Les données de vos conversations avec DAIRIA IA sont-elles sécurisées ?

La sécurité des données : une exigence absolue pour un outil juridique

Lorsque vous utilisez DAIRIA IA pour résoudre une question de droit social, vous lui confiez des informations sensibles. Le nom d’un salarié en conflit avec l’entreprise, le montant d’une rémunération, les circonstances d’un licenciement envisagé, les détails d’un accident du travail — ces données relèvent du secret professionnel et de la vie privée des personnes concernées.

Dans un contexte où les cyberattaques se multiplient et où les exigences réglementaires se renforcent — Règlement général sur la protection des données (RGPD), loi n° 78-17 du 6 janvier 1978 dite « Informatique et Libertés » (Légifrance), Code pénal (art. 226-16 à 226-24 et 323-1 à 323-8) —, la question de la sécurité est légitime et indispensable.

Chez DAIRIA IA, la sécurité n’est pas un argument marketing : c’est le fondement même de notre architecture technique. Cet article détaille, en toute transparence, les mesures que nous avons mises en place pour garantir la confidentialité, l’intégrité et la disponibilité de vos données.

Le cadre juridique applicable : RGPD, loi Informatique et Libertés, Code pénal

Avant de détailler notre architecture de sécurité, il est essentiel de comprendre le cadre juridique qui s’impose à tout éditeur de solution traitant des données personnelles en France.

Le RGPD (Règlement UE 2016/679 du 27 avril 2016)

Le Règlement général sur la protection des données, en application depuis le 25 mai 2018, impose des obligations strictes à tout organisme traitant des données personnelles de résidents européens. Ses principes fondamentaux guident l’ensemble de notre démarche :

• Licéité, loyauté et transparence (art. 5.1.a) : le traitement doit reposer sur une base légale et être transparent ;
• Limitation des finalités (art. 5.1.b) : les données sont collectées pour des finalités déterminées et explicites ;
• Minimisation des données (art. 5.1.c) : seules les données adéquates et nécessaires sont traitées ;
• Exactitude, limitation de la conservation, intégrité et confidentialité (art. 5.1.d à 5.1.f) ;
• Responsabilité (accountability) (art. 5.2) : le responsable de traitement doit démontrer sa conformité.

La loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978, modifiée)

La loi n° 78-17 du 6 janvier 1978 (Légifrance), profondément remaniée par l’ordonnance n° 2018-1125 du 12 décembre 2018 (Légifrance) pour assurer la conformité avec le RGPD, complète le règlement européen sur les points laissés à la marge de manoeuvre nationale. Elle confère à la CNIL (Commission nationale de l’informatique et des libertés) ses pouvoirs de contrôle et de sanction.

Le Code pénal : sanctions des atteintes aux données personnelles

Le Code pénal sanctionne pénalement les atteintes aux systèmes de traitement automatisé de données et aux données personnelles :

• Art. 323-2 : le fait d’entraver ou de fausser un système de traitement automatisé de données est puni de 5 ans d’emprisonnement et 150 000 euros d’amende — peine portée à 7 ans et 300 000 euros lorsque le système traite des données personnelles mises en oeuvre par l’État (Légifrance) ;
• Art. R.625-11 : le non-respect du droit d’accès aux données personnelles est puni d’une contravention de 5e classe (Légifrance) ;
• Art. 226-16 à 226-24 : les atteintes aux droits de la personne résultant des fichiers ou traitements informatiques sont punies de 5 ans d’emprisonnement et 300 000 euros d’amende.

DAIRIA IA prend ces obligations au sérieux. Voici comment notre infrastructure y répond concrètement.

Un hébergement souverain : AWS Paris (eu-west-3)

Le choix de l’hébergement est la première décision structurante en matière de sécurité. DAIRIA IA est intégralement hébergé sur les serveurs d’Amazon Web Services (AWS) situés dans la région Paris (eu-west-3). Ce choix garantit que vos données restent physiquement en France, dans des datacenters soumis au droit français et européen.

