RGPD
DPA article 28 disponible, registre des sous-traitants publié, procédures d'exercice des droits documentées. Le contact DPO est tenu par le fondateur via dpo@getscope.dev.
Scope manipule des informations stratégiques : briefs clients, RFP, chiffrages, contrats. Cette page documente, en clair, les mesures techniques et organisationnelles mises en œuvre pour les protéger.
01
Le référentiel de conformité Scope, son état d'avancement et les engagements contractuels associés.
DPA article 28 disponible, registre des sous-traitants publié, procédures d'exercice des droits documentées. Le contact DPO est tenu par le fondateur via dpo@getscope.dev.
Scope n'est pas certifié ISO 27001. Les contrôles déjà en place sont documentés dans le README et le Trust Center ; la certification est une cible 2027, conditionnée à la maturité commerciale.
Scope n'a pas de rapport SOC 2 à ce jour. Une roadmap de contrôles existe pour préparer un audit Type 1 ; aucun badge SOC 2 n'est revendiqué avant attestation indépendante.
Scope n'est pas HDS ni SecNumCloud et n'est pas conçu pour traiter des données de santé. Un déploiement dédié ou souverain serait étudié uniquement sur cahier des charges Enterprise.
02
Les données applicatives persistantes (base, fichiers, audit) sont hébergées en Union européenne. Les traitements IA passent aujourd'hui par des sous-traitants juridiquement US (OpenAI, Anthropic) encadrés par DPA, Clauses Contractuelles Types UE, data_collection=deny et minimisation. Liste complète des sous-traitants disponible sur la page dédiée.
Postgres, Auth, Storage, Edge Functions. Région eu-west-1 (Dublin), sauvegardes chiffrées et redondées dans la même région.
Hébergement de l'application Next.js sur conteneur persistant en région EU West. Railway Corp. est juridiquement US ; Scope ne persiste pas de contenu client durable sur Railway, les données applicatives restent dans Supabase EU.
OCR souverain pour l'extraction de texte des PDF et images uploadés comme pièces de brief, hébergé à Paris (RGPD-natif, no-training par défaut). Activé sur les comptes où la fonctionnalité OCR est provisionnée.
Les données applicatives persistantes résident en Union européenne ; les transferts éventuels sont encadrés contractuellement.
03
Mesures de sécurité appliquées par défaut sur tous les comptes.
Postgres, stockage objet et sauvegardes chiffrés au repos via AES-256 (clés gérées par Supabase, rotations automatiques).
TLS 1.3 imposé sur toutes les communications externes. HSTS activé, cookies en SameSite=Lax et Secure.
Authentification multifacteur (TOTP) disponible pour tous les utilisateurs via Supabase Auth, activable depuis les paramètres. L'enforcement automatique pour les administrateurs des plans Business et Enterprise est en cours de mise en place (Vague D+2).
SSO Google Workspace disponible via Supabase Auth. SAML/SCIM restent des engagements Enterprise à cadrer contractuellement avant activation.
Journal d'audit horodaté et consultable pendant 90 jours (Solo), 12 mois (Team et Business, détaillés sur Business), 24 mois SIEM-ready (Enterprise).
Filtrage par adresse IP source non activé par défaut ; disponible uniquement comme exigence Enterprise dédiée après validation d'architecture.
04
Engagement contractuel sur l'usage que les sous-traitants IA peuvent faire de vos données — c'est-à-dire, aucun.
Scope configure les appels OpenRouter avec la directive data_collection=deny lorsque le provider le supporte. Le DPA Scope interdit l'usage des contenus client pour entraîner les modèles ; les limites et transferts éventuels sont documentés dans le registre des sous-traitants.
Mode IA restreint — cadrage Enterprise
Une désactivation ou restriction des appels IA sortants peut être contractualisée pour un compte Enterprise. Scope reste alors utilisable pour l'édition et les exports manuels.
| Fournisseur | Usage | Région |
|---|---|---|
| Anthropic (via OpenRouter) | Primary sur la génération de cadrage et l'estimation j/h (Claude Sonnet 4.6) ; fallback sur l'extraction et la clarification (Claude Haiku 4.5) | États-Unis · passthrough OpenRouter · data_collection=deny + CCT UE. Routage UE-résident (Bedrock eu-west-3) en cours de validation. |
| Mistral AI | OCR des PDF et images televerses (extraction du texte des pieces du brief) | France · Paris · traitement dans l'UE, pas de Cloud Act |
| OpenAI (via OpenRouter) | Primary sur l'extraction et la clarification (GPT-4o mini) ; fallback sur la génération de cadrage et l'estimation j/h (GPT-4o) | États-Unis · passthrough OpenRouter · data_collection=deny + CCT UE |
05
La liste exhaustive et toujours à jour de nos sous-traitants, avec leur région et leurs certifications.
06
Documents contractuels mis à votre disposition.
Annexe RGPD article 28 avec champs DocuSeal, versions FR et EN.
Contrat-cadre encadrant l'utilisation du service Scope.
Conformité RGPD, durées de conservation, droits des personnes.
07
Questionnaires sécurité, audits, signalements de vulnérabilités : voici où écrire.
Scope est un projet solo : c'est le fondateur qui répond personnellement aux questionnaires sécurité, sous 5 jours ouvrés en moyenne. Pour les vulnérabilités, programme responsible disclosure public — pas de prime, mais une réponse rapide et une mention en remerciement publique si vous le souhaitez.
Question RSSI, questionnaire sécurité, audit prévu : décrivez votre besoin, vous avez une réponse sous 48 h ouvrées.