Aller au contenu

Sécurité et confiance

Nous demandons à nos clients de nous faire confiance sur la question de savoir où vivent leurs données. Cela nous oblige à répondre à la même question à notre sujet — y compris pour les aspects qui ne sont pas flatteurs.

La version courte
#

  • Ce site ne conserve aucune base de données des demandes. Votre message devient un courriel ; il n’y a aucun entrepôt de soumissions à compromettre.
  • Nous recueillons le strict minimum. Aucun numéro de téléphone, aucun témoin de suivi, aucun profilage publicitaire ou statistique.
  • Les systèmes que nous construisons fonctionnent sur votre infrastructure, pas la nôtre. C’est tout le produit.
  • Nous ne détenons ni SOC 2 ni ISO 27001. Nous préférons le dire ici plutôt que vous le laissiez découvrir pendant un appel — voir Certifications.

Comment ce site traite les données
#

Le détail complet se trouve dans la Politique de confidentialité. Les faits pertinents en matière de sécurité :

Transport HTTPS uniquement, avec HSTS. Aucun repli en clair.
Conservation des demandes Aucune. Le formulaire de contact publie vers un Worker Cloudflare qui valide la vérification antipourriel et transmet le message par courriel. Le Worker est sans état — aucune base de données, aucun KV, aucun journal de votre message.
Secrets Les clés d’API vivent dans les secrets du Worker Cloudflare, définies hors bande. Aucune ne se trouve dans la page, le JavaScript ou le dépôt.
Antipourriel Cloudflare Turnstile, validé côté serveur — et non un module côté client qu’on pourrait contourner en publiant directement vers le point d’accès. S’y ajoutent un champ leurre et une liste d’origines autorisées.
Polices de caractères Hébergées par nous. Charger ce site n’apprend rien à Google à votre sujet.
Témoins Un seul : cf_clearance, le témoin de vérification antirobot de Cloudflare. Aucun témoin publicitaire, statistique ou de suivi.
Minimisation des données Le formulaire demande le nom, le courriel professionnel, l’entreprise (facultatif) et votre message. Nous avons retiré le champ téléphone parce qu’il n’est pas nécessaire pour répondre à une première demande.

Sur qui nous nous appuyons
#

Ce site fonctionne sur Cloudflare (hébergement, RDC, protection contre les robots, statistiques sans témoins), et le courriel des demandes est livré par Brevo. Nos sous-traitants — y compris l’emplacement de chacun et les données qui leur parviennent — sont énumérés dans la Politique de confidentialité.

Une partie de ce traitement se fait à l’extérieur du Canada, et la Politique de confidentialité le dit clairement plutôt que de l’enfouir. C’est précisément pourquoi la consigne ci-dessous compte : une première demande n’a jamais besoin de vos documents confidentiels.

Un aperçu détaillé de la sécurité — liste complète des sous-traitants, flux de données et réponses à votre questionnaire de sécurité habituel — est disponible sur demande. Écrivez à [email protected] et vous l’obtiendrez de l’ingénieur qui a construit le système, et non d’une équipe de vente lisant un gabarit.

Comment fonctionnent les systèmes que nous construisons
#

C’est la partie qui intéresse habituellement un réviseur en conformité, et c’est une question différente de la précédente. L’architecture que nous déployons est l’inverse d’un formulaire de contact :

  • Vos données restent dans votre infrastructure — sur site, dans votre infonuagique privée ou en environnement isolé. Les modèles s’exécutent à côté des données plutôt que les données ne voyagent vers un modèle.
  • Des modèles à poids ouverts fonctionnent localement, de sorte que l’inférence n’exige pas d’expédier vos documents vers une API tierce. Lorsqu’une API commerciale convient réellement à un cas d’usage, il s’agit d’une décision délibérée et nommée — pas d’un comportement par défaut caché dans l’architecture.
  • Vous êtes propriétaire du déploiement. Le code, les définitions d’infrastructure et la documentation vous sont remis. Le système continue de fonctionner si nous disparaissons — aucune dépendance envers nous.
  • Aucun entraînement sur vos données, et aucune copie de celles-ci à nos propres fins.

Si votre exigence est « l’information de nos clients ne peut pas quitter notre réseau » — pour des raisons de secret professionnel, de Loi 25, de LPRPDE ou de contrat — cette contrainte est la prémisse de la conception, et non un obstacle à contourner.

Travailler avec nous
#

Ententes de confidentialité : nous signons volontiers la vôtre sur demande — demandez-le avant l’appel et ce sera réglé d’avance. Nous n’imposons pas notre propre document.

Ce qu’il faut envoyer avant qu’une entente soit en place : décrivez le problème en termes généraux. « Nous voulons chercher dans dix ans de dossiers clients sans qu’ils quittent nos serveurs » suffit pour avoir une première conversation utile. Les noms, les dossiers et les échantillons ont leur place dans un appel encadré par une entente, jamais dans un formulaire web.

Certifications
#

Nous ne détenons actuellement ni SOC 2, ni ISO 27001, ni aucune certification comparable.

Core-AI est une petite pratique menée par un ingénieur. La certification représente un investissement important en temps et en argent, et nous ne l’avons pas encore fait. Nous préférons vous le dire franchement plutôt que de laisser entendre le contraire et que cela ressorte durant votre vérification diligente.

Ce que cela signifie concrètement : si votre processus d’approvisionnement exige un fournisseur certifié, nous ne sommes pas un bon choix aujourd’hui, et nous vous le dirons tôt plutôt que de vous faire perdre du temps. Si votre processus évalue l’architecture et le jugement d’ingénierie, nous serons heureux d’être examinés là-dessus — en profondeur, par vos gens techniques.

Signaler une vulnérabilité
#

Si vous croyez avoir trouvé un problème de sécurité sur ce site, dites-le-nous.

[email protected]

  • Portée : core-ai.net, www.core-ai.net et le point d’accès de contact /api/contact.
  • Nous accuserons réception en deux jours ouvrables, vous dirons ce que nous avons trouvé et vous informerons lorsque ce sera corrigé.
  • Nous n’entreprendrons aucune poursuite contre une personne signalant de bonne foi qui évite les atteintes à la vie privée, la destruction de données et la dégradation du service.
  • Veuillez éviter les tests de déni de service, les analyseurs automatisés qui dégradent le site pour les autres, et les tentatives d’ingénierie sociale contre nous ou nos fournisseurs.

Nous n’offrons pas de prime aux bogues. Nous vous créditerons si vous le souhaitez.

Questions
#

Les questions de conformité ou de sécurité avant un appel sont les bienvenues — c’est à cela que sert cette page, et une question détaillée est bon signe plutôt qu’une contrainte.

[email protected] — sécurité et vie privée [email protected] — tout le reste