Sécurité & Confiance

Dernière mise à jour : 11 mai 2026

Notre engagement

Vos emails contiennent ce que vous avez de plus sensible : devis, contrats, négociations, relations clients. ACEVO traite cette donnée avec le même soin qu'une banque traiterait votre solde. Cette page détaille concrètement comment.

Chiffrement

Toutes les communications entre votre navigateur et ACEVO sont chiffrées via TLS 1.2+ (HTTPS). Aucune donnée ne transite en clair sur Internet.

  • En transit : TLS 1.2 minimum (TLS 1.3 par défaut sur la majorité des navigateurs modernes).
  • Au repos : tous les disques de notre hébergeur Supabase sont chiffrés en AES-256.
  • Tokens OAuth Gmail : stockés dans Supabase, chiffrés au niveau du stockage.
  • Mots de passe :jamais stockés en clair. La gestion de l'authentification est déléguée à Clerk qui utilise des fonctions de hachage cryptographiques modernes (bcrypt).
HSTS activé TLS 1.2+ AES-256 at rest

OAuth Google officiel — pas de mot de passe stocké

ACEVO ne vous demande jamaisvotre mot de passe Gmail. L'accès à votre boîte se fait via le protocole standard OAuth 2.0 de Google, qui est le moyen recommandé par Google pour les applications tierces.

  • Vous autorisez l'accès depuis l'écran de consentement officiel Google.
  • ACEVO reçoit un token temporaire (révocable à tout moment).
  • Aucune information de connexion Gmail (login, mot de passe) ne transite par ACEVO.
  • Vous pouvez révoquer l'accès à tout moment depuis myaccount.google.com/permissions.

Lecture seule — scope minimal

ACEVO demande uniquement le scope https://www.googleapis.com/auth/gmail.readonly. Cela signifie que techniquement, nous ne pouvons pas :

  • Envoyer d'email depuis votre compte
  • Supprimer ou modifier vos emails
  • Modifier vos labels Gmail
  • Accéder à vos brouillons ou éléments envoyés en écriture
  • Accéder à votre Google Drive, Calendar, Contacts ou autres services

La lecture seule garantit qu'un bug ou une faille ne pourrait pas affecter votre boîte de réception.

L'usage que nous faisons des données Gmail est strictement conforme à la Google API Services User Data Policy et à ses exigences Limited Use. Détails complets sur la page Comment ACEVO utilise vos données Gmail.

Suppression des données

Vous gardez le contrôle de vos données à tout moment :

  • Suppression manuelle :chaque email analysé peut être supprimé individuellement depuis l'inbox.
  • Suppression automatique : les analyses non traitées et non urgentes sont supprimées après 7 jours.
  • Suppression du compte : via le bouton « Supprimer mon compte » dans les paramètres → suppression immédiate et irréversible de toutes vos données (compte, analyses, CRM, tâches, settings, logs).
  • Délai post-résiliation :30 jours après résiliation d'abonnement, toutes les données sont effacées définitivement.
  • Le corps brut des emails n'est jamais stocké— il est lu, analysé par l'IA, puis immédiatement oublié.

Infrastructure

ACEVO s'appuie sur des prestataires reconnus pour leur fiabilité et leur sécurité :

  • Vercel(États-Unis) — hébergement de l'application web. Certifié SOC 2 Type II, ISO 27001. Auto-scaling, protection DDoS, HTTPS automatique.
  • Supabase(région Europe — Irlande) — base de données PostgreSQL. Données stockées dans l'UE, conformes RGPD. Certifié SOC 2 Type II.
  • Clerk(États-Unis) — gestion de l'authentification. Certifié SOC 2 Type II.
  • Anthropic (États-Unis) — fournisseur du modèle Claude. SOC 2 Type II.
  • Google Cloud (États-Unis) — API Gmail OAuth. ISO 27001, ISO 27018.

ACEVO en tant qu'éditeur n'est pas encore certifié SOC 2 ou ISO 27001 (le coût est prohibitif pour une jeune entreprise). Nous appliquons toutefois les bonnes pratiques de l'industrie et nous appuyons sur des prestataires certifiés.

Monitoring & logs

Chaque erreur survenant côté serveur est capturée par Sentry avec un stack trace complet. Nous sommes alertés en temps réel pour pouvoir corriger rapidement tout incident.

