Mesures techniques & organisationnelles (TOM)
Document de référence
Ceci est la description par défaut des mesures techniques et organisationnelles de niil (art. 32 RGPD). Elle reflète les contrôles mis en œuvre dans la plateforme. Les éléments marqués confirmé par l'opérateur sont des engagements de déploiement/d'exploitation que votre opérateur niil confirme pour votre instance. Pour le service niil hébergé (niil.ai / app.niil.ai), l'opérateur est Gradient Zero Deutschland GmbH (gzero.ai) ; pour un déploiement auto-hébergé, il s'agit de l'organisation qui exploite l'instance.
Art. 32 RGPD · Version 1.0
Ces mesures protègent la confidentialité, l'intégrité, la disponibilité et la résilience du traitement.
1. Confidentialité
- Chiffrement au repos — les messages de chat, les documents téléversés et les titres de conversation sont chiffrés avec AES-256-GCM avant persistance ; les identifiants de connecteur sont scellés avec une clé AES-256-GCM distincte. Les clés sont fournies comme secrets de déploiement (gérées par KMS en production). Voir Chiffrement.
- Chiffrement en transit — TLS terminé à l'ingress ; cookies de session sécurisés et HTTP-only.
- Contrôle d'accès — contrôle d'accès basé sur les rôles (admin-locataire / concepteur / lecteur) ; autorisation des commandes selon le moindre privilège ; isolation par locataire appliquée au niveau commande/requête et, en production, par la Row-Level Security de PostgreSQL.
- Séparation des locataires — chaque enregistrement est cloisonné par locataire ; l'accès inter-locataires est refusé par la couche d'autorisation.
- Prévention des pertes de données — détection et masquage des données personnelles à l'entrée/sortie du chat, avec enregistrement des détections dans la piste d'audit. Voir Protection des données & RGPD.
- Accès physique (confirmé par l'opérateur) — contrôlé par le fournisseur IaaS de l'UE (centres de données certifiés ISO 27001).
2. Intégrité
- Contrôle d'entrée/de transmission — un journal de commandes/événements en ajout seul, issu de l'event sourcing ; des entrées d'audit immuables.
- Journalisation d'audit — chaque action significative est enregistrée avec l'acteur, l'action, la ressource et des étiquettes de contrôle de conformité (RGPD / SOC 2 / HIPAA).
3. Disponibilité & résilience
- Sauvegardes (confirmé par l'opérateur) — sauvegardes chiffrées quotidiennes du magasin de données avec une rétention d'au moins 7 jours ; tests de restauration périodiques.
- Reprise après sinistre (confirmé par l'opérateur) — un runbook de restauration documenté avec des objectifs RPO/RTO définis.
- Objectif de disponibilité (confirmé par l'opérateur) — conformément à l'accord principal.
4. Zero data retention & absence d'entraînement
Les prompts et les sorties ne sont pas utilisés pour entraîner les modèles. La ZDR est contractée avec les sous-traitants ultérieurs d'IA et signalée techniquement lorsque cela est pris en charge — voir Zero Data Retention.
5. Procédures de révision régulière
- Gestion de la protection des données (confirmé par l'opérateur) — revue périodique des mesures ; délégué à la protection des données lorsque requis.
- Réponse aux incidents — un processus documenté détection → notification → analyse → remédiation ; notification des violations au Client sans retard injustifié.
- Tests & gestion des vulnérabilités (confirmé par l'opérateur) — tests externes réguliers et analyse continue des dépendances.
6. Droits des personnes concernées & suppression
- Export des données (art. 15) et effacement (art. 17) en libre-service par personne concernée.
- La suppression efface cryptographiquement les contenus chiffrés ; les obligations légales de conservation sont respectées.