Solutions Détection d'anomaliesRecouvrement de coûtsAudit de facturesOptimisation SaaSMonitoring fournisseurs
Comment ça marcheRésultatsÀ proposBlog
EN FR
Prendre contact
Centre de confiance

Vos données financières.
Entre de bonnes mains.

Vous nous confiez ce que votre entreprise a de plus sensible : factures, contrats, paiements. Voici concrètement comment nous le protégeons — sans jargon, sans flou.

Lire les questions courantes Parler à un humain Tous les systèmes opérationnels
100%
des échanges chiffrés
TLS 1.3 · de bout en bout
0
donnée nominative envoyée à l'IA
Anonymisation systématique avant envoi
72h
délai maximum de notification d'incident
Engagement RGPD
MA / UE
stockage géolocalisé
N+ONE (Maroc) ou Hetzner (UE)
Nos engagements

Quatre promesses que nous tenons
tous les jours.

01

Vos données restent vos données

Stockées dans votre zone géographique. Chiffrées en permanence. Séparées techniquement de tous les autres clients. Aucun mélange possible, même au niveau infrastructure.

Chiffrement · Isolation
02

L'IA travaille pour vous, sans apprendre de vous

Avant chaque envoi, les noms, RIB, contacts et identifiants sont automatiquement remplacés par des codes anonymes. Notre fournisseur IA (OpenAI, compte entreprise) reçoit la structure et les montants — jamais qui est qui. Chaque appel est sans état, sans historique conservé chez le fournisseur.

Anonymisation · Sans état
03

Si quelque chose se passe mal, vous le saurez

Indisponibilité supérieure à 30 minutes : email. Incident de sécurité touchant vos données : notification sous 72 heures (obligation RGPD), puis post-mortem détaillé sous 7 jours.

Transparence · Incidents
04

Vous gardez la main

Vous restez propriétaires de vos données à tout moment. Export complet en self-service depuis le portail (Excel, CSV, PDF). Droit d'accès, de rectification et de suppression respectés. Si vous partez, vous emportez tout.

Vos droits · Portabilité
Vos questions

Ce qu'on nous demande
le plus souvent.

