Protection des données et sécurité

Architecture de sécurité, hébergement souverain, chaîne de sous-traitance IA et Accord de Traitement des Données (DPA) de Ragindeed.

Dernière mise à jour : avril 2026 · v2.0

Notre approche de la sécurité

Ragindeed n'est pas certifié ISO 27001. Nous ne prétendons pas l'être. Nous avons fait le choix de construire notre infrastructure exclusivement sur des prestataires certifiés et de mettre en œuvre, à notre niveau, des pratiques de sécurité alignées sur les référentiels reconnus. Notre feuille de route prévoit l'obtention de cette certification lorsque la taille de l'organisation le justifiera. D'ici là, nous misons sur la transparence.

Ragindeed traite des documents à forte valeur contractuelle et réglementaire : baux commerciaux, pièces KYC, dossiers de conformité. La sécurité de vos données n'est pas une fonctionnalité — c'est la condition d'existence de notre produit.

Sécurisation des Données

Chiffrement de bout en bout

Toutes les données échangées sont chiffrées afin de prévenir toute interception non autorisée.
Chaque client dispose de sa propre base de données avec des paramétrages dédiés, garantissant une isolation stricte des informations.

✔ Stockage et sauvegarde protégés

Les stockages sont réalisés exclusivement en France, sur des disques cryptés.
Une sauvegarde des données est effectuée aux Pays-Bas, assurant une redondance sans compromettre la sécurité.

✔ Aucune fuite de données

Nous utilisons des technologies Open Source permettant d’auditer et de contrôler en continu l’absence de fuite de données.
Nos propres outils de gestion des logs et de monitoring garantissent que les données clients ne quittent jamais notre infrastructure

Fiabilité et Résilience de l’Infrastructure

✔ Orchestration dynamique des serveurs

Notre infrastructure est conçue pour ajuster automatiquement la charge et garantir une disponibilité continue du service.

✔ Redondance et reprise d’activité

Nous avons mis en place des mécanismes de redondance pour assurer une résilience maximale en cas d’incident.
Des sauvegardes régulières permettent une reprise d’activité rapide, minimisant tout risque de perte de données.

Stockage primaire — France

Données Client hébergées chez Scaleway, data centers Paris (fr-par). Base de données PostgreSQL isolée par client.

ISO 27001 HDS

Sauvegardes — Union Européenne

Sauvegardes chiffrées (AES-256) répliquées dans un second data center Scaleway à Amsterdam (nl-ams). Aucune donnée hors UE.

UE uniquement

Traitements IA — Sous-traitants

Certains traitements d'extraction impliquent la transmission temporaire de données à des modèles IA. Détails dans la section sous-traitance.

ZDR contractuel

Chaîne de sous-traitance

La transparence sur nos sous-traitants est un engagement contractuel. Voici nos prestataires et leurs certifications :

Scaleway — Hébergement et infrastructure

Rôle	Hébergement cloud (compute, stockage S3, Kubernetes, bases de données managées)
Localisation	Paris, France & Amsterdam, Pays-Bas
Certifications	ISO 27001:2022 HDS SecNumCloud en cours
Souveraineté	100 % data centers, collaborateurs, capitaux et impôts en Europe. Stack open source. Aucune exposition aux lois extraterritoriales.

OpenAI — Modèles d'intelligence artificielle

Rôle	Traitement des documents par modèles de langage (extraction, classification, résumé) via l'API
Certifications	ISO 27001 ISO 27701 SOC 2 Type II CSA STAR
Non-rétention	Les données transmises via l'API ne sont pas utilisées pour entraîner les modèles. Aucune rétention au-delà du traitement en cours (Zero Data Retention).
Transferts	Serveurs API aux États-Unis ou en Europe. Transferts encadrés par CCT DPF

Better Stack — Monitoring

Rôle	Monitoring de disponibilité de l'infrastructure (vérifications HTTP), logs d'exploitation
Données traitées	Données techniques uniquement (URLs, temps de réponse). Pas de Données Personnelles des personnes concernées.
Transferts	UE et US — encadrés par CCT

Mesures de sécurité techniques

Chiffrement

Périmètre	Mesure
Données en transit	TLS 1.2 minimum sur toutes les communications (plateforme, API, transferts internes)
Données au repos	AES-256 pour les bases de données, les fichiers stockés et les sauvegardes
Documents clients	Scaleway Object Storage (S3-compatible) avec chiffrement côté serveur

Isolation et contrôle d'accès

Chaque client dispose d'une base de données PostgreSQL dédiée, isolée au niveau du schéma et des identifiants de connexion. L'accès aux données est régi par un contrôle basé sur les rôles (RBAC). L'authentification supporte les mécanismes standards (email/mot de passe, OAuth2/OIDC).

