Sécurité
Comment LEXTEUR protège vos données et celles de vos clients
Architecture de sécurité par conception
LEXTEUR est conçu selon le principe de protection des données dès la conception (privacy by design, article 25 du RGPD). L'ensemble du traitement documentaire s'effectue localement sur votre poste de travail. Aucune donnée sensible de vos dossiers ne transite par nos serveurs.
Traitement 100% local
L'extraction de texte par reconnaissance optique embarquée, la détection d'entités nominatives par moteur NER propriétaire et l'anonymisation par tokenisation sont exécutées intégralement sur votre machine. Seul le texte anonymisé est transmis au service d'analyse.
Chiffrement des données
Toutes les communications entre l'application et nos serveurs sont chiffrées via TLS 1.3. Les données au repos (comptes utilisateurs, configurations) sont chiffrées en AES-256. Les mots de passe sont hashés avec bcrypt et ne sont jamais stockés en clair.
Authentification sécurisée
L'authentification est gérée par Supabase avec le protocole PKCE (Proof Key for Code Exchange), offrant une protection contre les attaques d'interception. Les sessions sont sécurisées par des tokens JWT avec expiration automatique.
Sécurité des paiements
Les paiements sont traités par Stripe, certifié PCI-DSS niveau 1 (le plus haut niveau de certification). LEXTEUR ne collecte, ne stocke et n'a jamais accès à vos données de carte bancaire.
Traitement IA sécurisé
Les analyses IA sont effectuées via un prestataire d'intelligence artificielle tiers avec des données exclusivement pseudonymisées (au sens de l'article 4.5 du RGPD). Ce prestataire ne conserve pas les données transmises et ne les utilise pas pour l'entraînement de ses modèles. Lexteur se réserve le droit de modifier son prestataire d'IA à tout moment, sous réserve du maintien du niveau de conformité RGPD.
Pas d'entraînement sur vos données
LEXTEUR N'UTILISE JAMAIS le contenu de vos documents, vos analyses ou vos données pour entraîner des modèles d'intelligence artificielle, directement ou via des tiers. Cette garantie est inscrite dans nos conditions contractuelles avec l'ensemble de nos sous-traitants.
Infrastructure et sous-traitants
Notre infrastructure repose sur des prestataires de confiance : Vercel (hébergement web), Supabase (base de données, région UE Francfort), Stripe (paiements). Tous les sous-traitants sont liés par des clauses contractuelles conformes au RGPD. La liste complète des sous-traitants est disponible sur demande à contact@lexteur.com.
Contrôle d'accès
L'accès à l'infrastructure de production est limité selon le principe du moindre privilège. L'authentification multi-facteurs (MFA) est requise pour tout accès administratif. Les accès sont audités et revus régulièrement.
Gestion des incidents
En cas d'incident de sécurité affectant vos données personnelles, LEXTEUR s'engage à notifier la CNIL dans les 72 heures conformément à l'article 33 du RGPD, et à informer les utilisateurs concernés dans les meilleurs délais conformément à l'article 34.
Signalement de vulnérabilités
Si vous découvrez une vulnérabilité de sécurité, veuillez la signaler de manière responsable à security@lexteur.com. Nous nous engageons à accuser réception sous 5 jours ouvrés et à traiter le signalement avec la plus haute priorité.
Conformité réglementaire
LEXTEUR est conçu pour être conforme au RGPD (Règlement UE 2016/679), à la loi Informatique et Libertés (loi n° 78-17), à la directive ePrivacy (2002/58/CE), et respecte les obligations liées au secret professionnel de l'avocat (article 66-5 de la loi du 31 décembre 1971). Nous travaillons à l'obtention de la certification SOC 2 Type II.