EN FR
Prendre contact
Centre de confiance

Vos données financières.
Entre de bonnes mains.

Vous nous confiez ce que votre entreprise a de plus sensible : factures, contrats, paiements. Voici concrètement comment nous le protégeons — sans jargon, sans flou.

100%
des échanges chiffrés
TLS 1.3 · de bout en bout
0
donnée nominative envoyée à l'IA
Anonymisation systématique avant envoi
72h
délai maximum de notification d'incident
Engagement RGPD
MA / UE
stockage géolocalisé
N+ONE (Maroc) ou Hetzner (UE)
100%
of traffic encrypted
TLS 1.3 · end-to-end
0
personal data sent to the AI
Systematic anonymisation before any call
72h
maximum incident notification window
GDPR commitment
MA / EU
geo-fenced storage
N+ONE (Morocco) or Hetzner (EU)
Nos engagements

Quatre promesses que nous tenons
tous les jours.

01

Vos données restent vos données

Stockées dans votre zone géographique. Chiffrées en permanence. Séparées techniquement de tous les autres clients. Aucun mélange possible, même au niveau infrastructure.

Chiffrement · Isolation
02

L'IA travaille pour vous, sans apprendre de vous

Avant chaque envoi, les noms, RIB, contacts et identifiants sont automatiquement remplacés par des codes anonymes. Notre fournisseur IA (OpenAI, compte entreprise) reçoit la structure et les montants — jamais qui est qui. Chaque appel est sans état, sans historique conservé chez le fournisseur.

Anonymisation · Sans état
03

Si quelque chose se passe mal, vous le saurez

Indisponibilité supérieure à 30 minutes : email. Incident de sécurité touchant vos données : notification sous 72 heures (obligation RGPD), puis post-mortem détaillé sous 7 jours.

Transparence · Incidents
04

Vous gardez la main

Vous restez propriétaires de vos données à tout moment. Export complet en self-service depuis le portail (Excel, CSV, PDF). Droit d'accès, de rectification et de suppression respectés. Si vous partez, vous emportez tout.

Vos droits · Portabilité
01

Your data stays your data

Stored in your own geographic region. Continuously encrypted. Technically isolated from every other client — no mixing possible, even at the infrastructure level.

Encryption · Isolation
02

The AI works for you without learning from you

Before every call, vendor names, bank details, contacts and identifiers are automatically replaced with anonymous codes. Our AI provider (OpenAI, enterprise account) sees structure and amounts — never who is who. Every call is stateless, with no history kept on the provider side.

Anonymisation · Stateless
03

If something goes wrong, you will know

Downtime over 30 minutes: email. Security incident affecting your data: notification within 72 hours (GDPR obligation), then a detailed post-mortem within 7 days.

Transparency · Incidents
04

You stay in control

You remain the owner of your data at all times. Complete self-service export from the portal (Excel, CSV, PDF). Access, rectification and deletion rights honoured. If you leave, you take everything with you.

Your rights · Portability
Vos questions

Ce qu'on nous demande
le plus souvent.

