La souveraineté et la conformité ne sont pas des options chez Scope.
Stack technique publié, sous-traitants en clair, DPA signable via DocuSeal, évaluation EU AI Act téléchargeable et roadmap sécurité. Ce qui est certifié est nommé ; ce qui ne l'est pas reste présenté comme cible.
Dernière mise à jour : 11 juin 2026 · Version 2026.06.11-v5
Sujets sensibles
Trois questions que pose tout PM tier-1
Les trois pages que tout responsable achats, DPO ou architecte IA d'AXA, BNP ou Société Générale ouvre en premier. Réponses argumentées, sources publiques, disclaimers fermes.
Railway en région EU West (applicatif + DocuSeal), Supabase en eu-west-1 (Dublin). Les prestataires US restent signalés comme exposés juridiquement, même quand la région technique est UE.
Railway en région EU West (applicatif + DocuSeal), Supabase en eu-west-1 (Dublin). Les prestataires US restent signalés comme exposés juridiquement, même quand la région technique est UE.
Routage privilégié vers les fournisseurs de modèles UE
Routeur LLM avec data_collection=deny opposable contractuellement à chaque fournisseur. Vos prompts et réponses ne sont jamais utilisés pour entraîner les modèles.
Transcription audio française de qualité enterprise — aucun concurrent multi-output FR ne propose ce niveau de qualité linguistique sur le français professionnel.
DocuSeal auto-hébergé en UE, conforme eIDAS — valeur juridique européenne sans dépendre de DocuSign / Adobe Sign hébergés US.
Pourquoi ces quatre pieds ?
Ce n'est pas le mot « souverain » qui est défendable — c'est le stack publié, vérifiable et honnête sur ses limites. Les régions UE sont distinguées de la juridiction juridique des prestataires.
02
Sous-traitants ultérieurs
Liste exhaustive et toujours à jour des sous-traitants ultérieurs, en application de l'article 28.2 du RGPD. Toute évolution est notifiée 30 jours avant son entrée en vigueur.
Transcription audio de qualité enterprise avec spécialisation sur le français — utilisée pour les notes de cadrage à partir d'enregistrements de réunion.
Signature électronique conforme eIDAS pour les notes de cadrage, propales et DPA — instance DocuSeal auto-hébergée par l'éditeur sur Railway (région EU West), aucune donnée signée n'est partagée avec un tiers.
Railway, région EU West (Union européenne)Juridiction EU
Traitement des paiements, gestion des abonnements et émission des factures clients. Aucune donnée de carte ne transite par les serveurs de Scope (tokenisation totale).
Capture des erreurs runtime côté serveur et navigateur, pour identifier et corriger les régressions. Les payloads sont scrubbés (PII, secrets) avant émission.
DigitalOcean Frankfurt, Allemagne (résidence des données UE)Juridiction US
Stockage objet S3-compatible (bucket EU) accueillant les sauvegardes hebdomadaires de la base Postgres (dump SQL chiffré et compressé). Aucun contenu applicatif n'y est lu en chaud — l'accès est exclusivement réservé aux dumps de reprise d'activité.
Union européenne (juridiction R2 = EU, bucket pinné UE)Juridiction US
Supervision de disponibilité (uptime) des routes publiques de getscope.dev et heartbeats des tâches planifiées (crons). Aucune donnée personnelle ne transite par Better Stack : seules les sondes HTTP publiques et les pings de bonne fin des tâches.
Stockage objet S3-compatible avec Object Lock COMPLIANCE 7 ans pour l'archive immuable du journal `audit_logs` (rétention légale L123-22, 10 ans). Le cron mensuel `archive_audit_logs_older_than_13_months()` déplace les lignes hors fenêtre HOT vers Scaleway Object Storage Paris (`fr-par`, bucket `scope-audit-cold-prod`). En mode COMPLIANCE, la suppression ou l'écrasement de l'archive est IMPOSSIBLE même avec les identifiants racine — aucun bypass côté fournisseur.
