Sécurité & Conformité

Dernière mise à jour : 23 avril 2026

La confiance est le fondement d'EVA. Chaque décision architecturale — de la circulation des données entre les agents au stockage des identifiants — est prise en tenant compte de la sécurité et de la vie privée des membres. Ce document présente notre posture de sécurité et nos engagements en matière de conformité.

1. Chiffrement des données

En transit

Toutes les données transmises entre vos appareils et l'infrastructure d'EVA sont chiffrées via TLS 1.3. Les connexions ne prenant pas en charge TLS 1.2 ou supérieur sont refusées. Les connexions HTTP sont automatiquement redirigées vers HTTPS.

Au repos

Les données stockées — y compris le contexte des conversations, l'historique des tâches et les informations de profil des membres — sont chiffrées au repos avec AES-256. Les clés de chiffrement sont gérées via un service de gestion des clés dédié et sont renouvelées régulièrement.

2. Contrôles d'accès

  • Moindre privilège — les systèmes internes ne bénéficient que des permissions requises pour leur fonction spécifique
  • Authentification multifacteur — exigée pour tout le personnel EVA accédant aux systèmes de production
  • Contrôle d'accès basé sur les rôles (RBAC) — les données des membres ne sont accessibles qu'aux agents et au personnel directement responsables de ce compte
  • Journalisation des accès — tout accès aux données sensibles est enregistré avec horodatage et identités des acteurs ; les journaux sont immuables et conservés 12 mois

3. Isolation des modèles d'IA

Vos données ne sont jamais utilisées pour entraîner, affiner ou améliorer des modèles d'IA sans votre consentement écrit explicite. Les conversations, tâches et résultats générés dans votre canal privé restent isolés sur votre compte. Aucun mélange de données inter-membres ni contexte de modèle partagé n'est appliqué.

4. Sécurité de l'infrastructure

  • Infrastructure hébergée dans des centres de données certifiés ISO 27001
  • Segmentation du réseau avec pare-feu et systèmes de détection des intrusions
  • Analyse automatisée des vulnérabilités et audit des dépendances à chaque déploiement
  • Tests de pénétration réguliers par des tiers indépendants
  • Atténuation des attaques DDoS au niveau de la périphérie réseau

5. Conformité réglementaire

RGPD

Les pratiques de traitement des données d'EVA sont conformes au Règlement général sur la protection des données de l'UE (Règlement (UE) 2016/679). Nous tenons des registres des activités de traitement, avons conclu des accords de traitement des données avec les sous-traitants et respectons tous les droits des personnes concernées. Consultez notre Politique de confidentialité pour plus de détails.

nLPD suisse

EVA se conforme à la nouvelle Loi fédérale suisse sur la protection des données (nLPD), en vigueur depuis septembre 2023. Les membres résidant en Suisse bénéficient de toutes les protections accordées par le droit suisse en plus des normes du RGPD.

Confidentialité

Tout le personnel EVA et les systèmes d'IA sont contractuellement tenus à une stricte confidentialité. Les interactions des membres, le contexte commercial partagé avec les agents et les détails opérationnels ne sont jamais divulgués à des tiers, sauf si la loi l'exige ou avec votre consentement explicite.

6. Sous-traitants

EVA fait appel à un nombre limité de sous-traitants de confiance pour fournir le service. Chaque sous-traitant est évalué en matière de sécurité et de conformité à la protection des données, et est lié par un accord de traitement des données. La liste actuelle des sous-traitants est disponible sur demande en écrivant à hello@eva.fyi.

7. Gestion des incidents

En cas de violation de données ou d'incident de sécurité affectant vos données personnelles, EVA :

  • Informera les membres concernés dans les 72 heures suivant la prise de connaissance de l'incident, lorsque le RGPD l'exige
  • Fournira une description claire de la nature de la violation, des données concernées et des mesures prises
  • Notifiera l'autorité de contrôle compétente (PFPDT suisse et/ou APD de l'UE concernée) selon les exigences
  • Conduira un examen post-incident et mettra en œuvre des mesures correctives

8. Continuité d'activité

EVA maintient des plans documentés de continuité d'activité et de reprise après sinistre. Les sauvegardes sont chiffrées, géographiquement distribuées et testées trimestriellement. Notre objectif de temps de rétablissement (RTO) pour les composants essentiels du service est inférieur à 4 heures.

9. Divulgation responsable

Si vous découvrez une vulnérabilité de sécurité potentielle sur la plateforme EVA, veuillez la signaler de manière responsable à hello@eva.fyi avec pour objet « Security Disclosure ». Nous nous engageons à accuser réception de votre rapport dans les 48 heures et à vous tenir informé de l'avancement de la correction. Nous vous demandons de ne pas divulguer publiquement la vulnérabilité avant que nous ayons eu la possibilité raisonnable d'y remédier.

10. Contact

Demandes concernant la sécurité et la conformité : hello@eva.fyi