Hébergement souverain
Toutes les données sont hébergées exclusivement dans l’Union Européenne :
| Service | Fournisseur | Région | Certification |
|---|
| Base de données | Supabase (AWS) | eu-west (Irlande) | SOC 2 Type II |
| API Gateway | Railway | EU (Francfort) | ISO 27001 |
| Intelligence artificielle | Mistral AI | France (Paris) | HDS en cours |
| Email transactionnel | Resend | EU | — |
| SMS/WhatsApp | Twilio | EU | SOC 2 |
Mistral AI est un modèle français développé par Mistral AI (Paris). Les données envoyées au modèle ne sont jamais utilisées pour l’entraînement et ne quittent pas l’infrastructure EU de Mistral.
Base légale
Le traitement des données personnelles dans le cadre du recouvrement repose sur l’intérêt légitime du créancier (Article 6.1.f du RGPD) et l’exécution du contrat (Article 6.1.b).
Données traitées
| Catégorie | Données | Durée de conservation |
|---|
| Identité débiteur | Nom, email, téléphone, adresse, SIRET | 3 ans après clôture du dossier |
| Données financières | Montants, dates, statuts de paiement | 3 ans après clôture |
| Communications | Historique des relances (canal, date, contenu) | 3 ans après clôture |
| Scoring IA | Score comportemental, facteurs explicatifs | 3 ans après clôture |
| Logs techniques | Requêtes API, adresses IP | 12 mois |
Droits des personnes concernées
Finkare implémente l’ensemble des droits RGPD :
| Droit | Implémentation |
|---|
| Accès (Art. 15) | Export JSON/CSV de toutes les données du débiteur |
| Rectification (Art. 16) | Mise à jour via l’API ou le dashboard |
| Effacement (Art. 17) | Purge complète des données personnelles |
| Portabilité (Art. 20) | Export structuré (JSON) |
| Opposition (Art. 21) | Arrêt immédiat des communications |
| Limitation (Art. 18) | Gel du traitement sur demande |
Exercice des droits
Les demandes d’exercice de droits RGPD peuvent être adressées à :
Délai de réponse : 30 jours maximum (Article 12.3 du RGPD).
Chiffrement
Données au repos
- Base de données : chiffrement AES-256 au niveau du volume (AWS EBS)
- Sauvegardes : chiffrées et stockées en EU
- API Keys : hashées SHA-256, jamais stockées en clair
- Webhook secrets : hashés SHA-256
Données en transit
- TLS 1.3 obligatoire (TLS 1.2 minimum)
- HSTS avec preload et includeSubDomains
- Certificate pinning recommandé pour les intégrations sensibles
Pseudonymisation
- Environnements non-production : les données personnelles sont pseudonymisées
- Logs : les emails, téléphones et montants sont masqués (PII masking)
- Monitoring : aucune donnée personnelle dans les métriques
Sous-traitants
| Sous-traitant | Rôle | DPA signé | Localisation |
|---|
| Supabase | Base de données | Oui | EU (Irlande) |
| Mistral AI | IA de recouvrement | Oui | France |
| Railway | Hébergement API | Oui | EU (Francfort) |
| Resend | Email transactionnel | Oui | EU |
| Twilio | SMS/WhatsApp | Oui | EU |
| Mollie | Paiements | Oui | Pays-Bas |
| PayPlug | Paiements | Oui | France |
AI Act — Système high-risk
Le scoring comportemental de Finkare (13 critères, score 0-195) est classé high-risk au sens de l’AI Act européen :
| Exigence | Implémentation |
|---|
| Transparence | Facteurs explicatifs fournis avec chaque score |
| Documentation | Registre des données d’entraînement et métriques |
| Biais | Audit régulier des biais (sexe, âge, localisation) |
| Human-in-the-loop | Validation humaine si score de confiance < 0.7 |
| Droit d’explication | Endpoint /debtors/:id/score avec facteurs détaillés |
