Convertr LogoConvertr

Trust Center – Sécurité & Protection des Données

(Convertr)

Convertr est conçu dès l’origine pour répondre aux exigences de sécurité, de conformité et de fiabilité attendues par les équipes IT, Sécurité, DPO et Finance.

1. Architecture & Chiffrement

Isolation des données

Convertr repose sur une architecture SaaS multi-tenant à isolation logique stricte.

Les données de chaque client sont cloisonnées, sans possibilité d’accès croisé.

  • Isolation logique par client
  • Accès restreints selon le principe du moindre privilège
  • Aucune mutualisation applicative des données sensibles

Chiffrement des données

Les données sont protégées tout au long de leur cycle de vie :

  • En transit : chiffrement TLS 1.2+
  • Au repos : chiffrement AES-256
  • Sauvegardes : chiffrées et stockées sur des infrastructures cloud certifiées

Les données sont hébergées sur des infrastructures situées en Union Européenne et/ou aux États-Unis, opérées par des fournisseurs conformes aux standards de sécurité du marché (SOC 2 / ISO 27001).

Gestion des secrets

Les accès aux plateformes tierces (Meta Ads, Google Ads, API voix/IA) sont protégés par :

  • Coffre-fort numérique sécurisé
  • Accès restreints et journalisés
  • Rotation et révocation des clés API
  • Aucune clé exposée en clair côté client

2. Conformité RGPD & Usage Responsable de l’IA

Cadre RGPD clair

Convertr agit selon un cadre contractuel strict :

  • Convertr : Sous-traitant (Data Processor)
  • Client : Responsable de Traitement (Data Controller)

Nous fournissons :

  • un DPA conforme à l’article 28 RGPD,
  • des Clauses Contractuelles Types (SCC – UE 2021/914) pour les transferts hors UE,
  • une liste documentée des sous-traitants (Retell, Twilio, OpenAI, Cloud).

Données vocales & consentement

Les fonctionnalités d’IA vocale respectent les exigences réglementaires applicables :

  • Annonce d’enregistrement configurée avant l’appel (pré-call disclosure)
  • Enregistrements utilisés uniquement pour la finalité contractuelle
  • Rétention limitée : suppression automatique des audios (par défaut ≤ 90 jours, paramétrable)
  • Transcriptions et métriques anonymisées à des fins d’amélioration

Aucune donnée vocale n’est utilisée pour l’entraînement de modèles publics.

IA explicable & non décisionnelle

Les systèmes d’IA de Convertr :

  • sont probabilistes,
  • ne prennent aucune décision juridique ou financière autonome,
  • n’entrent pas dans le champ de l’article 22 RGPD (pas de décision automatisée critique).

3. Gouvernance de l’Autopilot & Sécurité Financière

Contrairement aux solutions « boîte noire », Convertr intègre des garde-fous techniques et contractuels pour protéger les budgets clients.

Contrôles budgétaires

  • Budget Cap : plafond mensuel strict, non dépassable techniquement
  • Stop-Loss : arrêt automatique des actions si le CPA dépasse un seuil défini
  • Bridage progressif en cas de dérive détectée

Traçabilité & auditabilité

  • Audit logs complets de chaque action automatisée (enchères, pauses, ajustements)
  • Historique horodaté et consultable
  • Actions réversibles (rollback)
  • Séparation claire entre recommandations IA et décisions finales

L’IA optimise, mais ne dépense jamais hors du cadre validé par le client.

4. Gestion des Incidents & Continuité

Détection & réponse

Convertr dispose de procédures formalisées de gestion des incidents :

  • Surveillance continue des anomalies techniques et financières
  • Détection automatisée des événements critiques (ex. : spend spike, dégradation IA)
  • Runbooks automatisés pour containment immédiat

Notification & communication

  • Notification client rapide en cas d’incident significatif
  • Délais de notification RGPD respectés (≤ 48h si données personnelles impactées)
  • Documentation post-incident disponible sur demande

Disponibilité & résilience

  • Objectif de disponibilité : 99,5 % mensuel (hors maintenance planifiée)
  • Sauvegardes régulières et chiffrées
  • Procédures de restauration testées périodiquement

5. Transparence & Audits

Convertr est ISO 27001 / SOC 2 ready :

  • Contrôles de sécurité alignés sur ISO/IEC 27001
  • Mapping ISO 27001 ↔ SOC 2 disponible
  • Droit d’audit encadré contractuellement (audit documentaire prioritaire)

Les documents suivants peuvent être fournis sur demande :

  • DPA Enterprise
  • Annexe Sécurité
  • Incident Response Plan
  • Mapping ISO 27001 / SOC 2