Conforme
RGPD
DPA article 28 disponible, registre des sous-traitants publié, procédures d'exercice des droits documentées. Le contact DPO est tenu par le fondateur via dpo@getscope.dev.
Conçu en France, hébergé en UE,
documenté pour passer les revues IT.
Scope manipule des informations stratégiques : briefs clients, RFP, chiffrages, contrats. Cette page documente, en clair, les mesures techniques et organisationnelles mises en œuvre pour les protéger.
01
Conformité réglementaire
Le référentiel de conformité Scope, son état d'avancement et les engagements contractuels associés.
Roadmap
ISO 27001
Scope n'est pas certifié ISO 27001. Les contrôles déjà en place sont documentés dans le README et le Trust Center ; la certification est une cible 2027, conditionnée à la maturité commerciale.
Roadmap
SOC 2 Type II
Scope n'a pas de rapport SOC 2 à ce jour. Une roadmap de contrôles existe pour préparer un audit Type 1 ; aucun badge SOC 2 n'est revendiqué avant attestation indépendante.
Sur demande Enterprise
HDS / SecNumCloud
Scope n'est pas HDS ni SecNumCloud et n'est pas conçu pour traiter des données de santé. Un déploiement dédié ou souverain serait étudié uniquement sur cahier des charges Enterprise.
02
Hébergement et résidence des données
Les données applicatives persistantes (base, fichiers, audit) sont hébergées en Union européenne. Les traitements IA passent aujourd'hui par des sous-traitants juridiquement US (OpenAI, Anthropic) encadrés par DPA, Clauses Contractuelles Types UE, data_collection=deny et minimisation. Liste complète des sous-traitants disponible sur la page dédiée.
Supabase — Dublin (IE)
Postgres, Auth, Storage, Edge Functions. Région eu-west-1 (Dublin), sauvegardes chiffrées et redondées dans la même région.
Railway — Union européenne
Hébergement de l'application Next.js sur conteneur persistant en région EU West. Railway Corp. est juridiquement US ; Scope ne persiste pas de contenu client durable sur Railway, les données applicatives restent dans Supabase EU.
Mistral AI — Paris (FR)
OCR souverain pour l'extraction de texte des PDF et images uploadés comme pièces de brief, hébergé à Paris (RGPD-natif, no-training par défaut). Activé sur les comptes où la fonctionnalité OCR est provisionnée.
Les données applicatives persistantes résident en Union européenne ; les transferts éventuels sont encadrés contractuellement.
03
Sécurité technique
Mesures de sécurité appliquées par défaut sur tous les comptes.
Chiffrement au repos AES-256
Postgres, stockage objet et sauvegardes chiffrés au repos via AES-256 (clés gérées par Supabase, rotations automatiques).
TLS 1.3 en transit
TLS 1.3 imposé sur toutes les communications externes. HSTS activé, cookies en SameSite=Lax et Secure.
MFA utilisateur disponible (TOTP)
Authentification multifacteur (TOTP) disponible pour tous les utilisateurs via Supabase Auth, activable depuis les paramètres. L'enforcement automatique pour les administrateurs des plans Business et Enterprise est en cours de mise en place (Vague D+2).
SSO et SAML
SSO Google Workspace disponible via Supabase Auth. SAML/SCIM restent des engagements Enterprise à cadrer contractuellement avant activation.
Audit logs immutables
Journal d'audit horodaté et consultable pendant 90 jours (Solo), 12 mois (Team et Business, détaillés sur Business), 24 mois SIEM-ready (Enterprise).
IP allowlisting
Filtrage par adresse IP source non activé par défaut ; disponible uniquement comme exigence Enterprise dédiée après validation d'architecture.
04
IA et confidentialité
Engagement contractuel sur l'usage que les sous-traitants IA peuvent faire de vos données — c'est-à-dire, aucun.
Vos données ne servent jamais à entraîner les modèles.
Scope configure les appels OpenRouter avec la directive data_collection=deny lorsque le provider le supporte. Le DPA Scope interdit l'usage des contenus client pour entraîner les modèles ; les limites et transferts éventuels sont documentés dans le registre des sous-traitants.
Mode IA restreint — cadrage Enterprise
Une désactivation ou restriction des appels IA sortants peut être contractualisée pour un compte Enterprise. Scope reste alors utilisable pour l'édition et les exports manuels.
| Fournisseur | Usage | Région |
|---|---|---|
| Anthropic (via OpenRouter) | Primary sur la génération de cadrage et l'estimation j/h (Claude Sonnet 4.6) ; fallback sur l'extraction et la clarification (Claude Haiku 4.5) | États-Unis · passthrough OpenRouter · data_collection=deny + CCT UE. Routage UE-résident (Bedrock eu-west-3) en cours de validation. |
| Mistral AI | OCR des PDF et images televerses (extraction du texte des pieces du brief) | France · Paris · traitement dans l'UE, pas de Cloud Act |
| OpenAI (via OpenRouter) | Primary sur l'extraction et la clarification (GPT-4o mini) ; fallback sur la génération de cadrage et l'estimation j/h (GPT-4o) | États-Unis · passthrough OpenRouter · data_collection=deny + CCT UE |
05
Sous-traitants
La liste exhaustive et toujours à jour de nos sous-traitants, avec leur région et leurs certifications.
06
DPA, CGU, mentions légales
Documents contractuels mis à votre disposition.
Data Processing Agreement
Annexe RGPD article 28 avec champs DocuSeal, versions FR et EN.
Conditions Générales d'Utilisation
Contrat-cadre encadrant l'utilisation du service Scope.
Politique de confidentialité
Conformité RGPD, durées de conservation, droits des personnes.
07
Contact RSSI / CISO
Questionnaires sécurité, audits, signalements de vulnérabilités : voici où écrire.
Comment on traite vos demandes
Scope est un projet solo : c'est le fondateur qui répond personnellement aux questionnaires sécurité, sous 5 jours ouvrés en moyenne. Pour les vulnérabilités, programme responsible disclosure public — pas de prime, mais une réponse rapide et une mention en remerciement publique si vous le souhaitez.
- Email :security@getscope.dev
- DPO :dpo@getscope.dev
- PGP :empreinte disponible sur demande
Écrire au pôle sécurité
Question RSSI, questionnaire sécurité, audit prévu : décrivez votre besoin, vous avez une réponse sous 48 h ouvrées.