Retour

Sécurité et traitement des données

Vous nous confiez l'accès à des applications créées par vos équipes. Voici, sans détour, ce à quoi BWorlds accède, ce qu'il en fait, et ce qu'il ne fait pas. Si une question n'est pas couverte ici, posez-la directement à un cofondateur.

Nos principes

  • Vos applications restent les vôtres. Le code, les données et la propriété intellectuelle vous appartiennent. BWorlds n'en revendique aucun droit.
  • Accès minimal. Nous demandons uniquement les accès nécessaires à l'audit, et rien de plus.
  • Lecture par défaut, action sur approbation explicite. BWorlds analyse en lecture. Aucune correction n'est appliquée et aucun code n'est poussé dans vos dépôts sans votre accord explicite.
  • Transparence. Vous savez à tout moment ce qui est analysé et pourquoi.

Ce à quoi BWorlds accède

  • Le code des applications que vous nous autorisez à analyser, en général les applications créées par vos collaborateurs avec l'IA. Rien d'autre.
  • Les commits de votre dépôt GitHub, pour suivre l'évolution du code.

Par défaut, BWorlds analyse uniquement le code et les commits. Ces éléments ne contiennent pas les données personnelles de vos clients.

Au-delà, rien n'est collecté, sauf si un collaborateur installe le SDK et active explicitement le suivi des erreurs ou l'enregistrement de sessions. Ces fonctions traitent alors des données d'usage de l'application. Leur activation est toujours explicite et reste à votre main.

Comment vos données sont traitées

Pour produire l'audit, le code de vos applications est analysé par les modèles d'IA d'OpenAI, dans le cadre de son offre entreprise. À ce titre, vos données ne sont pas utilisées pour entraîner les modèles.

Les corrections : vous gardez le contrôle

Par défaut, BWorlds identifie les problèmes et vous indique comment les corriger avec votre outil d'IA. Pour un ensemble défini de corrections, BWorlds peut réaliser le correctif lui-même, uniquement après votre approbation explicite, au cas par cas. Aucun code n'est poussé dans vos dépôts sans cet accord, et vous pouvez révoquer les accès à tout moment.

Hébergement et localisation

  • Hébergement : aux États-Unis (Oregon) pour le moment.
  • Chiffrement : vos données sont chiffrées en transit et au repos.

Conservation et suppression

  • Durée : vos données sont conservées pendant toute la durée du contrat.
  • Suppression : vous pouvez demander la suppression de vos données à tout moment, et elles sont supprimées à la fin du contrat.
  • Révocation : vous coupez les accès quand vous le souhaitez, et l'analyse s'arrête.

Sous-traitants

BWorlds s'appuie sur un nombre limité de prestataires pour fonctionner :

  • Railway infrastructure et hébergement applicatif (États-Unis, Oregon)
  • Vercel hébergement et déploiement de l'interface web
  • OpenAI analyse du code par IA (offre entreprise)
  • Stripe traitement des paiements

RGPD

Notre traitement suit les principes du RGPD : minimisation des données, accès restreint, droit à la suppression. Vos données étant hébergées aux États-Unis, leur transfert s'appuie sur les clauses contractuelles types (CCT) de la Commission européenne. Un accord de traitement des données (DPA) est disponible sur demande.

Ce que nous ne sommes pas, à ce stade

  • Nous n'avons pas de certification SOC 2 ou ISO 27001 aujourd'hui.
  • Nous ne proposons pas encore de déploiement souverain ou on-premise, et l'hébergement est aux États-Unis. La localisation en Europe et le déploiement souverain figurent sur notre feuille de route.

Nous démarrons nos premiers déploiements en entreprise, et notre posture de sécurité se renforce en continu. Nous préférons vous dire où nous en sommes plutôt que de le surévaluer.

Une question sur la sécurité ?

Parlez-en directement avec un cofondateur.

Je réserve un échange