Conforme
RGPD
Registre des traitements à jour, AIPD réalisée pour les traitements à risque, DPO nommé, procédures d'exercice des droits documentées et automatisées dans l'application.
Conçu en France, hébergé en UE,
audité de bout en bout.
Scope gère des informations stratégiques sur vos appels d'offres et vos clients. Cette page documente les mesures techniques et organisationnelles que nous mettons en œuvre pour les protéger.
01
Conformité réglementaire
Notre référentiel de conformité, son état d'avancement et nos engagements.
En cours · T+12 mois
ISO 27001
Système de management de la sécurité de l'information (SMSI) en place. Audit de certification programmé sous 12 mois auprès d'un organisme accrédité COFRAC.
Roadmap
SOC 2 Type II
Implémentation du référentiel TSC (Security, Availability, Confidentiality) inscrite à la roadmap T+18 mois. Rapport disponible pour les clients Enterprise sous accord de confidentialité.
Sur demande Enterprise
HDS / SecNumCloud
Déploiement HDS (hébergement de données de santé) ou SecNumCloud envisageable pour les clients Enterprise sur cahier des charges. Surcoût et délais communiqués au cas par cas.
02
Hébergement et résidence des données
Toutes les données applicatives (Postgres, stockage objet, e-mails transactionnels) sont hébergées en Union européenne.
Supabase — Frankfurt (DE)
Postgres, Auth, Storage, Edge Functions. Région eu-central-1, sauvegardes chiffrées et redondées dans la même région.
Vercel — POP cdg1 (Paris, FR)
Rendu du site et des routes API. Edge Network mondial mais persistance des données interdite hors UE.
Mistral — Paris (FR)
Transcription audio, OCR et modèles de raisonnement EU disponibles en option Mode IA souverain.
Toutes les données applicatives résident en Union européenne.
03
Sécurité technique
Mesures de sécurité appliquées par défaut sur tous les comptes.
Chiffrement au repos AES-256
Postgres, stockage objet et sauvegardes chiffrés au repos via AES-256 (clés gérées par Supabase, rotations automatiques).
TLS 1.3 en transit
TLS 1.3 imposé sur toutes les communications externes. HSTS activé, cookies en SameSite=Lax et Secure.
MFA pour tous les utilisateurs
Authentification multifacteur disponible en TOTP et code email, obligatoire pour les rôles d'administration.
SSO SAML et SCIM
Single Sign-On SAML 2.0 et provisioning SCIM 2.0 inclus dans le plan Business+. Compatible Okta, Azure AD, Google Workspace.
Audit logs immutables
Journal d'audit horodaté et consultable pendant 90 jours minimum (Studio), 12 mois (Agence), 24 mois (Enterprise).
IP allowlisting
Filtrage par adresse IP source disponible sur le tier Enterprise pour restreindre l'accès au périmètre approuvé.
04
IA et confidentialité
Nous nous engageons par contrat sur l'usage que nos sous-traitants IA peuvent faire de vos données.
Vos données ne sont jamais utilisées pour entraîner nos modèles.
Tous nos contrats avec les fournisseurs d'IA (Anthropic, Mistral, OpenAI via OpenRouter) excluent contractuellement l'utilisation de vos prompts et de leurs réponses pour l'entraînement de modèles. Les logs sont purgés au plus tard sous 30 jours côté provider.
Mode IA off disponible — plan Business+
Sur les plans Business et Enterprise, un administrateur peut désactiver entièrement les appels IA sortants pour une organisation. Scope reste utilisable en mode édition manuelle.
| Fournisseur | Usage | Région |
|---|---|---|
| Anthropic Claude | Génération de note de cadrage et de propale | AWS Bedrock — Région Paris (eu-west-3) |
| Mistral | Transcription audio, OCR, modèles de raisonnement souverains | France (Paris) |
| OpenAI (via OpenRouter) | Modèles d'extraction structurée, fallback | États-Unis — passthrough OpenRouter |
05
Sous-traitants
La liste exhaustive et toujours à jour de nos sous-traitants, avec leur région et leurs certifications.
06
DPA, CGU, mentions légales
Documents contractuels mis à votre disposition.
Data Processing Agreement
Annexe RGPD à signer côté client si vous souhaitez un DPA dédié.
Conditions Générales d'Utilisation
Contrat-cadre encadrant l'utilisation du service Scope.
Politique de confidentialité
Conformité RGPD, durées de conservation, droits des personnes.
07
Contact RSSI / CISO
Pour les questions techniques de sécurité, demandes de questionnaires sécurité ou signalements de vulnérabilités.
Notre équipe sécurité
Notre RSSI répond personnellement aux questionnaires sécurité des prospects et clients sous 5 jours ouvrés. Pour les vulnérabilités, nous suivons un programme responsible disclosure public.
- Email :security@scope.fr
- DPO :dpo@scope.fr
- PGP :empreinte disponible sur demande
Nous contacter
Une question RSSI, un questionnaire sécurité, un audit prévu ? Décrivez votre besoin, nous revenons sous 48 h ouvrées.