Paris (datacenter DC5, région `fr-par`)Juridiction EU
Railway Corp. est une société US. Scope déploie le service applicatif en région EU West et ne persiste pas de contenu client durable côté Railway ; les données durables (briefs, cadrages, exports, audit logs) résident dans Supabase EU. Le DPA Railway incorpore les mécanismes de transfert applicables, dont les CCT.
Supabase
Supabase, Inc. est une société US, mais le projet Scope est provisionné en région eu-west-1 (Dublin). Les transferts hors UE sont encadrés par le DPA Supabase et les CCT ; les accès sont limités par RLS, clés séparées et minimisation des données.
OpenRouter
OpenRouter est un proxy stateless : aucun prompt ni output n'est conservé côté OpenRouter au-delà du temps de traitement. Le contrat impose data_collection=deny en aval. Les inférences sont actuellement servies par OpenAI et Anthropic (États-Unis) ; un routage UE-résident (Bedrock eu-west-3, Mistral Large à Paris) est en cours de validation pour une option Enterprise.
Resend
Resend est opéré par une société US. Scope utilise la région d'envoi eu-west-1 pour les emails transactionnels et limite le contenu transmis aux données nécessaires à la délivrabilité. Le DPA Resend incorpore les CCT.
GlitchTip
Burke Software & Consulting LLC est une société US, mais l'instance GlitchTip utilisée par Scope est hébergée sur DigitalOcean Frankfurt avec engagement contractuel de résidence des données UE et clause de non-transfert. Les payloads sont scrubbés côté SDK (PII, tokens, secrets) avant émission. Rétention par défaut : 30 jours.
Cloudflare R2 (EU)
Cloudflare, Inc. est une société US, mais le bucket R2 utilisé par Scope est provisionné avec la juridiction EU (option R2 jurisdictional restrictions). Le contenu stocké est limité aux dumps Postgres chiffrés/compressés réservés à la reprise d'activité ; aucune donnée applicative n'est lue en chaud depuis ce bucket. Le DPA Cloudflare incorpore les CCT. Rétention bornée à 90 jours par la politique de cycle de vie du bucket.
Cloudflare
Cloudflare ne traite que des métadonnées DNS et de routage email. Aucune donnée applicative client (briefs, cadrages, exports) n'est exposée. Le DPA Cloudflare incorpore les Clauses Contractuelles Types UE.
03
Données et rétention
Les données applicatives persistantes résident en Union européenne. Rétention par type, droit à l'effacement, no-training contractuel sur les inputs IA et transferts encadrés quand un prestataire est juridiquement US.
Data residency : données persistantes en UE
Postgres et Storage en région eu-west-1 (Dublin). Conteneur applicatif Railway en région EU West. DocuSeal auto-hébergé sur Railway (région EU West). Certains prestataires sont juridiquement US : les transferts éventuels sont encadrés par DPA, CCT et minimisation.
Le routage LLM passe aujourd'hui par OpenAI (GPT-4o / GPT-4o mini) et Anthropic (Claude Sonnet 4.6 / Haiku 4.5) opérés depuis les États-Unis, avec data_collection=deny et CCT UE en mitigation. Une option Enterprise de routage UE-résident (Bedrock eu-west-3, Mistral Large à Paris) est en cours de validation interne et sera proposée dès que les tests de qualité FR seront concluants.