Les accès administratifs Ragindeed aux environnements de production sont limités au strict nécessaire, soumis à authentification renforcée et journalisés.

Journalisation et audit

Toutes les actions significatives (connexions, accès documents, extractions IA, modifications, exports) sont enregistrées dans un journal d'audit horodaté, conservé pendant la durée du contrat et accessible au Client sur demande.

Surveillance et détection

L'infrastructure est supervisée en continu (disponibilité, performances, alertes de sécurité). Un monitoring externe indépendant vérifie la disponibilité des services et alerte l'équipe en cas d'anomalie.

Sauvegardes et continuité

Sauvegardes quotidiennes, chiffrées AES-256, répliquées géographiquement au sein de l'Union Européenne. Tests de restauration réalisés régulièrement.

Circuit de vos données dans les traitements IA

Le traitement de vos documents par l'intelligence artificielle suit un circuit maîtrisé en quatre étapes :

ÉTAPE 01

Transmission

Documents transmis aux modèles IA via connexions chiffrées (TLS)

Chiffré

ÉTAPE 02

Traitement

Données traitées en mémoire vive. Aucune écriture sur disque.

Éphémère

ÉTAPE 03

Non-entraînement

Engagement contractuel : vos données ne servent jamais à entraîner les modèles.

ZDR garanti

ÉTAPE 04

Stockage résultat

Données extraites stockées exclusivement sur Scaleway, Paris.

France

Conformité réglementaire

RGPD Règlement Général sur la Protection des Données

Ragindeed agit en qualité de sous-traitant au sens de l'article 28 du RGPD pour le traitement des Données Client. Un Accord de Traitement des Données DPA conforme est disponible ci-dessous et annexé au contrat.

Droits des personnes concernées

Ragindeed assiste ses clients dans la réponse aux demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition, limitation) dans les délais prévus par le RGPD.

Notification de violation

En cas de violation de données personnelles, Ragindeed notifie le client sans délai excessif et au plus tard dans les 48 heures suivant la prise de connaissance de l'incident. La notification inclut la nature de la violation, les données concernées, les conséquences probables et les mesures correctives.

Réversibilité

À la fin du contrat, quelle qu'en soit la cause, le client peut demander l'export de l'ensemble de ses données dans des formats standards et lisibles par machine (CSV, JSON, PDF, Excel) pendant un délai de 30 jours.

À l'issue de ce délai, les données sont supprimées de manière irréversible de nos systèmes de production et de sauvegarde dans un délai de 60 jours. Un certificat de suppression est fourni sur demande.

Ce que nous ne faisons pas

Pour être aussi clairs sur nos limites que sur nos engagements :

Nous n'accédons pas à vos documents sauf intervention de support technique demandée par vous et tracée dans nos journaux.
Nous n'utilisons pas vos données pour entraîner des modèles, que ce soit nos propres modèles ou ceux de nos sous-traitants.
Nous ne revendons pas vos données et ne les partageons avec aucun tiers en dehors de la chaîne de sous-traitance documentée sur cette page.
Nous ne garantissons pas l'absence totale de risque. Aucun système informatique ne peut prétendre à une sécurité absolue. Nous nous engageons à mettre en œuvre des mesures conformes à l'état de l'art et à vous informer en toute transparence en cas d'incident.

Accord de Traitement des Données (DPA)

Conforme à l'article 28 du Règlement (UE) 2016/679 (RGPD). Ce document fait partie intégrante du contrat de Services conclu entre le Client et Ragindeed.

Version 2.0 Avril 2026 · Téléchargement disponible en bas de page

Article 1- Objet et contexte

Le présent Accord de Traitement des Données Personnelles (DPA) fait partie intégrante du contrat de Services conclu entre le Client et Ragindeed (le « Contrat Principal ») et le complète en ce qui concerne le traitement de Données Personnelles.

Le DPA définit les conditions dans lesquelles Ragindeed, en qualité de sous-traitant, traite des Données Personnelles pour le compte du Client, en qualité de responsable de traitement, dans le cadre de la fourniture des Services.

En cas de contradiction entre les dispositions du DPA et celles du Contrat Principal, les dispositions du DPA prévalent pour tout ce qui concerne le traitement des Données Personnelles.

