Conforme
RGPD
Registre des traitements à jour, AIPD réalisée pour les traitements à risque, DPO nommé, procédures d'exercice des droits documentées et automatisées dans l'application.
Conçu en France, hébergé en UE,
documenté pour passer les revues IT.
Scope manipule des informations stratégiques : briefs clients, RFP, chiffrages, contrats. Cette page documente, en clair, les mesures techniques et organisationnelles mises en œuvre pour les protéger.
01
Conformité réglementaire
Le référentiel de conformité Scope, son état d'avancement et les engagements contractuels associés.
En cours · T+12 mois
ISO 27001
Système de management de la sécurité de l'information (SMSI) en place. Audit de certification programmé sous 12 mois auprès d'un organisme accrédité COFRAC.
Roadmap
SOC 2 Type II
Implémentation du référentiel TSC (Security, Availability, Confidentiality) inscrite à la roadmap T+18 mois. Rapport disponible pour les clients Enterprise sous accord de confidentialité.
Sur demande Enterprise
HDS / SecNumCloud
Déploiement HDS (hébergement de données de santé) ou SecNumCloud envisageable pour les clients Enterprise sur cahier des charges. Surcoût et délais communiqués au cas par cas.
02
Hébergement et résidence des données
Toutes les données applicatives (Postgres, stockage objet, e-mails transactionnels) sont hébergées en Union européenne.
Supabase — Frankfurt (DE)
Postgres, Auth, Storage, Edge Functions. Région eu-central-1, sauvegardes chiffrées et redondées dans la même région.
Vercel — POP cdg1 (Paris, FR)
Rendu du site et des routes API. Edge Network mondial mais persistance des données interdite hors UE.
Mistral — Paris (FR)
Transcription audio, OCR et modèles de raisonnement EU disponibles en option Mode IA souverain.
Toutes les données applicatives résident en Union européenne.
03
Sécurité technique
Mesures de sécurité appliquées par défaut sur tous les comptes.
Chiffrement au repos AES-256
Postgres, stockage objet et sauvegardes chiffrés au repos via AES-256 (clés gérées par Supabase, rotations automatiques).
TLS 1.3 en transit
TLS 1.3 imposé sur toutes les communications externes. HSTS activé, cookies en SameSite=Lax et Secure.
MFA pour tous les utilisateurs
Authentification multifacteur disponible en TOTP et code email, obligatoire pour les rôles d'administration.
SSO et SAML
SSO Google Workspace et Microsoft Entra ID inclus dès le plan Team. SAML 2.0 générique (Okta, Ping, ADFS) inclus dans Business et Enterprise. Provisioning SCIM 2.0 réservé au plan Enterprise.
Audit logs immutables
Journal d'audit horodaté et consultable pendant 90 jours (Solo), 12 mois (Team et Business, détaillés sur Business), 24 mois SIEM-ready (Enterprise).
IP allowlisting
Filtrage par adresse IP source disponible sur le tier Enterprise pour restreindre l'accès au périmètre approuvé.
04
IA et confidentialité
Engagement contractuel sur l'usage que les sous-traitants IA peuvent faire de vos données — c'est-à-dire, aucun.
Vos données ne servent jamais à entraîner les modèles.
Les contrats signés avec Anthropic, Mistral et OpenAI (via OpenRouter) interdisent contractuellement l'usage de vos prompts et des réponses générées pour entraîner ou affiner les modèles. Les logs côté provider sont purgés sous 30 jours maximum.
Mode IA off disponible — plans Team, Business et Enterprise
Sur les plans Team, Business et Enterprise, un administrateur peut désactiver entièrement les appels IA sortants pour son organisation. Scope reste utilisable en édition manuelle.
| Fournisseur | Usage | Région |
|---|---|---|
| Anthropic Claude | Génération de note de cadrage et de propale | AWS Bedrock — Région Paris (eu-west-3) |
| Mistral | Transcription audio, OCR, modèles de raisonnement souverains | France (Paris) |
| OpenAI (via OpenRouter) | Modèles d'extraction structurée, fallback | États-Unis — passthrough OpenRouter |
05
Sous-traitants
La liste exhaustive et toujours à jour de nos sous-traitants, avec leur région et leurs certifications.
06
DPA, CGU, mentions légales
Documents contractuels mis à votre disposition.
Data Processing Agreement
Annexe RGPD à signer côté client si vous souhaitez un DPA dédié.
Conditions Générales d'Utilisation
Contrat-cadre encadrant l'utilisation du service Scope.
Politique de confidentialité
Conformité RGPD, durées de conservation, droits des personnes.
07
Contact RSSI / CISO
Questionnaires sécurité, audits, signalements de vulnérabilités : voici où écrire.
Comment on traite vos demandes
Scope est un projet solo : c'est le fondateur qui répond personnellement aux questionnaires sécurité, sous 5 jours ouvrés en moyenne. Pour les vulnérabilités, programme responsible disclosure public — pas de prime, mais une réponse rapide et une mention en remerciement publique si vous le souhaitez.
- Email :security@getscope.dev
- DPO :dpo@getscope.dev
- PGP :empreinte disponible sur demande
Écrire au pôle sécurité
Question RSSI, questionnaire sécurité, audit prévu : décrivez votre besoin, vous avez une réponse sous 48 h ouvrées.