Type de données
Conservation
Base légale
Briefs et inputs (texte, audio, fichiers)
Durée de l'abonnement + 30 jours
Article 5.1.e RGPD — minimisation
Documents de cadrage (livrables IA)
Durée de l'abonnement + 30 jours, exportables 30 jours après résiliation
Exécution contractuelle (article 6.1.b RGPD)
Audit log applicatif
12 mois (Team), 24 mois (Business / Enterprise)
Sécurité et obligation de preuve (article 32 RGPD)
Exports générés (Word/PDF/Markdown)
Suppression dès que l'export est livré (lien expirant 7 jours)
Minimisation
Pièces comptables (factures, transactions)
10 ans
Article L.123-22 du Code de commerce
Logs de sécurité (GlitchTip auto-hébergé UE)
30 jours, scrubbing PII activé côté SDK
Sécurité — RGPD article 32
No-training contractuel
Les contrats avec OpenRouter et l'ensemble des fournisseurs LLM effectivement utilisés (OpenAI, Anthropic) incluent data_collection=deny au niveau du provider. Vos prompts et les réponses générées ne sont jamais utilisés pour entraîner ou affiner les modèles.
Droit à l'effacement automatisé
L'utilisateur peut supprimer un brief, un cadrage ou son compte intégralement en self-service. La purge effective est exécutée sous 30 jours, hors obligations comptables (10 ans pour les pièces facturées).
04
Conformité — état et roadmap
Statut public de chaque référentiel. Aucune fausse promesse : ce qui est en cours est annoncé en cours, ce qui est planifié est daté.
Référentiel
Statut
Date / cible
Détail
RGPD / DPA self-service
Disponible
11 juin 2026
DPA signable en self-service via DocuSeal. Sous-traitants publiés. Droits RGPD automatisés en interface.
SOC 2 Type 1
En cours
Cible à confirmer
Roadmap de contrôles documentée. Aucun rapport SOC 2 ni badge « in progress » n'est revendiqué avant engagement formel avec un auditeur indépendant.
SOC 2 Type 2
Planifié
Cible 2027-Q1
Audit de fonctionnement sur 3 à 12 mois. Démarrage immédiatement après l'attestation Type 1.
ISO 27001
Planifié
Cible 2027
Cible de maturité, non certifiée à ce jour. Les contrôles actuels sont documentés dans le README et cette page.
HDS / HIPAA
Hors scope
n/a
Scope n'est pas conçu pour traiter des données de santé. À reconsidérer si pivot santé est confirmé.
05
Évaluation EU AI Act
Catégorisation de chaque fonctionnalité IA selon le règlement (UE) 2024/1689 et les mitigations associées.
Catégorie retenue : risque limité (article 50 du règlement IA Act). Scope produit des contenus textuels assistés par IA destinés à un usage interne organisationnel et applique les obligations de transparence associées. Aucune fonctionnalité ne relève des catégories à risque inacceptable (article 5) ni des cas à haut risque listés en Annexe III.
Justification
Pas de scoring biométrique ni d'identification de personnes — Scope ne réalise ni reconnaissance faciale, ni évaluation émotionnelle, ni catégorisation de personnes (article 5 AI Act).
Pas de décision automatisée impactant les droits des personnes au sens de l'article 22 RGPD. Tous les livrables sont systématiquement révisables et révisés par un humain avant export ou signature.
Pas d'usage en infrastructure critique (Annexe III §2), emploi (§4), éducation (§3), justice (§6) ou maintien de l'ordre (§8).
Mitigations
Transparence article 50 — l'utilisateur est informé en interface que le contenu est généré ou assisté par IA.
Human-in-the-loop obligatoire — l'export et la signature exigent une validation humaine explicite.
No-training contractuel — clause data_collection=deny opposable à chaque fournisseur LLM.
Citations des sources lorsque l'extraction se base sur un document fourni par l'utilisateur — traçabilité paragraphe par paragraphe.
Scope est positionné comme prestataire ICT non critique au sens du règlement DORA (UE) 2022/2554. Les artefacts requis pour figurer au Register of Information (RoI) de votre établissement sont disponibles.
Article 28(3) — prestataire ICT third-party non critique
Pour les entités financières clientes soumises à DORA, Scope fournit l'ensemble des artefacts attendus côté prestataire : registre interne d'usage des modèles IA, objectifs RTO/RPO documentés, plan de sortie avec portabilité des données, et architecture data-flow cartographiée. Un mapping CSV vers le template DORA RoI ESA est disponible sur demande.