Où sont stockées mes données ?
Cela dépend de votre localisation. Pour nos clients marocains, vos données sont hébergées au Maroc chez N+ONE, dans un datacenter Tier III conforme aux exigences de la CNDP. Pour nos clients européens, l'hébergement se fait en Europe (Allemagne ou Finlande) chez Hetzner, opérateur certifié ISO 27001. Dans les deux cas, vos données ne quittent jamais leur zone géographique.
Comment sont-elles protégées quand elles transitent ?
Tout transit entre votre navigateur, nos serveurs et nos prestataires utilise TLS 1.3 — le standard de chiffrement le plus récent et le plus sûr aujourd'hui. C'est ce qui empêche qu'on intercepte vos données en chemin.
Mes données sont-elles mélangées avec celles d'autres clients ?
Non, jamais. Chaque client dispose d'un espace de stockage techniquement séparé. Même en cas de bug dans notre logiciel, une donnée d'un client ne peut pas être renvoyée à un autre — c'est l'infrastructure elle-même qui l'empêche.
Qui chez Finareo peut voir mes données ?
Uniquement les personnes habilitées à votre dossier. Toutes leurs actions sont tracées dans un journal que vous pouvez consulter sur demande. Vos données ne sont jamais utilisées à des fins commerciales, marketing ou de revente.
L'IA voit-elle réellement mes données financières ?
Pour analyser vos factures et contrats, l'IA doit en effet les traiter — mais avec une protection clé : avant chaque envoi, nous masquons automatiquement les noms de fournisseurs, RIB, numéros de TVA, contacts et autres identifiants sensibles. L'IA voit la structure du document et les montants, mais pas qui est qui.
Mes données servent-elles à entraîner des modèles ?
Notre protection principale est l'anonymisation : les noms de fournisseurs, RIB, identifiants sensibles sont remplacés par des tokens (FOURNISSEUR_xxxxxxxx, IBAN_xxxxxxxx) avant chaque envoi à l'IA. Le fournisseur ne voit aucune donnée nominative. Les contrats entreprise OpenAI sont disponibles pour consultation sous NDA.
L'IA garde-t-elle un historique de nos échanges ?
Non. Chaque analyse est indépendante et sans état — il n'y a pas de fonction « conversation » côté fournisseur d'IA. Une fois la réponse rendue, l'échange disparaît.
Et si vos serveurs tombent en panne ?
Vos données sont sauvegardées quotidiennement, chiffrées, dans un emplacement géographiquement distinct du serveur principal. Si une indisponibilité dépasse 30 minutes, nous vous prévenons par email. Nous pouvons restaurer un environnement complet en quelques heures.
Et si vous êtes piratés ?
Si un incident touche vos données, vous serez prévenu sous 72 heures maximum (obligation RGPD) avec trois informations : ce qui s'est passé, ce que cela implique pour vous, et ce que nous faisons pour y remédier. Un compte-rendu détaillé suit sous 7 jours.
Que se passe-t-il si Finareo ferme ?
Vous pouvez à tout moment récupérer l'intégralité de vos données depuis le portail (Excel, CSV, PDF), sans intervention de notre part. En cas de cessation d'activité, nous nous engageons à vous laisser un délai suffisant pour migrer vos données ailleurs.
Puis-je récupérer mes données quand je veux ?
Oui, à tout moment. Vous pouvez exporter l'ensemble de vos données depuis le portail au format Excel, CSV ou PDF — c'est en libre service.
Puis-je demander la suppression complète de mes données ?
Oui, sur simple demande écrite. Nous procédons à la suppression sous 30 jours, à l'exception des éléments que la loi nous oblige à conserver.
Combien de temps gardez-vous mes données ?
Pendant toute la durée de notre collaboration, et au-delà uniquement le temps nécessaire à nos obligations légales. Le détail précis figure dans notre DPA, disponible sur demande.
Where is my data stored?
It depends on your location. For our Moroccan clients, your data is hosted in Morocco at N+ONE, in a Tier III datacenter compliant with CNDP requirements. For our European clients, hosting is in Europe (Germany or Finland) at Hetzner, an ISO 27001 certified operator. In either case, your data never leaves its geographic region.
How is it protected in transit?
Every transfer between your browser, our servers and our providers uses TLS 1.3 — the most recent and secure encryption standard available today. This prevents anyone from intercepting your data along the way.
Is my data mixed with other clients' data?
No, never. Each client has a technically separated storage space. Even if a bug occurred in our software, one client's data could never be returned to another — the infrastructure itself prevents it.
Who at Finareo can see my data?
Only the people assigned to your engagement. All their actions are logged in an audit trail you can review on demand. Your data is never used for commercial, marketing or resale purposes.
Does the AI actually see my financial data?
To analyse your invoices and contracts, the AI does need to process them — but with a key safeguard: before every call, we automatically mask vendor names, bank account numbers, VAT numbers, contacts and other sensitive identifiers. The AI sees the document structure and amounts, but never who is who.
Is my data used to train models?
Our primary safeguard is anonymisation: vendor names, bank details and sensitive identifiers are replaced with tokens (VENDOR_xxxxxxxx, IBAN_xxxxxxxx) before every AI call. The provider never sees personal data. OpenAI enterprise contracts are available for review under NDA.
Does the AI keep a history of our exchanges?
No. Every analysis is independent and stateless — there is no "conversation" feature on the AI provider side. Once the response is delivered, the exchange disappears.
What if your servers go down?
Your data is backed up daily, encrypted, in a location geographically separate from the main server. If downtime exceeds 30 minutes, we notify you by email. We can restore a complete environment in a few hours.
What if you get hacked?
If an incident affects your data, you will be notified within 72 hours maximum (GDPR obligation) with three pieces of information: what happened, what it means for you, and what we are doing to fix it. A detailed report follows within 7 days.
What happens if Finareo shuts down?
You can retrieve all your data from the portal (Excel, CSV, PDF) at any time, without our involvement. If we cease operations, we commit to giving you enough notice to migrate your data elsewhere.
Can I retrieve my data whenever I want?
Yes, at any time. You can export all your data from the portal in Excel, CSV or PDF format — fully self-service.
Can I request the complete deletion of my data?
Yes, on simple written request. We carry out deletion within 30 days, except for items the law requires us to retain.
How long do you keep my data?
For the entire duration of our engagement, and beyond only as long as needed for our legal obligations. The exact detail is in our DPA, available on request.
Contrôles techniques

