Sécurité
Tes données restent en Europe. Et restent les tiennes.
Hébergement EU, isolation par workspace, RGPD natif, zero-retention IA. La sécurité, on la fait avant tout pour soi — nos comptes Grenn internes utilisent la même app.
Architecture
Où sont stockées tes données
Vercel (hébergement app)
— Frankfurt (eu-central-1)Sert les pages, exécute les Server Actions, héberge les fonctions
SOC 2 Type II, ISO 27001
Supabase (base de données + auth)
— Frankfurt (eu-west-1)Stockage Postgres : tes offres, articles, expertise terrain, briefs. Authentification magic link.
SOC 2 Type II, HIPAA-ready, RGPD natif
Vercel Blob (PDF joints)
— FrankfurtStockage des PDF que tu attaches à tes offres (tarifs, cas client, présentations)
Hébergé par Vercel — mêmes garanties
Stripe (paiement)
— Irlande (Stripe Payments Europe)Gestion abonnement et factures. Grenn ne stocke aucune information de carte bancaire.
PCI-DSS Level 1, ISO 27001, SOC 2
Anthropic (l'IA API)
— USA (encadré par SCC)Génération de contenu IA — appels API stateless, zero-retention
SCC, contrat ZDR, SOC 2 Type II
À propos d'Anthropic (USA) : c'est notre seul fournisseur hors UE. Les transferts sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne. Anthropic garantit le zero-retention : tes prompts et tes contenus ne servent jamais à entraîner les modèles. Anthropic prépare une région EU pour 2026.
Isolation
Tes données ne touchent jamais celles d'un autre client
Chaque workspace est isolé par workspaceId en base. Toutes les requêtes serveur vérifient systématiquement que le workspace appartient bien à l'utilisateur authentifié (pattern assertWorkspaceOwned) — pas d'IDOR possible, même en cas de bug applicatif.
Les appels IA sont eux-mêmes scopés : un appel l'IA pour le workspace A ne voit jamais le contexte du workspace B. Les suggestions d'articles, le cluster awareness, les quick wins GSC — tout vit dans son silo.
Authentification
Pas de mot de passe. Pas de fuite.
Grenn utilise les magic links Supabase : tu reçois un lien à usage unique par email à chaque connexion. Pas de mot de passe à mémoriser, à retenir, à perdre, à se faire voler dans une fuite de base.
Les sessions sont signées (JWT côté Supabase), avec une expiration de 7 jours. Tu peux te déconnecter de toutes tes sessions actives depuis Paramètres → Mon compte.
Magic links
Connexion par lien email à usage unique. Pas de mot de passe.
HTTPS partout
TLS 1.3 sur grenn.fr et toutes les requêtes API.
Tokens API isolés
Les clés Anthropic/Stripe sont en server-only, jamais exposées côté client.
RGPD
Tes droits, exerçables en 1 clic
Conformément au Règlement Général sur la Protection des Données (UE 2016/679), tu disposes de droits sur tes données. Voici comment les exercer.
Droit d'accès
Demande l'export complet de tes données (offres, articles, briefs, Expertise terrain) au format JSON.
→ Depuis Mon compte → Exporter mes données
Droit de rectification
Modifie tes données à tout moment depuis ton compte (offres, ton, audience, marché).
→ Depuis Paramètres / Catalogue
Droit à l'effacement
Suppression complète de ton compte et de toutes tes données associées sous 30 jours maximum.
→ Depuis Mon compte → Supprimer mon compte
Droit à la portabilité
Tes articles générés sont déjà téléchargeables au format HTML / Markdown. Export bulk dispo.
→ Depuis chaque article → Export
Droit d'opposition
Tu peux t'opposer à l'utilisation de tes données à des fins de prospection (zéro emails marketing par défaut).
→ Aucune action requise — c'est l'état par défaut
Délégué à la Protection des Données (DPO) : dpo@grenn.fr. Réponse sous 30 jours.
Responsible disclosure
Tu as trouvé une faille ?
On accueille les signalements de sécurité. Si tu identifies une vulnérabilité, écris-nous à security@grenn.fr avec :
- – Description technique
- – Étapes de reproduction
- – Impact potentiel
- – Ton handle (HackerOne, X, etc.) si tu veux un crédit public
On répond sous 72h. Pas de programme bug bounty rémunéré V1, mais on crédite publiquement les chercheurs sérieux.
Une question sécurité avant de te lancer ?
Écris-nous à dpo@grenn.fr ou via le formulaire de contact.