Nous traitons vos données comme nous voulons que les nôtres le soient.
Conservation des données à Zurich sur chaque formule, traitement en Suisse et dans l'UE. Développé selon les normes RGPD et nLPD. DPA-PDF téléchargé en deux clics. Liste transparente de tous les sous-traitants. Ce qui coûte un supplément Enterprise ailleurs va de soi chez nous.
Les quatre piliers
La sécurité n'est pas une fonction. C'est de l'architecture.
Données en Suisse
- Région Supabase eu-central-2 à Zurich
- Les sauvegardes restent dans l'UE
- Aucun transfert de données vers les USA pour vos contenus
- Résidence des données verrouillable par workspace (Business)
Chiffrement
- TLS 1.3 pour chaque connexion
- AES-256 pour les données au repos
- Sauvegardes chiffrées
- Jetons de session rotés + cookies HTTPS-only
Gestion des identités
- Mots de passe hachés bcrypt (12 tours)
- Authentification multi-facteurs via TOTP
- Single Sign-On via SAML 2.0 (Business)
- Rôles granulaires Owner, Admin, Member, Invité
Auditabilité
- Journal d'activité complet par workspace
- 30 jours de rétention sur Team, illimité sur Business
- Export en CSV ou JSON
- Tentatives de connexion et appels API journalisés
Matrice de conformité
Les normes que nous respectons — sans astérisque.
Transparence totale sur le statut actuel. Ce qui n'est pas certifié, nous le disons aussi.
| Norme | Région | Statut | Détails |
|---|---|---|---|
| DSGVO | UE | Aligné | Développé selon les exigences RGPD : DPA selon art. 28 disponible, export de données selon art. 20, concept de suppression selon art. 17. Pas de certification externe — statut transparent. |
| revDSG | Suisse | Aligné | Développé selon les exigences de la loi suisse révisée sur la protection des données (en vigueur depuis le 1er septembre 2023) : conservation des données en Suisse, droits d'accès et de suppression mis en œuvre. |
| GDPR (UK) | Royaume-Uni | Aligné | Le UK GDPR est équivalent au RGPD ; les mesures RGPD s'appliquent en conséquence. International Data Transfer Agreement (IDTA) sur demande. |
| ISO 27001 | International | En préparation | La préparation à l'audit est en cours. Prévu pour Q4/2026. Le sous-traitant Supabase est déjà certifié ISO 27001. |
| SOC 2 Type II | USA | En préparation | Audits préparatoires Q2/2026. Certification prévue Q1/2027. |
| C5 Testat | Allemagne | Roadmap | Cloud Computing Compliance Criteria Catalogue. Roadmap 2027 pour les clients publics. |
Sous-traitants
Qui traite quelles données — listé intégralement.
Nous ne cachons rien dans des notes de bas de page — voici chaque prestataire dont les serveurs touchent nos données, avec finalité et localisation.
Frontend ≠ conservation des données — en bref
Un IP-lookup de flenio.ch montre notre frontend — c'est-à-dire la diffusion du site via Vercel (calcul à Francfort, UE). Le réseau Edge de Vercel est enregistré chez AWS, c'est pourquoi un identifiant AWS/Amazon y apparaît. Ce n'est pas l'endroit où se trouvent vos données.
Vos données — base de données et stockage de fichiers — se trouvent chez Supabase dans la région eu-central-2 (Zurich). Vérifiable via l'hôte de base de données db.<projet>.supabase.co. La résidence des données se rapporte à cette conservation, pas à la diffusion du site.
Supabase
Base de données PostgreSQL, Auth, Storage, Realtime
eu-central-2 (Zurich, Suisse)
Vercel
Hébergement du frontend, réseau Edge
Francfort, Allemagne (fra1)
Stripe
Traitement des paiements (uniquement si formule payante)
Irlande (UE)
Resend
E-mails transactionnels incl. e-mails d'auth (inscription, invitations, notifications)
UE eu-west-1 (Irlande)
Anthropic
Fonctions IA (FlenioAI) — uniquement en cas d'utilisation active, désactivable par workspace, pas d'entraînement avec les données clients
USA (DPA incl. Standard Contractual Clauses)
La liste complète et à jour avec les coordonnées et le dernier audit se trouve dans le Trust Center.
Vulnerability Disclosure
Faille de sécurité trouvée ? Dites-le-nous.
Nous croyons à la divulgation responsable. Les chercheurs en sécurité qui signalent des failles de manière responsable sont listés avec leur accord dans le Hall of Fame et nous les remercions avec un bug bounty de CHF 100 (ou une année Team gratuite).
Contact sécurité
Écrivez-nous à security@flenio.ch. Clé PGP sur demande. Réponse sous 24h ouvrées.
Ce qui ne compte pas
Vulnérabilités théoriques sans preuve de concept, DDoS volumétrique, Self-XSS via extensions de navigateur, ainsi que tout ce qui relève de l'ingénierie sociale.
Questions sur l'architecture ou le DPA ?
Si votre service conformité a besoin de réponses détaillées, écrivez-nous. Pour les audits bancaires, fiduciaires ou publics, nous préparons volontiers un briefing technique.