Pour vos équipes IT et RSSI :
le détail technique.

CHIFFR.

Chiffrement

  • TLS 1.3 sur toutes les communications externes et internes
  • Chiffrement disque au niveau infrastructure
  • Sauvegardes chiffrées avec clé distincte avant transfert hors-site
  • Secrets en variables d'environnement, jamais dans le code
ACCÈS

Contrôle d'accès

  • Rôles internes analyste et administrateur, principe du moindre privilège
  • Isolation par tenant (un schéma PostgreSQL distinct par client)
  • Authentification client par code à usage unique (OTP email, TTL 10 min)
  • Verrouillage après 5 échecs OTP ; session expirable (8 h)
  • MFA TOTP obligatoire pour les administrateurs Finareo
AUDIT

Audit & journalisation

  • Journalisation horodatée via django-auditlog sur tous les modèles métier
  • Accès aux documents, exports et appels API tracés systématiquement
  • Actions administratives auditées (création, modification, suppression)
  • Erreurs applicatives remontées dans Sentry
  • Extrait du journal de votre périmètre disponible sur demande
VULN.

Gestion des vulnérabilités

  • Veille sécurité sur les composants critiques (Django, DRF, dépendances)
  • CVE critiques (CVSS ≥ 7) corrigées sous 48 h
  • Linter ruff exécuté en CI, revue de code obligatoire avant fusion
  • Programme de divulgation responsable ouvert à security@finareo.io
INFRA

Infrastructure

  • Environnements de production et de test séparés
  • Pare-feu opérateur + pare-feu applicatif
  • Monitoring externe avec alerte sur indisponibilité
  • DNS protégé contre les attaques par déni de service
IA

Encadrement de l'IA

  • Anonymisation par mapping HMAC-SHA256 avant chaque envoi (FOURNISSEUR_xxxxxxxx, IBAN_xxxxxxxx)
  • Table de correspondance jamais transmise — ré-injection locale après réponse
  • Appels stateless — aucun historique côté fournisseur
  • Compte entreprise OpenAI, DPA signé
SAUV.

