Trust Center
Qualification du service, hébergement, sous-traitants, signatures eIDAS, certifications et contacts.
Dernière mise à jour : 19 juin 2026
1. Qualification du service
iArbiter est un outil logiciel d'aide à la décision et de gestion de la conformité. Les analyses, recommandations et rapports générés par les fonctionnalités d'intelligence artificielle constituent des outils d'aide à la décision et ne constituent en aucun cas des conseils juridiques, fiscaux, comptables ou réglementaires au sens de la loi n° 71-1130 du 31 décembre 1971 portant réforme de certaines professions judiciaires et juridiques.
Le Client demeure seul responsable de ses décisions de conformité, de la validation de ses obligations légales et de la qualité de ses engagements vis-à-vis de tiers (autorités de régulation, partenaires, auditeurs). iArbiter recommande au Client de faire valider toute démarche réglementaire à enjeu par un conseil qualifié (avocat, expert-comptable, commissaire aux comptes, cabinet de conseil).
La plateforme est conçue pour structurer, automatiser et tracerles processus de gouvernance, de conformité et de pilotage ESG — non pour s'y substituer.
2. Hébergement & souveraineté des données
Hébergeur principal : OVH SAS, 2 rue Kellermann, 59100 Roubaix — France. RCS Roubaix-Tourcoing 424 761 419.
- Serveurs physiques localisés en France — datacenter RBX (Roubaix) et GRA (Gravelines).
- Données hébergées en France, soumises au droit français et européen.
- Certification ISO 27001 OVH : ovhcloud.com/fr/certification
- Réseau privé vRack OVH entre les serveurs — les bases de données ne sont pas exposées sur Internet.
- Chiffrement au repos AES-256 sur stockage NVMe et backups chiffrés rétention 30 jours.
- Transit chiffré TLS 1.3 obligatoire (HSTS, certificat ECDSA).
3. Sous-traitants et transferts hors UE
iArbiter recourt aux sous-processeurs listés ci-dessous, tous encadrés contractuellement (Art. 28 RGPD). La liste complète est disponible dans le DPA (Accord de Traitement des Données).
| Sous-traitant | Pays | Finalité | Garanties RGPD |
|---|---|---|---|
| OVH SAS | France 🇫🇷 | Hébergement infrastructure | Pas de transfert hors UE — données France |
| Anthropic PBC | USA 🇺🇸 | Traitement IA/LLM (fonctionnalités Synapse, analyses IA) | Clauses Contractuelles Types (SCC) UE 2021/914 — Module 2 + TIA Schrems II |
| Redis Cloud (Upstash) | UE 🇪🇺 | Cache session | Données UE uniquement — pas de transfert |
| Sentry | USA 🇺🇸 | Monitoring erreurs (données anonymisées) | SCC + EU Data Privacy Framework — données anonymisées, pas de PII |
Note sur les transferts vers Anthropic (fonctionnalités IA)
Les données personnelles transmises aux fonctionnalités IA (Synapse) peuvent inclure des données pseudonymisées d'utilisation. Aucune donnée personnelle identifiante n'est transmise à Anthropic sans votre consentement explicite.
Anthropic s'engage contractuellement à ne pas utiliser les données de nos clients pour entraîner ses modèles (Anthropic Business Terms, section 5.2 — "Anthropic will not train on Customer Content").
Le Client peut désactiver l'ensemble des sous-processeurs IA américains en activant l'option allow_external_fallback = falsedans les paramètres de son organisation. Dans ce mode, seules les capacités d'analyse interne sont utilisées.
4. Niveaux de signature électronique (Règlement eIDAS UE 910/2014)
iArbiter applique une classification des actes selon leur valeur juridique et le niveau de signature eIDAS requis. Cette classification est codifiée dans le service de validation interne et appliquée automatiquement avant toute signature.
