Contrat de sous-traitance RGPD
Signé avec chaque collectivité : il détaille ce que nous faisons des données, pour combien de temps, et qui peut y accéder.
Hébergées en France, anonymisées avant tout traitement par l'IA, chiffrées de bout en bout. Nous vous expliquons, concrètement et sans jargon, ce qui protège les données de votre collectivité et celles de vos administrés.
Toute la chaîne est française et européenne. Aucune donnée client ne transite ni n'est stockée hors de l'Union européenne.
Le moteur qui fait tourner Rostra.
OVHcloud · StrasbourgContenus créés, comptes et paramètres.
Supabase · région FranceAnalyse des fichiers reçus avant tout traitement.
Infrastructure interne · OVH StrasbourgLecture en flux. Aucun contenu d'e-mail n'est stocké.
Nylas · endpoint européenChiffrement, contrôle des accès, continuité de service : les mesures concrètes, regroupées pour votre DSI.
Vos contenus (brouillons, comptes rendus, courriers, conversations) sont chiffrés, isolés par collectivité et vous appartiennent. Le secret professionnel est protégé jusqu'au niveau de la base de données.
Vos contenus sont chiffrés avec le standard des banques. Illisibles sans la clé, même avec un accès direct à la base.
Tout ce qui circule entre votre navigateur et nos serveurs est chiffré de bout en bout.
La base empêche techniquement une collectivité de voir les données, ou même l'existence des contenus, d'une autre.
Minimisation, finalité explicite, conservation limitée, droits d'accès, d'effacement et de portabilité : nous appliquons l'ensemble des principes RGPD, et nous l'écrivons noir sur blanc.
La liste complète, avec leur rôle et leur localisation, figure sur notre page Confidentialité.
Pour aller plus loin : ce que vous devez exiger de votre prestataire IA · l'alternative française à ChatGPT · modèle de charte IA.