Sécurité
Conçu pour votre
responsabilité civile.
Un avocat ne peut pas opposer à son client « l'outil a halluciné, désolé ». La sécurité technique, la traçabilité réglementaire et les garde-fous IA de Fidialex sont conçus pour rendre cette excuse inutile.
Souverain
Édité en France. Hébergé en Europe. Aucun transit hors UE pour vos données.
Déterministe
Les références juridiques sont extraites par regex auditables. Aucun LLM dans la chaîne de citation.
Traçable
Chaque action sensible est journalisée dans un audit log immuable signé cryptographiquement.
01 — Souveraineté numérique
Vos données ne quittent pas l'Europe. Jamais.
Fidialex est édité en France et hébergé en Europe. L'ensemble des données utilisateurs — dossiers, dictées, transcripts, documents générés, métadonnées d'usage — est stocké sur des serveurs situés en France métropolitaine.
Aucun transit vers des juridictions hors UE pour le stockage. Les appels à des modèles d'IA (Anthropic) sont chiffrés en transit et leur contenu n'est pas conservé par le fournisseur pour entraînement de modèle.
- →Hébergement principal : France métropolitaine
- →Sauvegardes chiffrées : Europe (Allemagne, Pays-Bas)
- →Conformité RGPD native depuis la conception
- →Conformité AI Act (Mode B anonymisation par construction)
02 — Chiffrement at-rest et en transit
Vos données illisibles sans la clé.
Toutes les données sensibles (transcripts de dictée, contenus de dossiers, documents générés) sont chiffrées au repos via Fernet AES-128 + HMAC, avec rotation de clé documentée. La couche applicative manipule des objets déchiffrés en mémoire seulement, jamais persistés en clair.
Tout le trafic réseau est en TLS 1.3 strict, avec HSTS et Certificate Transparency activés. Les sessions utilisent des cookies SameSite=Strict, HttpOnly, Secure.
- →Chiffrement at-rest : AES-128 + HMAC (Fernet)
- →Chiffrement transparent via TypeDecorator SQLAlchemy
- →TLS 1.3, HSTS, cookies SameSite=Strict + HttpOnly + Secure
- →Rotation de clés documentée et auditable
03 — Authentification durcie
Vos accès, votre contrôle.
L'authentification repose sur des tokens JWT à durée courte avec blacklist côté serveur (révocation immédiate possible), rate-limit IP et progressive lockout sur les tentatives de force brute. Le SSO entreprise (SAML, OIDC) est disponible sur le plan Enterprise.
Côté client final (Portail Client), l'authentification TOTP est imposée pour toute action sensible (téléchargement de pièce, signature). Les sessions clients sont indépendantes des sessions cabinet.
- →JWT durci avec blacklist serveur et durée courte
- →Rate limiting Redis sur les endpoints sensibles
- →TOTP côté client final sur le Portail
- →SSO SAML / OIDC sur plan Enterprise
04 — Garde-fous IA et anti-hallucination
Aucune référence inventée. Aucune affirmation non sourcée.
Le risque principal d'une IA juridique est l'hallucination : invention d'un article inexistant, citation d'une jurisprudence imaginaire, validation d'une clause illégale. Fidialex a été conçu pour rendre ce risque structurellement impossible sur les références et explicitement contrôlé sur le contenu.
Les références juridiques sont extraites par des regex déterministes auditables (Citator), pas par un LLM. Le module de génération documentaire inclut une étape de validation anti-hallucination explicite : toute référence citée dans le livrable est confrontée au texte source. Si elle n'y figure pas, le livrable est bloqué.
- →Citator déterministe — pas de LLM dans l'extraction de références
- →Validation anti-hallucination explicite avant tout livrable généré
- →Sourcing systématique des affirmations (lien Légifrance, EUR-Lex, HUDOC)
- →Traçabilité du modèle IA utilisé pour chaque livrable
05 — Conformité réglementaire
RGPD natif, eIDAS qualifiée, AI Act prêt.
Fidialex est conforme RGPD depuis la conception. Les droits utilisateurs (accès, rectification, effacement, portabilité, opposition) sont implémentés et accessibles depuis l'espace utilisateur. Les durées de conservation sont paramétrables par cabinet et auditées.
La signature électronique du Portail Client (plans Cabinet et Enterprise) est qualifiée eIDAS via un partenaire certifié. Le KYC client utilise un fournisseur industriel agréé. L'ensemble des actions client est tracé dans un audit log immuable.
- →RGPD : droits utilisateurs implémentés et accessibles en autonomie
- →Signature eIDAS qualifiée via partenaire certifié (Cabinet+)
- →KYC client industriel agréé (Cabinet+)
- →AI Act : Mode B anonymisation par construction
06 — Audit immuable et journalisation
Tout est tracé. Rien n'est modifiable rétroactivement.
Toutes les actions sensibles (création de dossier, modification de pièce, signature client, génération de document, accès au transcript, modification d'un délai critique) sont journalisées dans un audit log immuable, signé cryptographiquement.
Cet audit est exportable au format JSON et PDF, et tient la preuve en cas d'incident professionnel, de contrôle déontologique ou de litige client.
- →Audit log immuable signé cryptographiquement
- →Export JSON et PDF horodatés
- →Traçabilité utilisateur, IP, date, action, ressource
- →Conservation paramétrable par cabinet (1, 5, 10 ans)
07 — Continuité de service
Vos données récupérables même en cas d'incident grave.
Sauvegardes chiffrées quotidiennes avec rétention 90 jours, sur infrastructure indépendante de la production. Plan de reprise d'activité (DRP) testé périodiquement avec restauration complète documentée.
Procédure d'export RGPD complète disponible en autonomie : tout cabinet peut télécharger l'intégralité de ses données dans un format ouvert (JSON + fichiers attachés), à tout moment.
- →Sauvegardes quotidiennes chiffrées avec rétention 90 jours
- →DRP testé périodiquement
- →Export RGPD complet en autonomie depuis l'espace utilisateur
- →Suppression définitive sur demande, irréversible et tracée
Une question sur un point précis de sécurité ?
Nous fournissons sur demande la documentation détaillée (architecture sécurité, certifications partenaires, procédures DRP, registre des traitements RGPD) aux cabinets et directions juridiques en évaluation.