Trust Center – Sécurité & Protection des Données

1. Architecture & Chiffrement

Isolation des données

Convertr repose sur une architecture SaaS multi-tenant à isolation logique stricte.

Les données de chaque client sont cloisonnées, sans possibilité d'accès croisé.

• Isolation logique par client
• Accès restreints selon le principe du moindre privilège
• Aucune mutualisation applicative des données sensibles

Chiffrement des données

Les données sont protégées tout au long de leur cycle de vie :

• En transit : chiffrement TLS 1.2+
• Au repos : chiffrement AES-256
• Sauvegardes : chiffrées et stockées sur des infrastructures cloud certifiées

Les données sont hébergées sur des infrastructures situées en Union Européenne et/ou aux États-Unis, opérées par des fournisseurs conformes aux standards de sécurité du marché (SOC 2 / ISO 27001).

Gestion des secrets

Les accès aux plateformes tierces (Meta Ads, Google Ads, API voix/IA) sont protégés par :

• Coffre-fort numérique sécurisé
• Accès restreints et journalisés
• Rotation et révocation des clés API
• Aucune clé exposée en clair côté client

2. Conformité RGPD & Usage Responsable de l'IA

Cadre RGPD clair

Convertr agit selon un cadre contractuel strict :

• Convertr : Sous-traitant (Data Processor)
• Client : Responsable de Traitement (Data Controller)

Données vocales & consentement

Les fonctionnalités d'IA vocale respectent les exigences réglementaires applicables :

• Annonce d'enregistrement configurée avant l'appel (pré-call disclosure)
• Enregistrements utilisés uniquement pour la finalité contractuelle
• Rétention limitée : suppression automatique des audios (par défaut ≤ 90 jours, paramétrable)
• Transcriptions et métriques anonymisées à des fins d'amélioration

Aucune donnée vocale n'est utilisée pour l'entraînement de modèles publics.

IA explicable & non décisionnelle

3. Gouvernance de l'Autopilot & Sécurité Financière

Contrairement aux solutions « boîte noire », Convertr intègre des garde-fous techniques et contractuels pour protéger les budgets clients.

Contrôles budgétaires

• Budget Cap : plafond mensuel strict, non dépassable techniquement
• Stop-Loss : arrêt automatique des actions si le CPA dépasse un seuil défini
• Bridage progressif en cas de dérive détectée

Traçabilité & auditabilité

• Audit logs complets de chaque action automatisée (enchères, pauses, ajustements)
• Historique horodaté et consultable
• Actions réversibles (rollback)
• Séparation claire entre recommandations IA et décisions finales

4. Gestion des Incidents & Continuité

Détection & réponse

Convertr dispose de procédures formalisées de gestion des incidents :

• Surveillance continue des anomalies techniques et financières
• Détection automatisée des événements critiques (ex. : spend spike, dégradation IA)
• Runbooks automatisés pour containment immédiat

Notification & communication

• Notification client rapide en cas d'incident significatif
• Délais de notification RGPD respectés (≤ 48h si données personnelles impactées)
• Documentation post-incident disponible sur demande

Disponibilité & résilience

• Objectif de disponibilité : 99,5 % mensuel (hors maintenance planifiée)
• Sauvegardes régulières et chiffrées
• Procédures de restauration testées périodiquement

5. Transparence & Audits

Convertr est ISO 27001 / SOC 2 ready :

• Contrôles de sécurité alignés sur ISO/IEC 27001
• Mapping ISO 27001 ↔ SOC 2 disponible
• Droit d'audit encadré contractuellement (audit documentaire prioritaire)