Sauvegardes

  • Sauvegardes quotidiennes chiffrées AES-256 de la base PostgreSQL
  • Clé de chiffrement distincte de celle des disques de production
  • Copie quotidienne transférée hors-site, géographiquement distincte
  • Procédure de restauration documentée et testée à la demande
CYCLE

Cycle de vie des données

  • Conservation limitée à la durée de la collaboration + obligations légales
  • Export complet en self-service depuis le portail (Excel, CSV, PDF)
  • Suppression sur demande sous 30 jours (hors obligations légales)
  • Aucune revente, aucun usage marketing, aucun mélange entre clients
EMPL.

Gestion des accès employés

  • Accès interne strictement limité au périmètre du dossier confié
  • MFA TOTP obligatoire pour les administrateurs Finareo
  • Toutes les actions internes journalisées (django-auditlog)
  • Désactivation immédiate des comptes sur départ
ENCR.

Encryption

  • TLS 1.3 on every external and internal communication
  • Disk encryption at infrastructure level
  • Backups encrypted with a separate key before off-site transfer
  • Secrets in environment variables, never in code
ACCESS

Access control

  • Internal analyst and admin roles, principle of least privilege
  • Per-tenant isolation (one separate PostgreSQL schema per client)
  • Client authentication via one-time code (email OTP, 10 min TTL)
  • Lockout after 5 OTP failures; sessions expire (8 h)
  • TOTP MFA mandatory for Finareo administrators
AUDIT

Audit & logging

  • Timestamped logging via django-auditlog on every business model
  • Document access, exports and API calls systematically tracked
  • Administrative actions audited (create, update, delete)
  • Application errors reported to Sentry
  • Extract of your scope of the audit log available on request
VULN.

Vulnerability management

  • Security watch on critical components (Django, DRF, dependencies)
  • Critical CVEs (CVSS ≥ 7) patched within 48 h
  • ruff linter enforced in CI, mandatory code review before merge
  • Responsible disclosure program open at security@finareo.io
INFRA

Infrastructure

  • Separate production and test environments
  • Operator firewall + application firewall
  • External monitoring with downtime alerting
  • DNS protected against denial-of-service attacks
AI

AI governance

  • Anonymisation via HMAC-SHA256 mapping before every call (VENDOR_xxxxxxxx, IBAN_xxxxxxxx)
  • Mapping table never transmitted — locally re-injected after the response
  • Stateless calls — no history on the provider side
  • OpenAI enterprise account, signed DPA
BACK.

Backups

  • Daily AES-256 encrypted backups of the PostgreSQL database
  • Encryption key separate from the production disk key
  • Daily off-site copy, geographically distinct
  • Restoration procedure documented and tested on request
LIFE.

Data lifecycle

  • Retention limited to the duration of the engagement + legal obligations
  • Self-service full export from the portal (Excel, CSV, PDF)
  • Deletion on request within 30 days (excluding legal obligations)
  • No resale, no marketing use, no mixing between clients
STAFF

Employee access management

  • Internal access strictly limited to the scope of the engagement
  • TOTP MFA mandatory for Finareo administrators
  • Every internal action logged (django-auditlog)
  • Immediate account deactivation on departure
Conformité

Les textes auxquels nous nous tenons.

RGPD
Règlement européen sur la protection des données
Appliqué
ISO 27001
Architecture alignée sur le référentiel (Annexe A)
Alignement en place
GDPR
European data protection regulation
Applied
ISO 27001
Architecture aligned with the standard (Annex A)
Alignment in place
Ressources

Pour approfondir,
lectures recommandées.

Sécurité, conformité, gouvernance des données — quelques articles pour aller plus loin sans rentrer dans le code.

Voir tous les articles
Contact sécurité

Une question, un audit,
un signalement.

Réponse sous 24 h ouvrées. Pour les vulnérabilités : accusé sous 48 h, correction des critiques sous 7 jours.

security@finareo.io PGP disponible sur demande