Article 2 - Description des traitements

Finalités

Extraction documentaire par IA (OCR, extraction de champs, classification, résumé)
Hébergement et gestion documentaire (stockage, indexation, recherche sémantique)
Génération de rapports immobiliers automatisés
Assistance à la conformité KYC/LCB-FT
Assistant IA (interrogation conversationnelle des documents)
Support technique et maintenance

Types de Données Personnelles

Données d'identification (nom, prénom, date de naissance, nationalité), coordonnées (adresse, email, téléphone), données d'identification officielle (pièce d'identité, passeport), données professionnelles, données financières (RIB/IBAN, montants), données immobilières, données de conformité réglementaire (KYC, scoring de risque).

Catégories de personnes concernées

Locataires, souscripteurs de fonds immobiliers (SCPI, OPCI), bénéficiaires effectifs, propriétaires, représentants légaux, salariés et collaborateurs du Client, clients et partenaires du Client.

Durée

Durée du Contrat Principal, puis période de restitution (30 jours) et de suppression (60 jours).

Article 3 — Obligations de Ragindeed (sous-traitant)

Ragindeed s'engage à :

Traitement sur instruction — Traiter les Données Personnelles uniquement sur instruction documentée du Client. Si Ragindeed estime qu'une instruction constitue une violation du RGPD, elle en informe immédiatement le Client.
Confidentialité — Veiller à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité. Accès strictement limité au personnel nécessaire.
Sécurité (art. 32 RGPD) — Chiffrement TLS 1.2+ en transit, AES-256 au repos. Moyens de garantir confidentialité, intégrité, disponibilité et résilience. Procédure de test régulier des mesures.
Assistance aux droits des personnes — Transmission au Client sous 5 jours ouvrés de toute demande d'exercice de droits reçue directement. Ragindeed ne répond pas directement sauf instruction contraire.
Assistance réglementaire — Aide au Client pour le respect des articles 32 à 36 du RGPD (sécurité, notification des violations, analyse d'impact, consultation préalable).
Audit et information — Mise à disposition des informations nécessaires pour démontrer le respect de l'article 28 et permettre la réalisation d'audits.

Article 4 — Obligations du Client (responsable de traitement)

Le Client s'engage à déterminer les finalités et moyens du traitement conformément au RGPD, fournir des instructions documentées, s'assurer de la licéité des traitements, informer les personnes concernées (art. 13-14 RGPD), ne transmettre que les données strictement nécessaires (minimisation), et informer Ragindeed de toute réglementation spécifique applicable.

Article 5 — Sous-traitants ultérieurs

Autorisation générale

Le Client autorise Ragindeed à recourir aux sous-traitants ultérieurs listés en Annexe, sous réserve des conditions ci-dessous.

Information et droit d'opposition

Ragindeed informe le Client de tout ajout ou remplacement de sous-traitant 30 jours avant l'entrée en fonction. Le Client peut s'opposer sous 15 jours. À défaut d'accord, le Client peut résilier sans pénalité.

Sous-traitants IA — Garanties spécifiques

Pour les fournisseurs de modèles IA, Ragindeed s'assure contractuellement que :

les données ne sont pas utilisées pour l'entraînement des modèles ;
aucune rétention au-delà du traitement en cours (ZDR) ;
transmissions chiffrées TLS 1.2+ ;
le sous-traitant dispose de certifications reconnues (ISO 27001, SOC 2 Type II).

Ragindeed reste pleinement responsable vis-à-vis du Client de l'exécution des obligations de ses sous-traitants ultérieurs.

Article 6 — Transferts hors EEE

Les Données Personnelles sont hébergées au sein de l'EEE. Les transferts vers les États-Unis (OpenAI API) sont encadrés par :

Les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914, Module 3) ;
Le Data Privacy Framework UE-US (OpenAI est certifié DPF) ;
Une évaluation d'impact du transfert (TIA) concluant à un risque résiduel acceptable ;
Les engagements de non-rétention de données par OpenAI sur l'API.

La localisation des traitements pour chaque sous-traitant est documentée en Annexe. Copie des CCT disponible sur demande.

Article 7 — Audit

Le Client peut réaliser des audits (inspections incluses) avec un préavis de 30 jours ouvrés, pendant les heures ouvrables. Un audit sur site maximum par an, sauf demande de l'autorité de contrôle ou violation de données.

En complément, Ragindeed met à disposition sur demande : rapports d'audit, certifications des sous-traitants, résumés de tests de pénétration, registre des traitements et réponses à questionnaires de sécurité.

Frais à la charge du Client, sauf si l'audit révèle un manquement de Ragindeed.

Article 8 — Notification des violations

En cas de violation de Données Personnelles, Ragindeed informe le Client dans un délai maximum de 48 heures. La notification inclut :

La nature de la violation (catégories et nombre de personnes/enregistrements concernés) ;
Le point de contact Ragindeed ;
Les conséquences probables ;
Les mesures prises ou proposées pour remédier à la violation.

