← Journal
FR EN NL
Confiance · Technique · 02 mai 2026 · 7 min de lecture

RGPD by design : notre stack en 5 décisions

« On est RGPD compliant. » C'est ce que disent tous nos concurrents. Voici les 5 questions qui font la différence.

« On est RGPD compliant. »

C'est la phrase qu'on entend dans 100 % des démos d'éditeurs IA. Le vrai sujet n'est pas la formule : c'est la preuve opérationnelle derrière l'hébergement, les sous-traitants, les accès et la réversibilité.

Le problème, c'est que « RGPD compliant » n'a aucune définition juridique précise. C'est une déclaration. Pas un engagement. Pas un audit. Pas un contrat.

Voici les cinq questions que nous posons à chaque client qui nous évalue — et que nous vous invitons à poser à tout éditeur IA. Avec, en regard, nos propres réponses.

Question 1 — Où sont stockées les données ?

La mauvaise réponse. « Sur AWS. » (Sous-entendu : on ne sait pas trop dans quelle région, et c'est un problème.)

Notre réponse. Les options d'hébergement sont cadrées à la commande, avec une préférence pour des infrastructures européennes comme OVHcloud et Scaleway lorsque le périmètre client le permet. Les sous-traitants, lieux de traitement et durées de conservation sont documentés dans le DPA.

Pourquoi c'est important : le pays de droit du fournisseur, les filiales, les transferts et les sous-traitants peuvent modifier le niveau de risque réel. Un hébergement géographiquement européen ne suffit pas : il faut une cartographie contractuelle et technique.

Question 2 — Quel modèle traite mes prompts ?

La mauvaise réponse. « On utilise GPT-4. » (Sous-entendu : vos données partent chez OpenAI, sont potentiellement loggées 30 jours, et vous n'avez aucun contrôle dessus.)

Notre réponse. Hugo, Léa et Maya s'appuient sur une combinaison de modèles auto-hébergés (Mistral Large 2, Llama 3.3 70B) déployés sur infrastructure Scaleway, et de modèles tiers via API souveraines (Mistral La Plateforme, hébergée en France) pour les tâches qui le justifient.

Par défaut, nous privilégions des modèles et traitements compatibles avec le cadre convenu avec le client. Tout passage par un modèle tiers doit être documenté dans le DPA, et chaque client peut demander un mode plus restrictif si son niveau de risque l'exige.

Question 3 — Combien de temps gardez-vous mes données ?

La mauvaise réponse. « Le temps de notre relation contractuelle. » (Sous-entendu : indéfiniment, dans des sauvegardes, ou pour entraîner nos modèles.)

Notre réponse. Trois niveaux de rétention, paramétrables par le client :

  • Données opérationnelles (CV, transcriptions d'appels, audits) : conservées le temps strictement nécessaire à la prestation, supprimées sur trigger configurable (30, 90, 180, 365 jours).
  • Logs techniques (qui a fait quoi, quand) : 13 mois maximum, conformément aux recommandations CNIL pour la traçabilité de sécurité.
  • Données d'entraînement : l'usage des données client pour l'entraînement est exclu par défaut et encadré dans le DPA. Si un cas spécifique était demandé, il ferait l'objet d'un accord séparé, documenté et auditable.

À la fin du contrat : purge complète sous 30 jours, certificat de destruction fourni.

Question 4 — Qui a accès à mes données chez vous ?

La mauvaise réponse. « Notre équipe support. » (Sous-entendu : tout le monde, en cas de besoin, sans traçabilité.)

Notre réponse. Trois rôles définis :

  • Support N1 : voit uniquement les métadonnées (volumétrie, statut des jobs, erreurs anonymisées). Aucun accès aux données métier.
  • Support N2 : peut accéder aux données métier uniquement après élévation de privilèges signée par le client, journalisée, et limitée dans le temps (4h max, sur ticket lié).
  • Ingénierie : aucun accès en production, sauf incident majeur, avec accord du DPO client et du nôtre.

Tous les accès sont journalisés sur registre immuable (append-only, signé), consultable par le client à tout moment via le dashboard.

Question 5 — Suis-je transparent sur les sous-traitants ?

La mauvaise réponse. « On a des sous-traitants conformes. » (Sous-entendu : on ne sait pas trop lesquels, et la liste change sans vous prévenir.)

Notre réponse. Notre liste publique de sous-traitants ultérieurs est disponible en permanence sur belogic.ai/dpa/subprocessors. Toute modification déclenche une notification email à tous les DPO clients 30 jours avant la mise en production, avec droit d'opposition.

À ce jour, nous travaillons avec : OVHcloud (hébergement), Scaleway (hébergement + GPU), Mistral AI (modèles), Stripe (paiement, données séparées), Sentry self-hosted (monitoring, sur notre infra). C'est tout.

Pourquoi nous publions ces réponses

Parce que la conformité RGPD ne devrait pas être un argument commercial. Ça devrait être un standard d'industrie. Tant qu'il ne l'est pas, la transparence reste un différenciateur.

Et parce que nos clients sont, en grande majorité, des entreprises industrielles, des cabinets de conseil et des ETI qui auraient tort de signer avec un éditeur IA dont l'infrastructure est invisible.

Si votre éditeur actuel ne peut pas répondre clairement aux cinq questions ci-dessus, vous savez ce qui vous reste à faire.

Et si vous voulez les poser à BeLogic — par mail, en visio, ou dans un appel d'offre — notre DPO répond sous 48 heures. C'est dpo@belogic.ai.