La confiance n'est pas un mot marketing.
C'est de l' architecture.
Vous trouverez ici tout ce dont les équipes conformité, sécurité et juridique ont besoin pour leur évaluation fournisseur. Sans NDA, sans appel commercial, sans « on en parlera plus tard ».
Zürich · Frankfurt · EU
Stockage CH, calcul DE, e-mail UE
Surveillance du statut
Sondes externes toutes les 60 s — Vercel Edge dans 5 régions
Zürich · Frankfurt · EU
Stockage CH, calcul DE, e-mail UE
Conformité & certifications
Ce que nous livrons – et ce qui est prévu.
Nous ne cachons rien. Si quelque chose n'est pas encore là, nous le disons – avec une date.
RGPD + nLPD
Conformité LPD suisse (nLPD) et RGPD UE d'usine – pas en option.
DPA selon art. 28 RGPD
Accord de sous-traitance inclus – même dans la formule Free. Téléchargement en PDF clair.
Résidence des données Suisse
Tous les contenus sont stockés par défaut à Zurich (Supabase eu-central-2).
Multi-Factor Authentication
2FA basée sur TOTP (Google Authenticator, 1Password, Authy) gratuite pour toutes les formules.
SAML 2.0 SSO
Single Sign-On via SAML pour les formules Business (Microsoft Entra, Okta, Google Workspace).
Journal d'audit
Journal d'activité complet avec filtre par workspace et export CSV.
Test d'intrusion (tiers)
Pen-test prévu au Q4/2026 par un lab de sécurité CH certifié. Résumé des résultats public.
ISO 27001 (roadmap)
Certification en préparation. Les contrôles sont déjà mis en œuvre.
Sous-traitants · art. 28 RGPD
Qui traite techniquement vos données.
Liste complète et à jour des sous-traitants avec localisation et lien DPA respectif.
| Sous-traitant | Finalité | Localisation | DPA |
|---|---|---|---|
| Supabase Inc. | Base de données + Auth | Zurich (eu-central-2) · CH | AGB + DPA |
| Vercel Inc. | Hébergement + calcul | Francfort (fra1) · DE | AGB + DPA |
| Stripe Payments Europe Ltd. | Traitement des paiements | Dublin · IE | AGB + DPA |
| Resend Inc. | E-mails transactionnels incl. e-mails d'auth | UE eu-west-1 (Irlande) | AGB + DPA |
| Anthropic PBC | Inférence IA — uniquement en cas d'utilisation active, désactivable par workspace ; pas d'entraînement avec les données clients | USA · DPA incl. SCC | AGB + DPA |
Les modifications de cette liste sont communiquées 30 jours à l'avance par e-mail aux propriétaires de workspace. Le droit d'opposition selon l'art. 28 al. 2 RGPD subsiste.
Pratiques de sécurité
Ce qui tourne sous le capot.
Chiffrement
- TLS 1.3 en transit entre navigateur et serveur
- AES-256 au repos (base de données + stockage)
- Hachages de mots de passe via bcrypt + salt
- Secrets via Vercel Environment Variables, jamais dans le code
Contrôle d'accès
- Row Level Security (RLS) au niveau Postgres pour chaque table
- Isolation des workspaces : aucun utilisateur ne peut lire les données d'autres workspaces
- Clé Service-Role uniquement dans le code côté serveur, jamais dans le navigateur
- 2FA optionnelle via TOTP, SAML SSO optionnel dans la formule Business
Infrastructure
- Stockage hébergement : Supabase, Zurich (eu-central-2), CH
- Calcul hébergement : Vercel, Francfort (fra1), DE
- Sauvegardes : chiffrées quotidiennement, conservation 30 jours
- Reprise après sinistre RPO ≤ 24h, RTO ≤ 4h
Réponse aux incidents
- Obligation de notification 24h selon l'art. 33 RGPD aux admins de workspace
- Incidents de sécurité entièrement consignés dans le journal d'audit interne
- Post-mortems publics en cas d'incidents majeurs sur la page de statut
- Bug Bounty : security@flenio.ch · divulgation responsable, traitement équitable garanti
Questions de l'équipe conformité ?
Nous répondons en général sous 24h. Aussi en anglais. Nous remplissons volontiers les questionnaires fournisseurs (CAIQ, VSA, SIG-Lite).