Les datacenters AWS Paris sont certifiés : ISO 27001 (management de la sécurité de l’information), ISO 27017 (sécurité du cloud), ISO 27018 (protection des données personnelles dans le cloud), SOC 1, SOC 2 et SOC 3.

En choisissant un hébergement en France, DAIRIA IA s’affranchit des problématiques liées aux transferts de données hors de l’Union européenne — conformément aux exigences du chapitre V du RGPD (art. 44 à 49) et dans le contexte post-Schrems II (CJUE, 16 juillet 2020, C-311/18). Vos conversations ne transitent jamais par des serveurs situés aux États-Unis ou dans un pays tiers.

L’infrastructure est configurée selon le principe du moindre privilège (art. 25 du RGPD — protection des données dès la conception) : VPC avec sous-réseaux privés, groupes de sécurité restrictifs, chiffrement systématique, journalisation complète via AWS CloudTrail.

Chiffrement AES-256 au repos : vos données sont illisibles sans la clé

DAIRIA IA implémente un chiffrement AES-256 (Advanced Encryption Standard, clé de 256 bits) pour l’ensemble des données stockées — conformément à l’obligation de sécurité posée par l’article 32 du RGPD qui exige des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque », incluant notamment « le chiffrement des données à caractère personnel » (art. 32.1.a).

Chaque conversation, chaque question posée et chaque réponse générée est chiffrée avant d’être stockée. Les clés de chiffrement sont gérées par AWS Key Management Service (KMS), dans des modules matériels de sécurité (HSM) certifiés FIPS 140-2 Level 3, avec rotation automatique régulière.

Le chiffrement couvre les données au repos, les sauvegardes, les logs et les métadonnées — garantissant une protection complète de bout en bout.

TLS 1.3 en transit : des communications chiffrées de bout en bout

Le protocole TLS 1.3 (Transport Layer Security version 1.3, publié en 2018 par l’IETF) protège les données en transit entre votre navigateur et nos serveurs. Il représente une amélioration significative par rapport à TLS 1.2 :

• Suppression des algorithmes cryptographiques obsolètes (RC4, DES, 3DES, MD5, SHA-1) ;
• Réduction du handshake (1 aller-retour contre 2 pour TLS 1.2) ;
• Confidentialité persistante (Perfect Forward Secrecy) obligatoire pour toutes les connexions — même si la clé privée du serveur était compromise, les communications passées resteraient indéchiffrables.

DAIRIA IA impose TLS 1.3 comme version minimale. Les versions antérieures sont désactivées, éliminant tout risque d’attaque par downgrade.

Conformité RGPD : une démarche complète et documentée

DAIRIA IA est intégralement conforme au RGPD et va au-delà des exigences minimales :

Minimisation des données (art. 5.1.c). DAIRIA IA ne collecte que les données strictement nécessaires à la fourniture du service. Seules les données que vous choisissez de partager dans vos questions sont traitées.

Limitation de la finalité (art. 5.1.b). Les données sont utilisées exclusivement pour fournir des réponses juridiques. Aucune utilisation commerciale, publicitaire ou de profilage.

Limitation de la conservation (art. 5.1.e). Les conversations sont conservées pendant la durée de l’abonnement. À la résiliation, suppression dans le délai défini par notre politique de conservation, conformément aux recommandations de la CNIL.

Droits des personnes concernées (art. 15 à 22 du RGPD). DAIRIA IA garantit l’exercice effectif de tous les droits : accès (art. 15), rectification (art. 16), effacement (art. 17), portabilité (art. 20), opposition (art. 21), limitation (art. 18). Toute demande est traitée dans le délai légal d’un mois (art. 12.3).

Registre des traitements (art. 30). DAIRIA IA tient un registre des activités de traitement documentant pour chaque traitement sa finalité, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité.

