Aller au contenu principal
Certi-fy
Documentation

Sécurité & confidentialité

Notre politique de suppression automatique des images et de conformité RGPD / AI Act.

Ce que nous faisons de vos images

Lorsque vous soumettez une image à Certi-fy pour analyse, voici exactement ce qui se passe :

  1. L'image est transmise de votre navigateur vers notre serveur via une connexion HTTPS chiffrée.
  2. Elle est analysée par notre modèle de détection en mémoire vive.
  3. L'empreinte SHA-256 est calculée et enregistrée en base de données, associée à votre compte et à l'horodatage.
  4. L'image originale est supprimée de nos serveurs dans l'heure suivant l'analyse. Elle n'est jamais stockée de façon permanente, jamais partagée avec des tiers, jamais utilisée pour entraîner des modèles.

Si vous générez un certificat, une miniature de l'image (JPEG compressé, résolution réduite) est stockée dans votre espace pour apparaître dans le PDF et sur la page de vérification publique. Cette miniature est associée à votre compte et supprimée si vous supprimez le certificat depuis votre tableau de bord.

Hébergement et souveraineté des données

L'intégralité de l'infrastructure Certi-fy est hébergée en France, sur des serveurs OVH situés dans les datacenters de Strasbourg et Roubaix. Aucune donnée ne transite par des serveurs situés hors de l'Union européenne.

Les services tiers utilisés pour le fonctionnement de la plateforme sont également conformes au RGPD :

  • Paiement : Stripe (transfert de données encadré par les clauses contractuelles types UE).
  • E-mails transactionnels : Mailjet, infrastructure européenne.
  • Analytics : Matomo, hébergé sur notre propre infrastructure française, sans partage de données.

Aucune donnée personnelle n'est transmise à Google, Meta, Amazon Web Services ou tout autre fournisseur de cloud américain.

Conformité RGPD

Certi-fy respecte le Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679). En tant qu'utilisateur, vous disposez des droits suivants sur vos données :

  • Droit d'accès : vous pouvez demander l'ensemble des données que nous détenons sur vous.
  • Droit de rectification : vous pouvez corriger vos données personnelles depuis votre espace compte.
  • Droit à l'effacement : vous pouvez supprimer votre compte et l'ensemble de vos données à tout moment depuis les paramètres.
  • Droit à la portabilité : vos certificats et l'historique de vos analyses sont exportables au format JSON depuis votre tableau de bord.
  • Droit d'opposition : vous pouvez vous opposer à tout traitement de vos données à des fins autres que la fourniture du service.

Pour exercer ces droits, contactez notre délégué à la protection des données à l'adresse rgpd@certi-fy.fr.

Conformité AI Act

Le règlement européen sur l'intelligence artificielle (Règlement UE 2024/1689, dit "AI Act") est pleinement applicable depuis août 2026. Certi-fy est conforme à ce règlement sur les points suivants :

  • Transparence du système : notre modèle de détection est documenté techniquement. Les utilisateurs sont informés qu'ils interagissent avec un système d'IA et que les résultats sont probabilistes.
  • Absence de pratiques interdites : Certi-fy ne pratique pas de manipulation subliminale, de notation sociale, ou d'identification biométrique en temps réel.
  • Documentation du modèle : une fiche technique du modèle (architecture, données d'entraînement, taux de précision) est disponible sur demande pour les clients professionnels.

La mention "Conforme AI Act" figurant sur chaque certificat fait référence au respect de ces obligations de transparence dans le cadre de la production du certificat, et non à une certification officielle délivrée par un organisme notifié.

Sécurité technique

Les mesures de sécurité technique mises en oeuvre incluent :

  • Chiffrement TLS 1.3 sur toutes les communications client-serveur.
  • Mots de passe stockés avec hachage bcrypt (coût 12).
  • Authentification par token JWT à durée limitée, stocké en cookie HttpOnly.
  • Rate limiting sur toutes les routes API sensibles.
  • Isolation des sessions utilisateurs, aucun accès croisé aux données entre comptes.
  • Sauvegardes chiffrées de la base de données toutes les 6 heures, rétention 30 jours.

En cas de détection d'une faille de sécurité, notre politique est de notifier les utilisateurs concernés dans les 72 heures conformément à l'article 33 du RGPD.

Retour à la documentationUne question ? Contacter le support