  • Sentry — monitoring des erreurs (anonymisé : les données personnelles sont scrubées avant envoi).
  • Vercel Analytics— métriques de performance (temps de chargement, taux d'erreur), sans tracking utilisateur.
  • Supabase logs — logs SQL conservés 7 jours.

Aucun outil de tracking comportemental(Google Analytics, Mixpanel, Hotjar, etc.) n'est utilisé.

Isolation entre utilisateurs

Vos données ne sont jamais accessibles par un autre utilisateur, même en cas de bug. Plusieurs couches de défense :

  • Filtrage applicatif : chaque requête à la base de données contient obligatoirement votre user_iden filtre. C'est vérifié sur toutes les routes API.
  • Vérification d'ownership :avant chaque action sensible (modification, suppression, accès à un détail), le serveur vérifie que la ressource appartient bien à l'utilisateur authentifié.
  • Tokens OAuth séparés : chaque utilisateur a son propre token Gmail, stocké séparément. Aucune mutualisation possible.
  • Protection CSRF : les flux OAuth utilisent un paramètre statecryptographiquement vérifié pour empêcher les attaques d'authentification croisée.

Un audit de sécurité interne a été mené avant le lancement public. Les failles potentielles (CSRF OAuth, IDOR sur ressources liées) ont été identifiées et corrigées.

Pas d'entraînement IA sur vos données

Les données envoyées à notre prestataire IA Anthropic (Claude) ne sont jamais utilisées pour entraîner les modèles. C'est garanti par la politique commerciale d'Anthropic pour les API payantes :

« Anthropic n'entraînera pas ses modèles à partir des données soumises via l'API commerciale. Les données sont conservées 30 jours maximum à des fins de détection d'abus, puis automatiquement supprimées. »

Référence officielle : anthropic.com/legal/commercial-terms

Rate limiting & anti-abus

Toutes les routes API consommatrices d'IA sont protégées par des quotas par utilisateur et par minute. Cela évite :

  • Les abus accidentels (boucle infinie côté client)
  • Les attaques par déni de service (DoS)
  • Les tentatives d'épuiser le budget Anthropic

Limites actuelles par utilisateur :

  • Analyse d'emails : 30 requêtes / minute
  • Génération de réponses : 15 / minute
  • Synchronisation Gmail : 6 / minute
  • Traduction : 20 / minute
  • Enrichissement CRM : 20 / minute

Un quota mensuel d'emails analysés s'applique également selon votre plan (Starter, Pro, Business).

Sauvegardes

La base de données ACEVO est sauvegardée automatiquement par Supabase :

  • Sauvegardes quotidiennes du contenu complet de la base, conservées 7 jours minimum.
  • Point-in-Time Recovery (PITR) permettant de restaurer l'état de la base à n'importe quelle seconde des 7 derniers jours.
  • Réplication multi-zonesà l'intérieur de la région UE (Irlande) pour résister à une panne d'une zone.

Les sauvegardes sont chiffrées et conservées dans la même région que la base principale (zone UE, conforme RGPD).

Conformité RGPD

ACEVO est conforme au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés. Les principales mesures :

  • Base légale claire pour chaque traitement (consentement, exécution du contrat, intérêt légitime).
  • Minimisation : nous ne collectons que ce qui est strictement nécessaire au Service.
  • Droits utilisateurs : accès, rectification, effacement, portabilité, opposition, limitation, retrait du consentement — tous exerçables par email.
  • Transferts hors UE encadrés par les Clauses Contractuelles Types (SCC) approuvées par la Commission européenne.
  • Notification CNIL en 72h en cas de violation avérée.
  • Hébergement principal en UE (Supabase, Irlande) pour les données sensibles.

Détails complets dans notre Politique de confidentialité.

Contact sécurité

Si vous découvrez une faille de sécurité, contactez-nous immédiatement et de manière confidentielle :

acevo.contact@gmail.com (objet : SECURITY)

Divulgation responsable

Nous nous engageons à :

  • Accuser réception de votre signalement sous 48 heures
  • Vous tenir informé de la progression du correctif
  • Ne pas poursuivre légalement les chercheurs agissant de bonne foi
  • Vous créditer publiquement (si vous le souhaitez) une fois la faille corrigée

Merci de ne pas divulguer publiquementune faille avant qu'elle ne soit corrigée, afin de protéger les autres utilisateurs.

Une question sur la sécurité ?

Pour toute question, demande de précision ou audit technique, écrivez-nous : acevo.contact@gmail.com