FlenioFlenio
Trust Center · dernière mise à jour 07 juillet 2026

La confiance n'est pas un mot marketing.C'est de l' architecture.

Vous trouverez ici tout ce dont les équipes conformité, sécurité et juridique ont besoin pour leur évaluation fournisseur. Sans NDA, sans appel commercial, sans « on en parlera plus tard ».

Zürich · Frankfurt · EU

Stockage CH, calcul DE, e-mail UE

Surveillance du statut

Sondes externes toutes les 60 s — Vercel Edge dans 5 régions

Zürich · Frankfurt · EU

Stockage CH, calcul DE, e-mail UE

Conformité & certifications

Ce que nous livrons – et ce qui est prévu.

Nous ne cachons rien. Si quelque chose n'est pas encore là, nous le disons – avec une date.

Actif

RGPD + nLPD

Conformité LPD suisse (nLPD) et RGPD UE d'usine – pas en option.

Actif

DPA selon art. 28 RGPD

Accord de sous-traitance inclus – même dans la formule Free. Téléchargement en PDF clair.

Actif

Résidence des données Suisse

Tous les contenus sont stockés par défaut à Zurich (Supabase eu-central-2).

Actif

Multi-Factor Authentication

2FA basée sur TOTP (Google Authenticator, 1Password, Authy) gratuite pour toutes les formules.

Actif

SAML 2.0 SSO

Single Sign-On via SAML pour les formules Business (Microsoft Entra, Okta, Google Workspace).

Actif

Journal d'audit

Journal d'activité complet avec filtre par workspace et export CSV.

Q4/2026

Test d'intrusion (tiers)

Pen-test prévu au Q4/2026 par un lab de sécurité CH certifié. Résumé des résultats public.

Roadmap

ISO 27001 (roadmap)

Certification en préparation. Les contrôles sont déjà mis en œuvre.

Sous-traitants · art. 28 RGPD

Qui traite techniquement vos données.

Liste complète et à jour des sous-traitants avec localisation et lien DPA respectif.

Sous-traitantFinalitéLocalisationDPA
Supabase Inc.Base de données + AuthZurich (eu-central-2) · CHAGB + DPA
Vercel Inc.Hébergement + calculFrancfort (fra1) · DEAGB + DPA
Stripe Payments Europe Ltd.Traitement des paiementsDublin · IEAGB + DPA
Resend Inc.E-mails transactionnels incl. e-mails d'authUE eu-west-1 (Irlande)AGB + DPA
Anthropic PBCInférence IA — uniquement en cas d'utilisation active, désactivable par workspace ; pas d'entraînement avec les données clientsUSA · DPA incl. SCCAGB + DPA

Les modifications de cette liste sont communiquées 30 jours à l'avance par e-mail aux propriétaires de workspace. Le droit d'opposition selon l'art. 28 al. 2 RGPD subsiste.

Pratiques de sécurité

Ce qui tourne sous le capot.

Chiffrement

  • TLS 1.3 en transit entre navigateur et serveur
  • AES-256 au repos (base de données + stockage)
  • Hachages de mots de passe via bcrypt + salt
  • Secrets via Vercel Environment Variables, jamais dans le code

Contrôle d'accès

  • Row Level Security (RLS) au niveau Postgres pour chaque table
  • Isolation des workspaces : aucun utilisateur ne peut lire les données d'autres workspaces
  • Clé Service-Role uniquement dans le code côté serveur, jamais dans le navigateur
  • 2FA optionnelle via TOTP, SAML SSO optionnel dans la formule Business

Infrastructure

  • Stockage hébergement : Supabase, Zurich (eu-central-2), CH
  • Calcul hébergement : Vercel, Francfort (fra1), DE
  • Sauvegardes : chiffrées quotidiennement, conservation 30 jours
  • Reprise après sinistre RPO ≤ 24h, RTO ≤ 4h

Réponse aux incidents

  • Obligation de notification 24h selon l'art. 33 RGPD aux admins de workspace
  • Incidents de sécurité entièrement consignés dans le journal d'audit interne
  • Post-mortems publics en cas d'incidents majeurs sur la page de statut
  • Bug Bounty : security@flenio.ch · divulgation responsable, traitement équitable garanti

Questions de l'équipe conformité ?

Nous répondons en général sous 24h. Aussi en anglais. Nous remplissons volontiers les questionnaires fournisseurs (CAIQ, VSA, SIG-Lite).