Analyse d’impact (art. 35). Compte tenu de la nature sensible des données traitées, une AIPD (Analyse d’Impact relative à la Protection des Données) a été réalisée conformément à l’article 35 du RGPD et aux lignes directrices de la CNIL.

Délégué à la protection des données (DPO, art. 37 à 39). DAIRIA IA a désigné un DPO chargé de veiller au respect permanent de la réglementation.

Sous-traitants IA : aucune réutilisation de vos données

C’est un point qui préoccupe légitimement les utilisateurs : lorsque DAIRIA IA utilise des modèles d’intelligence artificielle, les données de vos conversations sont-elles partagées avec les fournisseurs ?

La réponse est claire : non, vos données ne sont pas utilisées pour entraîner les modèles d’IA.

DAIRIA IA utilise trois sous-traitants IA, tous liés par des Data Processing Agreements (DPA) conformes à l’article 28 du RGPD :

Sous-traitant	Modèle	Garantie contractuelle
Anthropic	Claude	API Enterprise — aucune rétention, aucun entraînement
OpenAI	GPT	API Business — zero data retention, pas d’entraînement
Mistral AI	Mistral	API — données non conservées, pas d’entraînement

Concrètement : les données sont transmises au modèle via une API sécurisée (TLS 1.3), le modèle génère la réponse, puis les données de la requête sont supprimées par le fournisseur (généralement en quelques secondes). De plus, DAIRIA IA met en place des mécanismes de pseudonymisation lorsque cela est possible, réduisant encore le risque d’exposition des données personnelles.

Architecture de sécurité : les couches de protection

Couche réseau. Infrastructure dans un VPC AWS avec sous-réseaux privés isolés. Seuls les points d’entrée nécessaires (load balancer HTTPS) sont exposés. Filtrage par groupes de sécurité selon le principe du moindre privilège. Système de détection d’intrusion (IDS) en surveillance permanente.

Couche applicative. Protection par WAF (Web Application Firewall) contre injection SQL, XSS, CSRF, force brute. Sessions sécurisées par tokens JWT signés à durée limitée. Authentification multi-facteurs (MFA) disponible.

Couche données. Chiffrement AES-256 au repos, TLS 1.3 en transit. Bases de données dans des sous-réseaux privés. Sauvegardes chiffrées dans une région AWS distincte pour la résilience.

Couche accès. Accès production strictement contrôlé : équipe restreinte, VPN + bastion SSH, MFA obligatoire, journalisation complète, principe du moindre privilège.

Surveillance et réponse aux incidents (art. 33-34 RGPD)

La surveillance est assurée par un monitoring en temps réel des logs, métriques et trafic réseau. Des alertes automatiques détectent toute anomalie.

En cas d’incident, un plan de réponse formalisé est activé (containment, éradication, recovery, post-mortem). Conformément aux articles 33 et 34 du RGPD :

• Toute violation de données est notifiée à la CNIL dans les 72 heures (art. 33) ;
• Les personnes concernées sont informées si le risque pour leurs droits et libertés est élevé (art. 34).

Des tests d’intrusion (pentests) réguliers sont conduits par des prestataires indépendants, avec plans d’action suivis jusqu’à résolution complète.

Pourquoi DAIRIA IA est le choix sécurisé pour vos données RH

Contrairement aux outils d’IA généralistes (ChatGPT grand public, Gemini, etc.), DAIRIA IA :

• Ne stocke pas vos données hors de l’Union européenne ;
• N’utilise pas vos conversations pour entraîner des modèles ;
• Ne partage aucune information avec des tiers non autorisés ;
• Dispose d’un DPO, d’un registre des traitements et d’une AIPD ;
• Est hébergé en France (AWS Paris eu-west-3) avec chiffrement AES-256 + TLS 1.3.

Pour les cabinets d’expertise comptable, les cabinets d’avocats et les services RH qui traitent quotidiennement des données sensibles — rémunérations, sanctions disciplinaires, arrêts maladie, contentieux —, DAIRIA IA offre la garantie d’un outil puissant et respectueux de la confidentialité.