Art. 28(3) + Règlement d'exécution 2024/2956
RTO 4 h + RPO 24 h en heures ouvrées FR, justifiés par la stack (Railway EU West + Supabase PITR + DocuSeal snapshots). Objectifs non contractuels, contractualisables Enterprise.
Exit Plan documenté : préavis 30 jours, export GDPR complet (JSON + Markdown + assets), hard-delete cascade, conformité art. 28(8) DORA + art. 17/20 RGPD.
Registre ai_model_usage — interne, mis à jour à chaque évolution de prompt ou changement de modèle. Anticipe les obligations AI Act Annex II et DORA RoI.
Plan de continuité : runbook PCA en cours de formalisation, redondance assumée via les fournisseurs cloud UE et leurs propres engagements de continuité.
Aucune donnée applicative client ne quitte l'Union européenne. Chaque sous-traitant est documenté avec sa zone de résidence et son rôle dans le pipeline.
Principe de résidence EU
Toute la donnée applicative durable (briefs, transcripts audio, documents de cadrage, exports, audit logs) reste en région UE chez Supabase Dublin. Les sous-traitants US-domiciliés du périmètre persistant sont configurés pour traiter en région UE (Railway EU West, Resend Irlande, GlitchTip Frankfurt).
Pour les inférences LLM, OpenRouter est un proxy stateless (États-Unis) qui achemine à ce jour les requêtes vers OpenAI (GPT-4o / GPT-4o mini, États-Unis) et Anthropic (Claude Sonnet 4.6 / Haiku 4.5, États-Unis) sous Clauses Contractuelles Types UE et avec la directive contractuelle `data_collection=deny`. **Chaîne de résilience (PH10)** : en cas d'indisponibilité d'OpenRouter, le pipeline bascule directement vers Mistral AI (Paris, UE) le temps de la panne — bascule auditée (`pipeline.llm_provider_failover`) avec l'obligation contractuelle no-training maintenue. Une option Enterprise de routage UE-résident permanent (Bedrock Paris ou Mistral Large Paris) est en cours de validation interne et sera proposée sur demande dès que les tests de qualité FR seront concluants.
Version markdown procurement-portable des 11 sous-traitants, mitigations Cloud Act et 4 piliers de souveraineté. Annexe contractuelle. Brouillon à relire par avocat IT avant signature.
Diagramme mermaid + flèches typées (données client vs métadonnées) + résidence EU annotée + 11 catégories de données traitées avec rétention. Brouillon à relire par avocat.
DPA Article 28 RGPD en version markdown avec marqueurs [CLIENT_NAME], [CLIENT_SIRET], [DATE_SIGNATURE]. Annexe contractuelle. Brouillon à relire par avocat IT/RGPD avant signature.
Objectif de service explicitement non contractuel : 99,5 % en heures ouvrées FR, support 1 jour ouvré, exclusions upstream documentées. Roadmap SLA contractuel 99,9 % conditionnée Enterprise.
ISO 27035 + RGPD art. 33-34. Détection auto + triage S1/S2/S3 + escalation CNIL 72h et personnes concernées sans délai indu. Template post-mortem. Brouillon à relire par avocat.
RTO 4 h en heures ouvrées FR + RPO 24 h max via Supabase PITR 7 jours. Stack actuelle expliquée. Site secondaire = redondance fournisseurs cloud UE. Objectifs non contractuels, contractualisables Enterprise.
28 questions subset CSA STAR L1 + AWS SaaS Questionnaire. 13 catégories : data residency, encryption, auth, audit, incident, GDPR, subprocessors, retention, backups/DR, AI Act, compliance. Format long sur demande.
Modèle markdown éditable, 15 articles + 9 annexes. Marqueurs [CLIENT_NAME], [MONTANT_FORFAITAIRE]. Durée 3 mois renouvelable. À adapter par cas et à faire valider par un avocat IT avant signature.