Réponse aux exigences des achats publics et privés sur la confidentialité de vos DCE, mémoires et chiffrages.
Application web, base PostgreSQL et stockage fichiers hébergés dans l'UE (Paris, Francfort, Amsterdam selon service) sur infrastructures certifiées ISO 27001 et SOC 2 Type II.
Toutes données au repos en AES-256. Communications en TLS 1.3. Clés gérées dans un KMS dédié avec rotation périodique.
Chaque entreprise cliente bénéficie d'une isolation stricte via Row Level Security PostgreSQL. Fichiers Cloudflare R2 avec URLs signées 15 min.
Hachage bcrypt coût 12, aligné ANSSI. 2FA TOTP disponible (Google Authenticator, Authy, 1Password).
Sessions JWT en cookies HttpOnly + SameSite strict, expiration 24 h. Verrouillage automatique après 5 tentatives échouées + notification email.
Journal d'audit conservant toutes les connexions et actions sensibles (horodatage, IP, user-agent).
Doaken s'appuie sur l'API Anthropic (modèles Claude). Politique Anthropic API : vos contenus ne sont pas utilisés pour entraîner les modèles (opt-out training par défaut).
Lors d'une analyse DCE ou génération mémoire : contenu transmis à l'API, traité, réponse renvoyée. Aucun stockage persistant côté Anthropic.
Transferts vers l'API Anthropic (USA) encadrés par DPA + Clauses Contractuelles Types Schrems II. Pas de modèle IA chargé côté navigateur.
Sauvegardes incrémentales quotidiennes avec restauration point-in-time sur 7 jours. Redondance multi-zone UE.
Plan de continuité d'activité documenté, avec objectifs RTO/RPO communiqués dans le cadre du DPA.
Réversibilité : export ZIP à tout moment. À la résiliation, suppression sous 30 j après période de récupération. Aucun verrouillage propriétaire.
DPA standard ou version client signable dès la phase d'évaluation. Journal d'audit interne pour reconstitution complète.
Non. Vos documents ne servent jamais à entraîner un modèle. Sous-traitant Anthropic en opt-out training. Hébergement UE, AES-256, TLS 1.3, journal d'audit RGPD.
Oui. Hébergement dans l'Union Européenne, ISO 27001 et SOC 2 Type II, AES-256, TLS 1.3, bcrypt coût 12 (ANSSI). DPA et CCT signables sur demande.
Application web et base PostgreSQL hébergées dans l'Union Européenne (Paris, Francfort, Amsterdam). Documents sur Cloudflare R2 avec DPA + CCT RGPD.
Oui. DPA standard ou version client sur demande, dès la phase d'évaluation. Liste des sous-traitants, durées, mesures techniques, modalités RGPD.
Notification CNIL sous 72 h, information directe des clients impactés, mesures correctives documentées. Journal d'audit pour reconstitution.
Oui. Export ZIP à tout moment. À la résiliation, suppression sous 30 j après période de récupération. Aucun verrouillage propriétaire.
Bcrypt coût 12 (ANSSI), 2FA TOTP, JWT cookies HttpOnly + SameSite strict (24 h), verrouillage après 5 tentatives. Isolation stricte via RLS PostgreSQL.
Sauvegardes quotidiennes avec rétention 7 j point-in-time. Redondance multi-zone UE. Plan de reprise documenté avec RTO/RPO dans le DPA.
API Anthropic (modèles Claude) pour analyse DCE, génération mémoire et score Go/No-Go. Pas de stockage persistant des prompts, opt-out training par défaut.
Démo 30 min sur vos vrais dossiers + DPA fourni à la demande. Sans engagement.
Hébergement UE · AES-256 · RGPD natif
Dernière mise à jour : 7 mai 2026
Doaken traite des documents sensibles : DCE, mémoires techniques, références chantiers, CV nominatifs, chiffrages DPGF. Notre engagement est documenté ligne par ligne : hébergement UE, AES-256 au repos, TLS 1.3 en transit, isolation locataire stricte, sous-traitant IA en mode opt-out training.
