Une conformité que vous pouvez vérifier, pas seulement des déclarations à lire.
Chaque garantie sur cette page correspond à un contrôle qu'un auditeur peut vérifier.
Les données ne vont que là où votre politique l'autorise. L'UE par défaut : appliquée, pas promise.
Chaque requête est confrontée à votre politique avant l'envoi ; si rien ne convient, elle est bloquée à la porte. L'UE par défaut. Le routage direct vers les États-Unis et la Chine n'est disponible que si vous l'ajoutez, chaque destination divulguée. Rien ne sort en silence.
UE souveraine : détenue et hébergée dans l'UE
Mistral et Scaleway sont des entreprises françaises sur une infrastructure française. Aucun régime d'accès d'un gouvernement étranger ne les atteint. C'est le niveau par défaut, le seul actif tant que vous ne le changez pas.
États-Unis ou Chine en direct : disponible, opt-in, jamais caché
Les fournisseurs américains et chinois en direct sont disponibles aujourd'hui. Ils ne routent que si votre politique l'autorise, chacun signalé par juridiction et exposition au CLOUD Act, et la pseudonymisation garde les PII et les secrets hors du fil. Quitter l'UE reste votre décision.
Vos propres endpoints, ou vos propres serveurs
Connectez un modèle privé ou auto-hébergé : même politique, même registre. Ou exécutez tout le plan de données vous-même avec Sluis Edge : les prompts ne transitent jamais par Sluis.
Exactement ce que nous conservons, exactement ce que nous effaçons.
Une demande d'effacement qui détruit vos preuves n'est pas de la conformité ; c'est un risque. Sluis trace la limite avec précision : le contenu disparaît, la preuve qu'il a été traité correctement demeure.
- Contenu des requêtes et des réponses: les prompts et les complétions conservés au titre de la rétention opt-in.
- Entrées de cache: les lignes de cache exact et sémantique du tenant.
- Identifiants fournisseurs: les clés API amont stockées, déchiffrées nulle part.
- Références de contenu: chaque pointeur content_ref est mis à null.
- La chaîne de métadonnées d'audit: audit_log + chain_heads restent intacts : verify-chain passe toujours.
- Des hash, pas du contenu: les maillons SHA-256 demeurent ; les contenus qu'ils couvraient ont disparu.
- Décisions de routage: quelle région et quel fournisseur ont servi chaque appel.
- Métadonnées de tokens et de coûts: le registre en micro-euros réels qui sous-tend vos budgets.
Purge par TTL de rétention
Le contenu conservé et les lignes de cache portent une date d'expiration. Une purge planifiée ne supprime que les lignes au-delà de leur TTL : un job lançable en cron, pas un nettoyage manuel.
La rétention de contenu est opt-in
Par défaut, Sluis enregistre les métadonnées, pas le message. Stocker le corps des prompts et des réponses est un choix par tenant, désactivé tant que vous ne l'activez pas.
Chiffré AEAD au repos
Tout contenu conservé, et l'intégralité du cache de réponses (exact + sémantique), est scellé par chiffrement authentifié. Pas de clé de contenu, pas de cache : la passerelle bascule en no-cache.
Isolation stricte par tenant
Clés, politiques, chaînes d'audit et cache sont cloisonnés par tenant, dérivé de la clé de la requête et appliqué sur le chemin chaud. Un tenant ne peut jamais lire les données ou le registre d'un autre.
Remettez la chaîne à l'auditeur. Il peut la vérifier sans nous faire confiance.
Chaque appel est chaîné par hash au précédent. Modifiez un seul champ et tous les maillons suivants cassent. Exportez-le en JSON Lines et revérifiez-le hors ligne : la preuve voyage avec les données.
$ sluis audit verify-chain --tenant <id> → ok · 1,284,901 entries · genesis intact
La liste complète. Région et propriété, énoncées sans détour.
Voici les seuls tiers susceptibles de toucher une requête, et uniquement lorsque votre politique route vers eux. Nous nommons le propriétaire légal à côté de la région d'hébergement, car sous le CLOUD Act ce n'est pas la même question.
Les données sensibles sont interceptées avant d'atteindre un modèle.
La première porte passe 60 détecteurs déterministes sur chaque requête, à la recherche de PII, de données de santé et de secrets, et l'étiquette avant qu'un seul token ne parte en aval. Ils sont conçus pour des données européennes : un pack d'identifiants nationaux qui valide par somme de contrôle 12 pays (le BSN néerlandais, le PESEL, le codice fiscale et d'autres), les clés de contrôle IBAN, les numéros E.164. Pas un ajout pensé pour les États-Unis.
Les noms mettent en échec la détection par motif : la détection des noms tient donc en quatre couches que vous activez délibérément, chacune un compromis entre faux positifs et latence que vous maîtrisez : heuristiques de contexte, corrélation d'e-mails, un annuaire de noms par tenant, et le propre modèle de reconnaissance multilingue de Sluis. Ce modèle est livré et s'exécute à l'intérieur de votre déploiement, si bien qu'un nom n'est jamais envoyé à un tiers pour être analysé.
Traitez des données personnelles et des secrets. Le modèle ne les voit jamais.
Un contrôle que votre auditeur peut vérifier : les PII et les secrets deviennent des jetons stables avant que le prompt ne quitte votre réseau, si bien que le fournisseur ne voit que des jetons. Les vraies valeurs sont restituées au retour, et la table qui les relie n'est jamais écrite sur disque.
Tout ce que vos évaluateurs demandent, prêt à être remis.
La paperasse qui prend d'habitude trois semaines d'allers-retours. Demandez n'importe quel document directement ; pas besoin d'un rendez-vous commercial pour lire un DPA.
Modèle de DPA
Notre accord de traitement des données standard, avec les obligations de l'article 28 et les clauses contractuelles types de l'UE déjà en place.
Demander le DPA→Flux de données & sous-traitants ultérieurs
Comment une requête traverse les trois portes, où elle peut sortir, et quel sous-traitant ultérieur gère chaque chemin.
Lire le document→Liste des sous-traitants ultérieurs
La divulgation par tenant : chaque fournisseur que vos clés et votre politique activent réellement, avec région et propriétaire légal, exportée à la demande.
Exporter pour votre tenant→Export d'audit
Le registre complet chaîné par hash en JSON Lines, revérifiable hors ligne avec verify-chain. Apportez vos propres outils.
Voir le format→Amenez vos auditeurs. Nous apportons la chaîne.
La résidence appliquée à chaque requête, du contenu que vous pouvez effacer sans perdre la preuve, et un registre que chacun peut vérifier hors ligne. Les contrôles sont réels. Venez les tester.
Acheteur réglementé ? Renseignez-vous sur Sluis Edge →