Centre de confiance
La transparence par défaut,
pas en option.
Comment PilotCrew protège vos données : hébergement UE, Zero Data Retention sur les modèles IA, conformité EU AI Act, DPA opposable dès la souscription. Une page, tous les engagements — pas de PDF à demander, rien sous NDA.
Vercel fra1 + Supabase Frankfurt eu-central-1
Système IA à risque limité, transparence Art. 50
Anthropic, OpenAI, Google : ZDR activé contractuellement
Article 28 RGPD, accepté à la souscription
Audit en cours, rapport prévu Q3 2026
Lancement préparation 2027
Souveraineté des données
Données chez vous, pas chez les hyperscalers américains
La base de données Postgres tenant (comptes, contenus, audit logs) vit sur Supabase Frankfurt — ne sort jamais de l'EEE. Cloudflare R2 stocke les fichiers en région UE automatique. Vercel sert le frontend depuis fra1 (Paris/Francfort). Aucun donnée tenant ne transite par les datacenters US par défaut.
Modèles IA : transferts US encadrés, contenu non-conservé
Les prompts envoyés à Claude (Anthropic), GPT (OpenAI) et Gemini (Google) traversent les États-Unis. Ces transferts sont couverts par les Clauses Contractuelles Types (CCT) 2021/914 + Zero Data Retention activé : aucun de vos prompts n'est conservé au-delà de la requête, aucun n'entraîne les modèles. C'est un engagement contractuel, pas une promesse marketing.
Multi-modèles = pas de lock-in fournisseur
Si Anthropic ou OpenAI change ses CGU ou cesse de servir l'EU, le routage bascule sur les autres modèles (Mistral en backup souverain, Gemini région UE). Votre service ne dépend pas de la pérennité d'un seul fournisseur US.
Zero Data Retention par fournisseur
Vos prompts ne servent jamais à entraîner les modèles que nous orchestrons. Voici l'engagement contractuel et la preuve technique pour chacun.
| Fournisseur | Engagement | Mise en œuvre |
|---|---|---|
| Anthropic (Claude) | ZDR activé | Compte Enterprise + clause contractuelle no-retention |
| OpenAI (GPT-4o, o1) | ZDR activé | Account opt-out training + DPA signé |
| Google (Gemini) | ZDR activé | Vertex AI no-cache + région UE configurable |
| Fal.ai (images) | No-training activé | Account flag + DPA |
| ElevenLabs (TTS) | No-training activé | Texte synthétisé éphémère, pas de biométrie client |
Documents opposables
Conforme RGPD art. 28, opposable dès la première facture. Aucune contre-signature manuelle requise.
19 sous-traitants listés : finalité, localisation, données transmises, statut EEE/CCT. Notification 30j avant toute modification.
Catégorie « risque limité » (Art. 50), transparence IA, mécanismes d'opposition utilisateur, journal de modèles.
Vos droits RGPD : accès, rectification, effacement, portabilité, opposition. Procédure d'exercice et délais documentés.
Réponse à incident
- Notification 72h— En cas de violation de données impactant un Client, notification au DPO du Client sous 72h ouvrées suivant la connaissance, conformément à l'art. 33 RGPD.
- Monitoring 24/7 — Sentry sur toutes les routes ; alertes Slack et Telegram en temps réel ; cron
cron-execution-verifierqui surveille la santé du parc opérationnel. - Audit logs immuables — Toutes les actions sensibles (auth, suppression, export, paiement) sont journalisées 90 jours dans
audit_logs, accessibles sur demande. - Test de restauration mensuel — Le cron
db-backup-verifierrestaure une sauvegarde et vérifie l'intégrité chaque mois. - Status public — La page status.pilotcrew.io remonte la disponibilité du Service en temps réel.
Questions fréquentes
Mes données seront-elles utilisées pour entraîner des modèles IA ?
Non. Nous activons spécifiquement les options « Zero Data Retention » et « no-training » disponibles chez Anthropic, OpenAI, Google et Fal.ai. Vos prompts ne sont conservés qu'aux fins d'observabilité technique chez Langfuse (métadonnées uniquement, sans contenu utilisateur), pendant 30 jours maximum.
Que se passe-t-il en cas de violation de données ?
Notification au délégué à la protection des données du Client dans les 72h suivant la connaissance de l'incident, conformément à l'article 33 RGPD. Procédure documentée, audit logs immuables conservés 90 jours, monitoring 24/7 via Sentry avec alertes Slack/Telegram.
L'agent vocal traite-t-il des données biométriques ?
Les transcriptions vocales sont une donnée biométrique au sens de l'article 9 RGPD. Elles sont chiffrées en transit et au repos, conservées le temps strict de la prestation (durée d'abonnement + 30j post-résiliation), et ne sortent jamais de notre écosystème pour entraîner un modèle. Les voix synthétiques (ElevenLabs) sont artificielles, sans biométrie client.
Puis-je récupérer mes données si je résilie ?
Oui. Export complet en JSON + Markdown inclus sans frais à la résiliation. Vos données sont supprimées sous 30 jours après la fin du contrat (ou restituées si vous préférez), sauf obligation légale de conservation (facturation : 10 ans en France).
Puis-je auditer votre conformité ?
Une fois par an, avec préavis de 30 jours, à vos frais. Pour les Clients Scale (€349/mois), le rapport SOC 2 Type 2 (en cours d'obtention, livraison prévue Q3 2026) sera mis à disposition annuellement.
Êtes-vous l'éditeur, ou y a-t-il une société écran ?
PilotCrew est édité par KEY FOR AI SAS, société française immatriculée au RCS de Paris (SIREN 994 487 775), siège 229 Rue Saint-Honoré 75001 Paris. Pas de société écran offshore. Le DPO est joignable directement à dpo@pilotcrew.io.
Contact DPO
Une question RGPD, un audit fournisseur à mener, une demande d'exercice de droit ? Le délégué à la protection des données vous répond directement.
KEY FOR AI SAS — RCS Paris 994 487 775 — TVA FR96 994 487 775 — Siège social : 229 Rue Saint-Honoré, 75001 Paris, France. PilotCrew est une marque de KEY FOR AI SAS.