Doaken traite des documents sensibles : dossiers de consultation des entreprises (DCE), mémoires techniques, références chantiers, CV nominatifs, chiffrages DPGF, attestations sociales et fiscales. Ces contenus engagent la compétitivité commerciale de votre entreprise et contiennent des données personnelles de vos collaborateurs et de vos clients. Notre engagement est simple : vos données restent vos données, hébergées dans l'Union Européenne, chiffrées au repos et en transit, isolées par locataire, et jamais utilisées pour entraîner un quelconque modèle d'intelligence artificielle.
Nous documentons publiquement la chaîne de sous-traitance technique (hébergement applicatif, base de données, stockage objet, fournisseur d'IA, services transactionnels d'envoi d'emails) et nous fournissons sur demande l'ensemble des éléments contractuels attendus par un service achats ou une direction des systèmes d'information : DPA standard ou version client, Clauses Contractuelles Types pour les transferts hors Union Européenne, registre des traitements, politique de gestion des incidents, plan de continuité d'activité.
Cette page détaille les engagements techniques et juridiques de Doaken en matière de sécurité, de protection des données personnelles, de confidentialité des contenus envoyés aux modèles IA, d'authentification, de continuité d'activité et de réversibilité. Pour toute demande spécifique (questionnaire sécurité, audit, pénétration test, certification additionnelle), notre équipe répond sous 48 heures ouvrées à l'adresse contact@doaken.fr.
Chaque composant de notre infrastructure est sélectionné pour garantir la confidentialité et l'intégrité de vos données.
Application et base de données hébergées dans l'Union Européenne sur des infrastructures certifiées ISO 27001 et SOC 2. Tout sous-traitant hors UE est encadré par un DPA et des Clauses Contractuelles Types conformes RGPD.
ISO 27001 · SOC 2Toutes les communications sont chiffrées en TLS 1.3. Les données au repos sont protégées par chiffrement AES-256. Clés gérées dans un KMS dédié.
AES-256 · TLS 1.3Les fichiers sont stockés avec URLs signées à expiration courte (15 minutes). Aucun accès direct aux documents sans authentification.
URLs signées 15 minChaque entreprise cliente bénéficie d'une isolation stricte des données via Row Level Security (RLS) sur PostgreSQL. Pas de mélange entre locataires.
RLS PostgreSQLPlusieurs couches de protection pour sécuriser l'accès à votre espace, alignées sur les recommandations ANSSI.
Hachage bcrypt avec coût 12, aligné sur les recommandations ANSSI. Aucun mot de passe stocké en clair, jamais.
bcrypt coût 12 · ANSSIVerrouillage automatique après 5 tentatives échouées. Délai de 15 minutes avant réinitialisation. Authentification à deux facteurs (TOTP) disponible.
2FA · TOTP · Lockout 5Tokens JWT en cookies HttpOnly avec attribut SameSite strict. Expiration automatique après 24 heures. Pas de session perpétuelle.
JWT · HttpOnly · SameSite strictNos engagements pour garantir la conformité au Règlement Général sur la Protection des Données.
Doaken signe un DPA standard ou la version client de votre service achats, dès la phase d'évaluation. Le journal d'audit interne consigne chaque action sensible (connexion, téléchargement, génération, export) avec horodatage, IP, user-agent et identifiant utilisateur. Exportable sur demande pour vos audits internes ou contrôles externes.
Liste exhaustive des sous-traitants intervenant dans le traitement de vos données.
| Sous-traitant | Usage | Localisation | DPA |
|---|---|---|---|
| Vercel | Hébergement application web | France (Paris, cdg1) | Oui |
| Supabase | Base de données PostgreSQL managée | France | Oui |
| Cloudflare R2 | Stockage des documents et DCE | Cloudflare (DPA RGPD, CCT) | Oui |
| Anthropic | Analyse IA (traitement sans stockage) | USA (DPA + opt-out training) | Oui |
Doaken s'appuie sur l'API Anthropic (modèles Claude) pour analyser les DCE, générer les mémoires techniques, calculer le score Go/No-Go et assister le chiffrage génératif. La politique Anthropic API applicable à notre compte garantit, par défaut et sans démarche supplémentaire, qu'aucun contenu transmis (prompt utilisateur ou contenu d'entreprise) ne soit utilisé pour entraîner les modèles, ni conservé au-delà de la durée nécessaire au traitement de la requête. C'est ce que nous appelons le mode opt-out training contractuel.
