Sécurité & protection des données

Mis à jour le 2026-07-03

Weenova héberge les données des cabinets en Union européenne (Supabase), les chiffre en transit (TLS 1.2+) et au repos (AES-256), et isole chaque cabinet en base de données par Row Level Security : un courtier ne peut jamais accéder aux données d'un autre. Les actions sensibles des agents IA passent par validation humaine, et les données ne servent jamais à entraîner des modèles d'IA tiers. Cette page détaille l'ensemble du dispositif.

Hébergement en Union européenne

Les données applicatives de Weenova (clients, contrats, documents, conversations) sont hébergées au sein de l'Union européenne par Supabase : elles ne quittent pas le territoire européen pour leur stockage. Le site vitrine est servi par Netlify ; les données métier des cabinets, elles, restent dans l'infrastructure UE.

Certains traitements ponctuels (modèles d'IA, paiement, téléphonie) font appel à des sous-traitants pouvant être situés hors UE : ces transferts sont encadrés par les Clauses Contractuelles Types (SCCs) de la Commission européenne, avec des mesures complémentaires (chiffrement, pseudonymisation des données transmises, minimisation) — voir la section « Sous-traitants » ci-dessous.

Chiffrement de bout en bout du parcours de la donnée

  • En transit : toutes les communications sont chiffrées en TLS 1.2+ (HTTPS partout).
  • Au repos : les données sont chiffrées en AES-256.
  • Jetons d'accès OAuth (Gmail, Slack, LinkedIn, Telegram…) : chiffrés au repos (AES-256) et en transit, au sein d'une infrastructure de connecteurs certifiée SOC 2 Type II. Vos mots de passe et jetons ne sont jamais visibles ni stockés en clair par Weenova.
  • Moindre privilège : chaque intégration se limite aux autorisations (scopes) strictement nécessaires à la fonction demandée, et toute connexion est révocable à tout moment depuis votre compte — ce qui supprime les jetons associés.

Isolation stricte par cabinet (multi-tenant)

Weenova est une plateforme multi-tenant conçue avec une règle non négociable : un courtier ne doit jamais pouvoir accéder aux données d'un autre cabinet.

  • Row Level Security (RLS) sur toutes les tables de la base de données : chaque requête est filtrée par cabinet au niveau du moteur de base de données lui-même, pas seulement dans l'application.
  • Contrôle d'accès par rôles (RBAC) au sein de chaque espace de travail : propriétaire, administrateur, utilisateur — les fonctions sensibles (trésorerie, connexions bancaires) sont réservées aux administrateurs.
  • Permissions par outil pour les agents IA (TBAC) : chaque agent n'accède qu'aux outils qui lui sont autorisés, avec possibilité d'exiger une approbation humaine outil par outil.

RGPD : vos droits, nos engagements

Le dispositif RGPD de Weenova est documenté dans la politique de confidentialité. L'essentiel :

  • DPO dédié : emmy@weenova.ai — registre des traitements (ROPA) complet, disponible sur demande.
  • Droits en self-service : export complet de vos données (portabilité, Art. 20) et suppression de compte (Art. 17) directement depuis votre espace Compte → RGPD, sans passer par le support. La purge immédiate d'une connexion bancaire est également en self-service.
  • Durées de conservation définies : données CRM 3 ans après le dernier contact, facturation 10 ans (obligation comptable), logs techniques 12 mois — le détail complet est publié dans la politique de confidentialité.
  • Archivage réglementaire côté courtier : le CRM conserve les documents du devoir de conseil de manière horodatée pour couvrir la durée d'archivage exigée par la DDA (5 ans minimum).
  • Sous-traitance claire : pour les données de vos clients, vous restez responsable de traitement ; Weenova agit comme sous-traitant (Art. 28 RGPD), strictement sur vos instructions.
  • Jamais de revente : vos données personnelles ne sont ni vendues, ni louées, ni cédées.

