L'IA grand public expose vos données. SkaLean héberge tout localement.

SkaLean garantit la résidence des données par architecture, pas par promesse contractuelle. Trois mécanismes techniques rendent physiquement impossible la sortie de vos données de votre périmètre géographique :

1. Exécution LLM locale : le modèle de langage tourne sur des serveurs physiquement situés dans votre datacenter ou dans une région cloud que vous choisissez (OVHcloud Canada, AWS Canada-Central, Azure Canada East). Aucune requête n'est envoyée vers des serveurs américains ou étrangers.
2. Isolation réseau complète : les instances SkaLean peuvent être déployées en mode air-gapped (déconnecté d'internet). Dans ce mode, même une requête malveillante ne pourrait pas exfiltrer de données car il n'y a aucun chemin réseau vers l'extérieur.
3. Chiffrement de bout en bout AES-256 : les données sont chiffrées au repos et en transit avec des clés que vous contrôlez. Pour les organisations soumises au Cloud Act américain, SkaLean sur infrastructure canadienne ou européenne souveraine élimine ce risque : les autorités américaines ne peuvent pas saisir des données sur des serveurs qui ne sont pas soumis à leur juridiction.

Rapport de traçabilité mensuel disponible pour confirmer que 0 octet de données a transité hors périmètre.

La distinction est juridique autant que technique.

Hébergement cloud classique (AWS us-east-1, Azure Global) : vos données sont physiquement aux États-Unis ou dans une région contrôlée par une société américaine. Même si les serveurs sont au Canada, si l'opérateur (Amazon, Microsoft, Google) est américain, le Cloud Act américain (2018) permet aux autorités américaines d'accéder à ces données via une ordonnance judiciaire, sans vous en informer et sans que vous puissiez vous y opposer.

Hébergement souverain SkaLean :

1. Infrastructure opérée par une entité canadienne ou européenne (OVHcloud, Hetzner, DigitalOcean Canada) sans actionnaire américain majoritaire.
2. Aucune donnée ne transite hors de la juridiction choisie.
3. Le Cloud Act n'est pas applicable.
4. Registre de traitement RGPD/Loi 25 tenu automatiquement.

Ce que ça change pour vous concrètement : lors d'un audit RGPD ou d'une vérification Loi 25, vous pouvez répondre avec précision à la question "où sont traitées les données personnelles de vos clients ?" et le prouver avec des logs. Avec un hébergement cloud classique, cette réponse est impossible ou approximative.

SkaLean est conçu dès la conception (privacy by design) pour être conforme à ces trois cadres réglementaires.

RGPD (Union européenne) :

1. Registre des traitements automatiquement maintenu pour chaque module.
2. Droit à l'effacement : toute donnée peut être supprimée définitivement sur demande, avec certificat de suppression.
3. Droit d'accès : export de toutes les données liées à un individu en un clic.
4. Base légale documentée pour chaque traitement.

Loi 25 (Québec, en vigueur depuis 2023) :

1. Évaluation de facteurs relatifs à la vie privée (ÉFVP) disponible sur demande.
2. Responsable de la protection des renseignements personnels désignable dans l'interface d'administration.
3. Notifications d'incident automatiques en moins de 72h (obligation légale).
4. Logs de tous les accès aux renseignements personnels.

HIPAA (États-Unis, secteur médical) : SkaLean peut être configuré en mode HIPAA-compliant avec accord BAA (Business Associate Agreement) signable, chiffrement de toutes les PHI (Protected Health Information) au repos et en transit, et journaux d'audit complets des accès aux données médicales.

Restriction : la conformité HIPAA nécessite le plan Entreprise et une configuration spécifique à valider avec notre équipe.

SkaLean applique six couches de protection des données personnelles :

1. Pseudonymisation automatique : avant d'être envoyée au LLM, toute donnée personnelle identifiée (nom, email, numéro de téléphone, numéro de dossier) est remplacée par un identifiant anonyme. Le LLM ne voit jamais de vraies données personnelles. La réponse générée est re-personnalisée après traitement.
2. Chiffrement AES-256 au repos : toutes les données stockées (documents, historiques de conversations, logs) sont chiffrées avec des clés dérivées de votre identifiant de tenant. Même un accès physique au serveur ne permettrait pas de lire les données sans la clé.
3. Chiffrement TLS 1.3 en transit : toutes les communications entre votre navigateur/application et SkaLean sont chiffrées.
4. Isolation multi-tenant : les données de votre organisation sont strictement séparées de celles des autres clients SkaLean au niveau base de données (Row-Level Security PostgreSQL).
5. Contrôle d'accès basé sur les rôles : chaque employé n'accède qu'aux données correspondant à son rôle. Les logs d'accès sont conservés pour audit.
6. Durée de rétention configurable : vous définissez combien de temps les données sont conservées (30 jours à 7 ans). La suppression est irréversible et certifiée.

SkaLean dispose d'un plan de réponse aux incidents structuré en 5 phases, aligné sur ISO 27001 et les exigences de notification de la Loi 25 et du RGPD :

1. Phase 1 — Détection (< 15 minutes) : systèmes de détection d'intrusion (IDS) et de surveillance des anomalies actifs 24h/24. Toute activité anormale déclenche une alerte immédiate à votre équipe de sécurité et à la nôtre.
2. Phase 2 — Confinement (< 1 heure) : isolation automatique des composants compromis, révocation des tokens d'accès suspects, mise en mode lecture seule si nécessaire.
3. Phase 3 — Notification (< 72 heures) : conformément au RGPD et à la Loi 25, notification automatique à votre DPO/Responsable protection et aux autorités compétentes si des données personnelles sont affectées.
4. Phase 4 — Investigation et restauration : forensics complet des logs d'audit (conservés 12 mois), identification de la cause racine, restauration depuis des snapshots chiffrés (RPO < 1 heure, RTO < 4 heures pour les plans Entreprise).
5. Phase 5 — Rapport post-incident : rapport détaillé avec timeline, étendue des données affectées, mesures correctives implémentées — utilisable directement pour votre rapport d'incident réglementaire.

SkaLean propose une gestion des accès en 4 niveaux, adaptée à des organisations de 5 à 500 personnes :

1. Authentification renforcée : Single Sign-On (SSO) avec votre fournisseur d'identité existant (Azure AD, Okta, Google Workspace), authentification multifacteur (MFA) obligatoire configurable, et sessions à durée limitée (60 minutes par défaut, configurable).
2. RBAC (Role-Based Access Control) : 12 rôles prédéfinis couvrant tous les profils types (admin, manager, opérateur, lecteur, développeur API). Rôles personnalisés créables pour les organisations avec des besoins spécifiques.
3. Permissions granulaires par module et par dataset : un employé peut avoir accès à l'Assistant IA mais pas à Studio IA, ou accès aux documents RH mais pas aux documents juridiques. Les permissions se gèrent visuellement sans configuration technique.
4. Audit trail complet : chaque action (connexion, requête, modification, export, suppression) est enregistrée avec l'identité de l'utilisateur, l'horodatage, l'IP source et le résultat de l'action. Les logs sont conservés 12 mois (extensible à 7 ans pour les secteurs régulés) et sont exportables au format CSV pour vos audits.