FlenioFlenio
Sécurité + conformité

Nous traitons vos données comme nous voulons que les nôtres le soient.

Conservation des données à Zurich sur chaque formule, traitement en Suisse et dans l'UE. Développé selon les normes RGPD et nLPD. DPA-PDF téléchargé en deux clics. Liste transparente de tous les sous-traitants. Ce qui coûte un supplément Enterprise ailleurs va de soi chez nous.

Les quatre piliers

La sécurité n'est pas une fonction. C'est de l'architecture.

Données en Suisse

  • Région Supabase eu-central-2 à Zurich
  • Les sauvegardes restent dans l'UE
  • Aucun transfert de données vers les USA pour vos contenus
  • Résidence des données verrouillable par workspace (Business)

Chiffrement

  • TLS 1.3 pour chaque connexion
  • AES-256 pour les données au repos
  • Sauvegardes chiffrées
  • Jetons de session rotés + cookies HTTPS-only

Gestion des identités

  • Mots de passe hachés bcrypt (12 tours)
  • Authentification multi-facteurs via TOTP
  • Single Sign-On via SAML 2.0 (Business)
  • Rôles granulaires Owner, Admin, Member, Invité

Auditabilité

  • Journal d'activité complet par workspace
  • 30 jours de rétention sur Team, illimité sur Business
  • Export en CSV ou JSON
  • Tentatives de connexion et appels API journalisés

Matrice de conformité

Les normes que nous respectons — sans astérisque.

Transparence totale sur le statut actuel. Ce qui n'est pas certifié, nous le disons aussi.

NormeRégionStatutDétails
DSGVOUEAlignéDéveloppé selon les exigences RGPD : DPA selon art. 28 disponible, export de données selon art. 20, concept de suppression selon art. 17. Pas de certification externe — statut transparent.
revDSGSuisseAlignéDéveloppé selon les exigences de la loi suisse révisée sur la protection des données (en vigueur depuis le 1er septembre 2023) : conservation des données en Suisse, droits d'accès et de suppression mis en œuvre.
GDPR (UK)Royaume-UniAlignéLe UK GDPR est équivalent au RGPD ; les mesures RGPD s'appliquent en conséquence. International Data Transfer Agreement (IDTA) sur demande.
ISO 27001InternationalEn préparationLa préparation à l'audit est en cours. Prévu pour Q4/2026. Le sous-traitant Supabase est déjà certifié ISO 27001.
SOC 2 Type IIUSAEn préparationAudits préparatoires Q2/2026. Certification prévue Q1/2027.
C5 TestatAllemagneRoadmapCloud Computing Compliance Criteria Catalogue. Roadmap 2027 pour les clients publics.

Sous-traitants

Qui traite quelles données — listé intégralement.

Nous ne cachons rien dans des notes de bas de page — voici chaque prestataire dont les serveurs touchent nos données, avec finalité et localisation.

Frontend ≠ conservation des données — en bref

Un IP-lookup de flenio.ch montre notre frontend — c'est-à-dire la diffusion du site via Vercel (calcul à Francfort, UE). Le réseau Edge de Vercel est enregistré chez AWS, c'est pourquoi un identifiant AWS/Amazon y apparaît. Ce n'est pas l'endroit où se trouvent vos données.

Vos données — base de données et stockage de fichiers — se trouvent chez Supabase dans la région eu-central-2 (Zurich). Vérifiable via l'hôte de base de données db.<projet>.supabase.co. La résidence des données se rapporte à cette conservation, pas à la diffusion du site.

Supabase

Base de données PostgreSQL, Auth, Storage, Realtime

eu-central-2 (Zurich, Suisse)

SOC 2HIPAAISO 27001

Vercel

Hébergement du frontend, réseau Edge

Francfort, Allemagne (fra1)

SOC 2PCI DSS

Stripe

Traitement des paiements (uniquement si formule payante)

Irlande (UE)

PCI DSS Level 1SOC 1+2

Resend

E-mails transactionnels incl. e-mails d'auth (inscription, invitations, notifications)

UE eu-west-1 (Irlande)

SOC 2

Anthropic

Fonctions IA (FlenioAI) — uniquement en cas d'utilisation active, désactivable par workspace, pas d'entraînement avec les données clients

USA (DPA incl. Standard Contractual Clauses)

SOC 2

La liste complète et à jour avec les coordonnées et le dernier audit se trouve dans le Trust Center.

Vulnerability Disclosure

Faille de sécurité trouvée ? Dites-le-nous.

Nous croyons à la divulgation responsable. Les chercheurs en sécurité qui signalent des failles de manière responsable sont listés avec leur accord dans le Hall of Fame et nous les remercions avec un bug bounty de CHF 100 (ou une année Team gratuite).

Contact sécurité

Écrivez-nous à security@flenio.ch. Clé PGP sur demande. Réponse sous 24h ouvrées.

Ce qui ne compte pas

Vulnérabilités théoriques sans preuve de concept, DDoS volumétrique, Self-XSS via extensions de navigateur, ainsi que tout ce qui relève de l'ingénierie sociale.

Questions sur l'architecture ou le DPA ?

Si votre service conformité a besoin de réponses détaillées, écrivez-nous. Pour les audits bancaires, fiduciaires ou publics, nous préparons volontiers un briefing technique.