Tout ce que vous devez savoir avant de nous confier vos données. Pas de jargon, pas d'esquive — les engagements concrets de Kogrix.
1. Hébergement souverain France
Datacenters : OVH Gravelines et Roubaix (France). Aucune donnée client ne transite par des infrastructures hors Union européenne.
Certifications OVH : ISO 27001, ISO 27017, ISO 27018, HDS (Hébergeur de Données de Santé), SecNumCloud sur certaines zones.
Pas d'exposition Cloud Act : SASU Pelegrinus (France) est seule responsable du traitement des données utilisateurs EU. Aucune entité hors UE n'y a accès.
2. Liste des sous-traitants
Conformément à l'article 28 du RGPD, voici la liste exhaustive de nos sous-traitants. Un DPA (Data Processing Agreement) est signé avec chacun.
Sous-traitant
Finalité
Localisation
OVHcloud
Hébergement infrastructure
France (UE)
Anthropic (Claude)
API IA générative — mode « no training »
USA — DPA EU compliant
OpenAI (GPT)
API IA générative — mode « no training »
USA — DPA EU compliant
Mistral AI
API IA générative
France (UE)
Stripe
Paiement
Irlande (UE)
n8n.io (self-hosted)
Plateforme automatisation
France (UE) — instance dédiée
Toute évolution de cette liste est notifiée par email aux clients actifs avec préavis de 30 jours.
3. Vos données ne nourrissent jamais aucun modèle
Mode « opt-out commercial » activé sur toutes les API IA que nous utilisons (Anthropic, OpenAI, Mistral). Aucune donnée transmise n'entraîne de modèles tiers.
Anonymisation à la source : les données sensibles (noms, emails, numéros) sont remplacées par des tokens avant tout appel d'API.
Pas de stockage long terme : les requêtes IA ne sont conservées que 30 jours pour le débogage, puis supprimées définitivement.
Droit à la portabilité : vous récupérez vos données en JSON ou CSV à tout moment, sans frais.
Pour les clients en secteurs réglementés (santé, banque, juridique), un DPO externe certifié peut être désigné sur demande, avec contrat dédié.
5. Conformité AI Act européen
L'AI Act (Règlement UE 2024/1689) classifie les systèmes d'IA en 4 niveaux de risque. Voici comment se positionnent nos solutions :
RISQUE MINIMALChatbots informatifs, automatisations administratives, résumés de documents.
RISQUE LIMITÉChatbots interagissant avec des clients finaux : transparence obligatoire (mention « vous parlez à une IA »).
RISQUE ÉLEVÉDécisions automatisées en RH, crédit, justice, santé. Nous ne déployons pas ce type de système sans audit indépendant préalable et accord explicite du client.
INTERDITManipulation cognitive, scoring social, surveillance biométrique. Nous refusons toute mission de ce type, sans exception.
6. Garanties contractuelles
Garantie satisfait ou remboursé sur le premier livrable de l'Implémentation, dans les 30 jours suivant la livraison.
Pas de captation : toutes les automatisations reposent sur n8n open-source. En cas de cessation de service de notre part, nous vous transférons vos workflows et la documentation. Vous êtes propriétaire de votre infrastructure.
Récupération des données : à tout moment, export JSON/CSV gratuit. Suppression définitive sous 30 jours après résiliation du contrat.
Responsabilité civile professionnelle : Kogrix est couvert par une RC pro (assureur Hiscox France). Plafond de garantie communiqué sur demande.
7. Notification d'incidents
En cas de violation de données personnelles, nous nous engageons à :
• Notifier la CNIL dans les 72 heures conformément à l'article 33 RGPD.
• Vous notifier sans délai par email avec un rapport circonstancié.
• Mettre en place les mesures correctives et vous tenir informé jusqu'à résolution.
Vous avez des questions sur notre conformité ?
Nous fournissons sur demande : extrait Kbis, attestation RC pro, modèles de DPA, registre des traitements, étude d'impact (DPIA).