Concrètement : lorsqu'un de vos collaborateurs téléverse un DCE ou demande la génération d'une section de mémoire technique, le contenu pertinent est transmis à l'API Anthropic, traité, et la réponse est renvoyée à l'application Doaken. Aucun stockage persistant côté Anthropic, aucune réutilisation pour des tiers, aucune indexation. Les transferts hors Union Européenne (l'API Anthropic étant opérée depuis les États-Unis) sont encadrés par un DPA et des Clauses Contractuelles Types conformes aux exigences du RGPD post-Schrems II.
Nous n'utilisons aucun modèle IA grand public côté navigateur (pas d'extension, pas de plugin tiers chargé dans votre session). Tous les appels IA passent par notre backend, ce qui garantit la traçabilité complète des requêtes et l'application des règles d'authentification et d'autorisation. Le journal d'audit conserve l'horodatage et l'identifiant utilisateur pour chaque action déclenchant un appel IA, conformément aux exigences d'auditabilité d'un traitement automatisé sur données à caractère personnel.
Tout changement de fournisseur IA, ajout d'un nouveau sous-traitant ou modification substantielle des conditions de traitement serait notifié à nos clients dans le délai prévu au DPA, avec possibilité d'exercer un droit d'opposition. La liste à jour des sous-traitants est disponible sur cette page et fait partie intégrante des annexes contractuelles.
La base de données PostgreSQL fait l'objet de sauvegardes incrémentales quotidiennes avec capacité de restauration point-in-time sur une fenêtre glissante de sept jours. L'infrastructure est répliquée sur plusieurs zones de disponibilité au sein de l'Union Européenne afin d'assurer la continuité de service en cas d'incident sur une zone unique. Les fichiers stockés sur Cloudflare R2 bénéficient de la réplication géographique native du fournisseur, alignée sur les standards d'un service de stockage objet d'entreprise.
Toutes les actions sensibles (connexion, modification de droits utilisateur, téléchargement de DCE, génération de mémoire, export ZIP de soumission) sont consignées dans un journal d'audit horodaté. Le journal conserve l'identifiant utilisateur, l'adresse IP, le user-agent et le détail de l'opération, dans le respect du RGPD. Il est consultable par l'administrateur de votre espace et exportable sur demande pour les audits internes ou les contrôles externes.
Doaken applique un plan de continuité d'activité documenté, avec des objectifs de reprise (RTO) et de point de reprise (RPO) communiqués dans le cadre du DPA. En cas d'incident de sécurité présentant un risque pour les droits et libertés des personnes concernées, la notification à la CNIL intervient dans le délai réglementaire de 72 heures, accompagnée d'une information directe des clients impactés et d'un rapport d'analyse post-incident.
Le principe de portabilité du RGPD est appliqué de bout en bout : les contenus que vous produisez via Doaken (mémoires techniques, DPGF chiffrées, dossiers de soumission) sont exportables au format ZIP à tout moment depuis l'application. À la résiliation du contrat, une période de récupération est prévue avant suppression définitive des données utilisateur, et les sauvegardes incrémentales sont purgées selon la politique décrite dans le DPA. Aucun verrouillage propriétaire, aucune rétention abusive.
En-têtes de sécurité HTTP configurés pour protéger contre les attaques courantes.
Données, conformité RGPD et sous-traitants : ce que les DSI, RSSI et juristes nous demandent.
Contactez notre équipe pour obtenir notre DPA, notre questionnaire sécurité, ou pour toute question relative à la protection de vos données.
Réponse sous 48h ouvrées · contact@doaken.fr