebius (IA, UE), Mailjet/Sinch (e-mails, France), PDFShift (PDF, France), AssemblyAI (transcription, États-Unis — CCT).
11. Gestion des incidents
- En cas de violation de données susceptible d'engendrer un risque : notification à la CNIL dans les 72 heures (art. 33 RGPD).
- En cas de risque élevé pour les personnes : information des utilisateurs concernés sans retard injustifié (art. 34 RGPD).
- Tenue d'un registre interne des violations ; correction et retour d'expérience systématiques.
- Signalement d'une faille ou d'un comportement anormal : contact@net-it-be.com.
12. Export et réversibilité
- Export PDF du plan d'action et de l'avancement, à tout moment, en un clic.
- Restitution des données structurées (format JSON ou CSV) sur demande, sous un mois.
- Aucune dépendance verrouillante : la fin du service donne lieu à restitution puis suppression complète des données.
Une question sur la sécurité de vos données ? Écrivez-nous — nous répondons précisément, point par point.
Nous contacter →