Où sont stockées mes données ?
Cela dépend de votre localisation. Pour nos clients marocains, vos données sont hébergées au Maroc chez N+ONE, dans un datacenter Tier III conforme aux exigences de la CNDP. Pour nos clients européens, l'hébergement se fait en Europe (Allemagne ou Finlande) chez Hetzner, opérateur certifié ISO 27001. Dans les deux cas, vos données ne quittent jamais leur zone géographique.
Comment sont-elles protégées quand elles transitent ?
Tout transit entre votre navigateur, nos serveurs et nos prestataires utilise TLS 1.3 — le standard de chiffrement le plus récent et le plus sûr aujourd'hui. C'est ce qui empêche qu'on intercepte vos données en chemin.
Mes données sont-elles mélangées avec celles d'autres clients ?
Non, jamais. Chaque client dispose d'un espace de stockage techniquement séparé. Même en cas de bug dans notre logiciel, une donnée d'un client ne peut pas être renvoyée à un autre — c'est l'infrastructure elle-même qui l'empêche.
Qui chez Finareo peut voir mes données ?
Uniquement les personnes habilitées à votre dossier. Toutes leurs actions sont tracées dans un journal que vous pouvez consulter sur demande. Vos données ne sont jamais utilisées à des fins commerciales, marketing ou de revente.
L'IA voit-elle réellement mes données financières ?
Pour analyser vos factures et contrats, l'IA doit en effet les traiter — mais avec une protection clé : avant chaque envoi, nous masquons automatiquement les noms de fournisseurs, RIB, numéros de TVA, contacts et autres identifiants sensibles. L'IA voit la structure du document et les montants, mais pas qui est qui.
Mes données servent-elles à entraîner des modèles ?
Notre protection principale est l'anonymisation : les noms de fournisseurs, RIB, identifiants sensibles sont remplacés par des tokens (FOURNISSEUR_xxxxxxxx, IBAN_xxxxxxxx) avant chaque envoi à l'IA. Le fournisseur ne voit aucune donnée nominative. Les contrats entreprise OpenAI sont disponibles pour consultation sous NDA.
L'IA garde-t-elle un historique de nos échanges ?
Non. Chaque analyse est indépendante et sans état — il n'y a pas de fonction « conversation » côté fournisseur d'IA. Une fois la réponse rendue, l'échange disparaît.
Et si vos serveurs tombent en panne ?
Vos données sont sauvegardées quotidiennement, chiffrées, dans un emplacement géographiquement distinct du serveur principal. Si une indisponibilité dépasse 30 minutes, nous vous prévenons par email. Nous pouvons restaurer un environnement complet en quelques heures.
Et si vous êtes piratés ?
Si un incident touche vos données, vous serez prévenu sous 72 heures maximum (obligation RGPD) avec trois informations : ce qui s'est passé, ce que cela implique pour vous, et ce que nous faisons pour y remédier. Un compte-rendu détaillé suit sous 7 jours.
Que se passe-t-il si Finareo ferme ?
Vous pouvez à tout moment récupérer l'intégralité de vos données depuis le portail (Excel, CSV, PDF), sans intervention de notre part. En cas de cessation d'activité, nous nous engageons à vous laisser un délai suffisant pour migrer vos données ailleurs.
Puis-je récupérer mes données quand je veux ?
Oui, à tout moment. Vous pouvez exporter l'ensemble de vos données depuis le portail au format Excel, CSV ou PDF — c'est en libre service.
Puis-je demander la suppression complète de mes données ?
Oui, sur simple demande écrite. Nous procédons à la suppression sous 30 jours, à l'exception des éléments que la loi nous oblige à conserver.
Combien de temps gardez-vous mes données ?
Pendant toute la durée de notre collaboration, et au-delà uniquement le temps nécessaire à nos obligations légales. Le détail précis figure dans notre DPA, disponible sur demande.
Contrôles techniques

Pour vos équipes IT et RSSI :
le détail technique.

CHIFFR.

Chiffrement

  • TLS 1.3 sur toutes les communications externes et internes
  • Chiffrement disque au niveau infrastructure
  • Sauvegardes chiffrées avec clé distincte avant transfert hors-site
  • Secrets en variables d'environnement, jamais dans le code
ACCÈS

Contrôle d'accès

  • Rôles internes analyste et administrateur, principe du moindre privilège
  • Isolation par tenant (un schéma PostgreSQL distinct par client)
  • Authentification client par code à usage unique (OTP email, TTL 10 min)
  • Verrouillage après 5 échecs OTP ; session expirable (8 h)
  • MFA TOTP obligatoire pour les administrateurs Finareo
AUDIT

Audit & journalisation

  • Journalisation horodatée via django-auditlog sur tous les modèles métier
  • Accès aux documents, exports et appels API tracés systématiquement
  • Actions administratives auditées (création, modification, suppression)
  • Erreurs applicatives remontées dans Sentry
  • Extrait du journal de votre périmètre disponible sur demande
VULN.

Gestion des vulnérabilités

  • Veille sécurité sur les composants critiques (Django, DRF, dépendances)
  • CVE critiques (CVSS ≥ 7) corrigées sous 48 h
  • Linter ruff exécuté en CI, revue de code obligatoire avant fusion
  • Programme de divulgation responsable ouvert à security@finareo.io
INFRA

Infrastructure

  • Environnements de production et de test séparés
  • Pare-feu opérateur + pare-feu applicatif
  • Monitoring externe avec alerte sur indisponibilité
  • DNS protégé contre les attaques par déni de service
IA

Encadrement de l'IA

  • Anonymisation par mapping HMAC-SHA256 avant chaque envoi (FOURNISSEUR_xxxxxxxx, IBAN_xxxxxxxx)
  • Table de correspondance jamais transmise — ré-injection locale après réponse
  • Appels stateless — aucun historique côté fournisseur
  • Compte entreprise OpenAI, DPA signé
SAUV.