Ragindeed documente tout incident et coopère avec le Client pour remplir ses obligations au titre des articles 33 et 34 du RGPD.

Article 9 — Sort des données en fin de contrat

Restitution : Le Client peut demander l'export de l'ensemble de ses données dans un format structuré et lisible (CSV, JSON, PDF, Excel) dans un délai de 30 jours suivant la fin du contrat.

Suppression : À l'issue des 30 jours, ou sur instruction anticipée, Ragindeed supprime les données de ses systèmes de production et de sauvegarde dans un délai de 60 jours, sauf obligation légale.

Certificat : Un certificat de suppression définitive est fourni sur demande, précisant la date et les systèmes concernés.

Article 10 — Dispositions générales

Durée : Le DPA reste en vigueur aussi longtemps que Ragindeed traite des Données Personnelles pour le compte du Client. Les obligations de confidentialité, de notification et de restitution survivent à sa cessation.

Registre : Ragindeed tient un registre des traitements conformément à l'article 30.2 du RGPD, mis à disposition de la CNIL sur demande.

Analyse d'impact : Ragindeed assiste le Client dans la réalisation d'AIPD (article 35 RGPD) en fournissant les informations nécessaires sur les traitements et mesures de sécurité.

Droit applicable : Droit français. Juridiction compétente : Tribunal de commerce de Paris.

Modification : Ragindeed peut mettre à jour les Annexes (sous-traitants, mesures de sécurité) sous réserve d'information préalable au Client.

Annexe A — Mesures de sécurité techniques et organisationnelles

Domaine	Mesures
Infrastructure	Scaleway (ISO 27001, HDS), Kubernetes managé (Kapsule), Network Policies, ModSecurity/OWASP
Chiffrement transit	TLS 1.2+ (HTTPS, API, communications internes)
Chiffrement repos	AES-256 (bases de données, stockage S3, sauvegardes)
Isolation	Base PostgreSQL dédiée par client, RBAC
Accès administratif	Principe du moindre privilège, authentification renforcée, accès journalisé
Journalisation	Audit trail horodaté (connexions, accès, extractions, exports)
Sauvegardes	Quotidiennes, chiffrées AES-256, répliquées en UE (Pays-Bas)
Monitoring	Surveillance continue + monitoring externe indépendant (Better Stack)
Confidentialité	Engagements de confidentialité signés par le personnel
Revue des accès	Révocation au départ d'un collaborateur

Annexe B — Liste des sous-traitants ultérieurs

Sous-traitant	Activité	Localisation	Certifications	Transfert hors EEE
Scaleway SAS	Hébergement cloud, stockage, bases de données, sauvegardes	Paris / Amsterdam	ISO 27001 HDS	Non
OpenAI, Inc.	Traitement IA (extraction, classification, résumé) via API	US / EU	ISO 27001 SOC 2 II	CCT + DPF + ZDR
Better Stack, Inc.	Monitoring de disponibilité, logs techniques	UE / US	—	CCT (données techniques)

Liste à jour au 1er avril 2026. Mise à jour communiquée au Client 30 jours avant tout changement.

Annexe C — Évaluation d'impact des transferts (TIA)

Transferts vers les États-Unis via OpenAI API

Nature des données	Extraits de documents (texte) transmis pour traitement IA
Durée de rétention	Aucune — Zero Data Retention
Législation du pays	FISA 702, EO 12333 applicables. Risque atténué par le Data Privacy Framework UE-US (décision d'adéquation du 10/07/2023). OpenAI est certifié DPF.
Mécanismes de transfert	CCT Module 3 + Data Privacy Framework
Mesures complémentaires	TLS en transit, non-rétention des données, ISO 27001 SOC 2 Type II
Conclusion	Compte tenu de la nature transitoire du traitement, du chiffrement, et des garanties contractuelles, le risque résiduel est considéré comme acceptable.

Documents et ressources

Téléchargements

Accord de Traitement des Données (DPA) — DOCX

Consulter en ligne

Politique de confidentialité

Sur demande

Les documents suivants sont disponibles sur demande auprès de notre DPO :

Attestation d'assurance responsabilité civile professionnelle
Certificat de suppression des données (en fin de contrat)
Rapports d'audit et résultats de tests de pénétration

Contact

Protection des données

dpo@ragindeed.com

Incident de sécurité

security@ragindeed.com

Siège social

Ragindeed SAS
8 Rue Léon Vaudoyer
75007 Paris, France

Fonctionnalités

ServiceS