Validation humaine des actions IA (Shield AI)

L'IA de Weenova est conçue pour exécuter sous supervision, pas pour agir dans votre dos :

  • Shield AI activé par défaut : aucun email sortant n'est envoyé sans validation humaine — les agents préparent des brouillons que vous approuvez. En courtage, le brouillon est le mode par défaut.
  • Système d'approbation : les actions sensibles (communication client, écriture dans l'agenda) créent une demande d'approbation ; l'exécution est bloquée tant que vous n'avez pas tranché.
  • Transparence : chaque agent se déclare comme IA. Les traitements automatisés ne produisent pas d'effet juridique sans intervention humaine, et vous pouvez désactiver les automatisations agent par agent.
  • Traçabilité : les actions des agents sont journalisées, ce qui permet de répondre à un audit ou à un contrôle avec un historique complet.

Sous-traitants encadrés, y compris pour l’IA

Weenova sélectionne ses sous-traitants sur des garanties de sécurité vérifiables, chacune adaptée au domaine. Les traitements par modèles d'IA (dont les services annoncés publiquement comme OpenAI pour les agents et ElevenLabs pour la voix) sont encadrés contractuellement : clauses contractuelles types, pseudonymisation des données transmises, et interdiction d'utiliser vos données pour entraîner les modèles. La liste nominative des sous-traitants, tenue à jour, est communiquée sur demande auprès du DPO.

DomaineGarantie publiée
Hébergement & base de donnéesUnion européenne, chiffrement transit + repos, Row Level Security
Traitement par modèles d'IASCCs, pseudonymisation des prompts, pas d'entraînement sur vos données
PaiementPCI-DSS (données de carte jamais accessibles à Weenova)
Connecteurs d’intégration (Gmail, Slack…)SOC 2 Type II, jetons OAuth chiffrés AES-256
Signature électronique (DER, mandat, FIC)Conforme eIDAS, données traitées en UE
Agrégation bancaire (sur votre initiative)Prestataire agréé DSP2, lecture seule, données en UE

Ce que nous ne faisons pas

La transparence vaut aussi pour les limites :

  • Pas de cookies de tracking publicitaire sur l'application : uniquement des cookies strictement nécessaires (session, préférences).
  • Pas d'accès en écriture à vos comptes bancaires : toute connexion bancaire est à votre seule initiative, en lecture seule (agrégation DSP2) — Weenova n'initie aucun paiement ni mouvement de fonds.
  • Pas de revendication de certification que nous n'avons pas : les garanties listées ici (SOC 2 Type II, PCI-DSS, eIDAS, DSP2) sont celles de nos sous-traitants dans leur domaine, contractuellement vérifiées — pas des labels que nous nous attribuons.

Questions fréquentes

Où sont hébergées les données de mon cabinet ?

En Union européenne, sur l'infrastructure Supabase : base de données, authentification et documents. Elles y sont chiffrées au repos (AES-256) et en transit (TLS 1.2+). Seuls certains traitements ponctuels (IA, paiement, téléphonie) transitent par des sous-traitants pouvant être hors UE, sous clauses contractuelles types et avec pseudonymisation.

Un autre cabinet peut-il voir mes données ?

Non. L'isolation est appliquée au niveau de la base de données elle-même (Row Level Security sur toutes les tables) : chaque requête est filtrée par cabinet avant même d'atteindre l'application. C'est la règle de conception n°1 de la plateforme, complétée par les rôles d'équipe (RBAC) et les permissions par outil des agents (TBAC).

Comment exercer mes droits RGPD ?

L'export complet de vos données et la suppression de votre compte sont en self-service depuis votre espace Compte → RGPD, sans ticket support. Pour les autres droits (rectification, opposition, limitation), contactez le DPO à emmy@weenova.ai — réponse dans le délai réglementaire d'un mois. Vous pouvez aussi saisir la CNIL à tout moment.

L'IA peut-elle contacter mes clients sans mon accord ?

Non, pas par défaut. Le Shield AI transforme les actions sensibles en brouillons soumis à votre validation : aucun email ne part sans votre approbation. Vous pouvez ensuite, en connaissance de cause, automatiser certaines tâches précises — et revenir en arrière à tout moment, agent par agent.