Sauvegardes

  • Sauvegardes quotidiennes chiffrées AES-256 de la base PostgreSQL
  • Clé de chiffrement distincte de celle des disques de production
  • Copie quotidienne transférée hors-site, géographiquement distincte
  • Procédure de restauration documentée et testée à la demande
CYCLE

Cycle de vie des données

  • Conservation limitée à la durée de la collaboration + obligations légales
  • Export complet en self-service depuis le portail (Excel, CSV, PDF)
  • Suppression sur demande sous 30 jours (hors obligations légales)
  • Aucune revente, aucun usage marketing, aucun mélange entre clients
EMPL.

Gestion des accès employés

  • Accès interne strictement limité au périmètre du dossier confié
  • MFA TOTP obligatoire pour les administrateurs Finareo
  • Toutes les actions internes journalisées (django-auditlog)
  • Désactivation immédiate des comptes sur départ
Conformité

Les textes auxquels nous nous tenons.

RGPD
Règlement européen sur la protection des données
Appliqué
ISO 27001
Architecture alignée sur le référentiel (Annexe A)
Alignement en place
Documentation

Sur demande,
nous pouvons aller plus loin.

PUBLIC
Liste complète des sous-traitants
Qui traite vos données, où, et avec quels engagements. Consultable sans demande, mise à jour à chaque évolution.
Consulter la page
PUBLIC
Accord de traitement des données — DPA (PDF)
Notre engagement contractuel RGPD. Modèle de référence Finareo conforme à l'article 28, à joindre au mandat. 16 pages, sans NDA.
Télécharger le PDF
PUBLIC
Service Level Agreement — SLA (PDF)
Engagement de niveau de service : disponibilité 99,5 %, délais de support P0–P3, crédits de service en cas de manquement. 10 pages, sans NDA.
Télécharger le PDF
PUBLIC
Brochure sécurité — Synthèse client (PDF)
Document de référence à joindre à vos questionnaires fournisseurs : posture, contrôles techniques, gouvernance IA, conformité. Sans NDA.
Télécharger le PDF
SOV Sous NDA
Security Overview détaillé
Document technique complet, à destination des RSSI.
PCA Sous NDA
Plan de continuité d'activité
Comment nous réagissons aux pannes, incidents et catastrophes.
AUDIT Sur demande
Extrait d'audit de votre périmètre
Journal des actions internes sur vos données.
Ressources

Pour approfondir,
lectures recommandées.

Sécurité, conformité, gouvernance des données — quelques articles pour aller plus loin sans rentrer dans le code.

Voir tous les articles
Sécurité
12 mai 20263min

Pourquoi nous masquons vos données avant tout envoi à l'IA

L'intelligence artificielle peut analyser vos factures sans jamais voir vos noms de fournisseurs, RIB ou contacts. Voici comment, et pourquoi c'est essentiel.

Lire
Sécurité
12 mai 20263min

Comment Finareo protège vos données financières

Chiffrement, isolation, anonymisation, traçabilité : un tour concret des contrôles qui protègent vos factures, contrats et paiements quand vous nous les confiez.

Lire
Sécurité
12 mai 20263min

RGPD et CNDP : ce que ça change concrètement pour vous

Au-delà des sigles, comment ces deux réglementations protègent vraiment vos données financières chez Finareo, et quels droits concrets vous pouvez exercer.

Lire
Contact sécurité

Une question, un audit,
un signalement.

Réponse sous 24 h ouvrées. Pour les vulnérabilités : accusé sous 48 h, correction des critiques sous 7 jours.

security@finareo.io PGP disponible sur demande