Docs→RGPD et sécurité

RGPD et sécurité

Tout sur la façon dont Custos AI traite vos données, le cadre juridique et les mesures de sécurité techniques que nous appliquons.

Notre rôle en vertu du RGPD

Custos AI agit en tant que sous-traitant. Vous — le client — êtes le responsable du traitement. Nous traitons les données personnelles uniquement sur vos instructions documentées et conformément à notre Accord de Traitement des Données (ATD), qui est inclus dans nos Conditions Générales.

Accord de Traitement des Données (ATD)

Notre ATD est conforme à l'Article 28 du RGPD et couvre toutes les activités de traitement. Il est automatiquement accepté lorsque vous acceptez nos Conditions Générales. Vous pouvez télécharger la version actuelle à tout moment.

Voir l'ATD

Quelles données nous traitons

Catégorie	Exemples	Conservation
Données de compte	Nom, e-mail, mot de passe haché, langue	Durée du compte + 12 mois
Données de chat	Historique des conversations, modèle utilisé	365 jours glissants, configurable
Fichiers téléchargés	PDF, DOCX, images	30 jours après téléchargement (configurable)
Données d'utilisation	Comptages de tokens, estimations de coûts	12 mois glissants
Journaux d'audit	Adresse IP, horodatages	365 jours
Registres de facturation	Références Stripe, informations de forfait	7 ans (droit fiscal)

Fournisseurs LLM et le modèle BYOK

Dans le cadre du modèle BYOK, vous maintenez une relation directe avec chaque fournisseur LLM via vos propres clés API. Les fournisseurs LLM ne sont pas des sous-traitants de Custos AI — ce sont des responsables ou sous-traitants indépendants que vous engagez directement. Vous êtes responsable de vous assurer d'une base juridique appropriée et d'accords de traitement des données avec chaque fournisseur que vous utilisez.

Les quatre fournisseurs LLM actuellement pris en charge dans Custos AI — OpenAI, Anthropic, Google et Mistral — proposent tous leurs propres conditions conformes au RGPD et des ATD auxquels vous acceptez lors de la création d'un compte chez eux.

Sous-traitants

Supabase, Inc.Base de données, authentification, stockage de fichiersFrancfort, DE

Vercel, Inc.Hébergement frontend et edge computeEdge UE

TransIP B.V.VPS pour le proxy LiteLLMAmsterdam, NL

LettermintE-mail transactionnelUE

Stripe Payments EuropeTraitement des paiements et taxesDublin, IE

Liste complète : custosai.eu/sub-processors

Mesures de sécurité

Chiffrement au repos

AES-256 (données), AES-256-GCM (clés API)

Chiffrement en transit

TLS 1.2+ sur toutes les connexions

Authentification

E-mail + MFA TOTP

Contrôle d'accès

Moindre privilège, basé sur les rôles

Sauvegardes

Chiffrées quotidiennement, conservation 30 jours

Hébergement

UE uniquement — Francfort + Amsterdam

Questions sur la confidentialité ou l'ATD ?

Notre équipe confidentialité répond dans les 2 jours ouvrés.