| Type d'acte | Niveau requis | Base légale | Ce qu'iArbiter fournit |
|---|---|---|---|
| Questionnaire fournisseur | Simple | eIDAS Art. 25 §1 | Hash SHA-256 + IP + horodatage NTP — audit trail conservé |
| Accusé réception plan d'action | Simple | eIDAS Art. 25 §1 | Hash SHA-256 + IP + horodatage NTP |
| Consentement RGPD | Simple | eIDAS Art. 25 §1 — CJUE C-673/17 | Hash SHA-256 + IP + horodatage NTP |
| PV de Conseil / AG | Avancée | eIDAS Art. 26 — C. com. L225-100-1 | Yousign eIDAS Advanced avec OTP SMS + PAdES-LTA conservé 10 ans |
| Résolution organe de surveillance | Avancée | eIDAS Art. 26 | Yousign eIDAS Advanced |
| Accusé alerte Whistleblowing | Avancée | eIDAS Art. 26 — Loi Waserman Art. 8 | Yousign eIDAS Advanced |
| Attestation conformité (Sapin 2 / Vigilance) | Avancée | eIDAS Art. 26 | Yousign eIDAS Advanced |
| DPA (contrat RGPD) | Avancée | eIDAS Art. 26 | Yousign eIDAS Advanced |
| Mandat exécutif | Qualifiée | eIDAS Art. 3(12) — assimilable acte authentique | Yousign eIDAS Qualified (prestataire qualifié ANSSI) |
| Modification statutaire | Qualifiée | eIDAS Art. 3(12) | Yousign eIDAS Qualified |
Note :le système refuse automatiquement toute tentative de signer un acte avec un niveau inférieur au minimum requis (guard applicatif codé, non contournable via l'API). Les PV de Conseil ne peuvent pas être signés en "simple" — le niveau avancé ou qualifié est imposé.
5. Certifications et conformité
Certifications en cours d'obtention
- SOC 2 Type II— audit Type 1 planifié Q4 2026, attestation Type 2 (12 mois d'operating effectiveness) cible Q4 2027. Mapping des 109 trust criteria disponible sur demande à security@iarbiter.fr.
- ISO 27001— roadmap 2027. Système de management de la sécurité de l'information (SMSI) en cours de structuration. Pré-audit interne prévu Q2 2027.
Conformité by design — déjà implémenté
- RGPD by design : architecture Multi-tenant Row-Level Security PostgreSQL FORCE — isolation totale des données entre organisations au niveau base de données, non contournable applicativement.
- Chiffrement : AES-256 au repos, TLS 1.3 en transit, HSTS, ECDSA.
- Audit trail immuable : signature Ed25519 de chaque événement sensible (chaîne de hash enchaînée, non falsifiable sans clé privée).
- MFA : TOTP + codes de récupération bcrypt + WebAuthn (passkey) disponibles.
- SSO: SAML 2.0 / OIDC pour intégration annuaire d'entreprise (Entra ID, Okta...).
- Pentest annuel obligatoire — dernier pentest interne 10 vecteurs : 21 mai 2026. Rapport disponible sur demande sous NDA à security@iarbiter.fr.
6. Responsabilité et niveaux de service
Limitation de responsabilité
La responsabilité d'iArbiter SAS est limitée au montant des abonnements versés par le Client au cours des 12 mois précédant le fait générateur, dans la limite du plafond prévu aux CGV. iArbiter ne saurait être tenu responsable de décisions prises sur la base des analyses IA, des pertes indirectes ou de manque à gagner.
SLA — Disponibilité
- Disponibilité cible : 99,9 % sur 12 mois glissants (hors maintenance planifiée).
- Maintenance planifiée : notifiée 48 h à l'avance par email et bannière in-app.
- RTO cible : 4 heures. RPO cible : 24 heures (backups cross-VPS quotidiens).
- Monitoring temps réel disponible : status.iarbiter.fr
DPA téléchargeable
L'Accord de Traitement des Données (DPA) complet est disponible en ligne : iarbiter.fr/legal/dpa. Une version PDF signée est disponible sur demande à dpo@iarbiter.fr.
7. Contacts
- DPO (Délégué à la Protection des Données) : dpo@iarbiter.fr — délai de réponse max. 30 jours (Art. 12.3 RGPD).
- Sécurité / bug bounty : security@iarbiter.fr — divulgation responsable (responsible disclosure) bienvenue. PGP key disponible sur demande.
- Abus / signalement : legal@iarbiter.fr
- CNIL : cnil.fr/fr/plaintes — vous disposez du droit de déposer une plainte auprès de la CNIL si vous estimez que vos droits RGPD ne sont pas respectés.
Pour toute demande d'exercice de droits RGPD (accès, rectification, effacement, portabilité, opposition, limitation) : dpo@iarbiter.fr. Délai légal de réponse : 1 mois, extensible à 3 mois pour les demandes complexes.