Un constat simple
Quand vous nous confiez vos données — factures fournisseurs, contrats, paiements, abonnements SaaS — vous nous confiez ce que votre entreprise a de plus sensible. Pas seulement parce que la loi l’exige, mais parce que ces documents racontent, mieux que n’importe quel rapport, comment fonctionne votre activité, qui sont vos partenaires, et où vous êtes vulnérables.
C’est pourquoi nous avons construit Finareo selon une règle simple : la sécurité doit être inscrite dans l’architecture, pas écrite dans une politique. Voici concrètement comment cela se traduit.
1. Vos données restent dans votre zone géographique
Pour nos clients marocains, vos données sont hébergées au Maroc, chez N+ONE, dans un datacenter Tier III conforme aux exigences de la CNDP. Pour nos clients européens, l’hébergement se fait dans l’Union européenne (Allemagne ou Finlande), chez un opérateur certifié ISO 27001.
Dans les deux cas, vos données ne quittent jamais leur zone géographique pour leur stockage. Le RGPD ou la réglementation marocaine s’appliquent pleinement, selon votre cas.
2. Chiffrement en permanence
Vos données sont chiffrées en transit (entre votre navigateur, nos serveurs et tous nos prestataires) grâce au protocole TLS 1.3 — le standard de chiffrement le plus récent. Elles sont également chiffrées au repos, sur le disque même de nos serveurs.
Concrètement : si quelqu’un interceptait nos communications, il ne verrait que du bruit. Si quelqu’un mettait la main physiquement sur nos disques, il ne pourrait rien en lire.
3. Isolation technique stricte
Chaque client dispose d’un espace de stockage techniquement séparé, dans un schéma de base de données distinct. C’est un choix architectural fort : même en cas de bug dans notre logiciel, une donnée d’un client ne peut pas être renvoyée à un autre. Ce n’est pas une politique — c’est une impossibilité technique.
Côté équipe, seules les personnes habilitées à votre dossier peuvent accéder à vos données. Toutes leurs actions sont tracées dans un journal que vous pouvez consulter sur demande. Vos données ne sont jamais utilisées à des fins commerciales, marketing ou de revente.
4. L’IA, encadrée comme elle doit l’être
Pour analyser vos documents, nous utilisons des modèles d’intelligence artificielle externes (OpenAI, Anthropic). Mais avec deux protections clés :
- Anonymisation automatique avant chaque envoi : les noms de fournisseurs, RIB, contacts, numéros de TVA sont remplacés par des tokens (
SUPP_001,IBAN_017). L’IA voit la structure du document et les montants, mais pas qui est qui. - Zero Data Retention contractualisée : nos contrats enterprise avec OpenAI et Anthropic incluent une clause qui interdit toute conservation des données envoyées. Aucun entraînement de modèle, aucun historique. Chaque analyse est sans état.
5. En cas de pépin, vous le saurez
Si un incident touche vos données, vous serez prévenu sous 72 heures maximum (obligation RGPD), avec trois informations claires :
- Ce qui s’est passé
- Ce que cela implique pour vous
- Ce que nous faisons pour y remédier
Un compte-rendu détaillé suit sous 7 jours. Pas de flou, pas de communication évasive.
Vérifier nous-mêmes ne suffit pas. Vous pouvez aussi.
Notre architecture est alignée sur le standard ISO 27001 — c’est-à-dire que les contrôles attendus pour la certification sont déjà en place, même si la certification formelle viendra dans un second temps.
Nous documentons par écrit l’ensemble de ces engagements :
- Accord de traitement des données (DPA) — disponible sur demande
- Security Overview détaillé — pour vos équipes IT et RSSI, sous NDA
- Liste complète des sous-traitants — publique sur /subprocessors
Et si vous voulez aller plus loin, parlons-en directement : security@finareo.io.
Notre principe
La confiance ne se déclare pas, elle se prouve. Toutes les informations ci-dessus sont visibles et vérifiables. Aucune affirmation sur la sécurité de votre argent ne mérite d’être crue sur parole — et nous préférons que ce soit ainsi.