Pour votre équipe informatique et sécurité

Sécurité et données

Dernière mise à jour : 13 juillet 2026

En résumé

Transept est un espace de travail conçu pour la traduction sécurisée. Lorsque vous soumettez du texte, nous l'envoyons à un fournisseur d'IA pour le traduire, stockons le résultat dans notre base de données et vous permettons de l'éditer. Cette page explique tout ce qui entoure ce processus — où résident les données, qui peut les voir et ce que nous promettons de ne pas en faire. Si vous évaluez des plateformes de traduction automatique sécurisée et de gestion de projets de traduction, ceci est la version simplifiée ; le texte juridique complet se trouve dans la Politique de confidentialité.

  • Nous n'utilisons pas votre contenu pour entraîner des modèles d'IA — ni les nôtres, ni ceux de nos fournisseurs.
  • Vos données résident dans l'UE — application et base de données hébergées en Allemagne (Hetzner).
  • Chiffrement en transit et au repos — TLS 1.2+ sur chaque connexion, AES-256 sur disque.
  • Vous êtes propriétaire de votre contenu — nous détenons une licence de traitement restreinte, sans revendication de propriété. Supprimez votre compte et vos données disparaissent avec lui.
  • DPA disponible sur demande — pour les clients professionnels, nous signons un accord de traitement des données (DPA) couvrant les obligations de l'article 28 du RGPD.

Ce que nous faisons de votre contenu

Lorsque vous soumettez du texte pour traduction, trois choses se produisent :

  1. Votre texte est stocké dans notre base de données et fait partie de votre document.
  2. Pour chaque demande de traduction, le bloc concerné est envoyé à un fournisseur d'IA via une connexion chiffrée. Le fournisseur renvoie la traduction, que nous stockons comme une nouvelle version du bloc.
  3. Votre texte reste dans votre document jusqu'à ce que vous le supprimiez (ou que vous supprimiez votre compte). Il n'est jamais utilisé pour entraîner un modèle d'IA.

Ce que nous ne faisons pas :

  • Nous ne vendons pas vos données.
  • Nous n'utilisons pas votre contenu pour entraîner des modèles — les nôtres ou ceux de tiers.
  • Nous ne partageons pas votre contenu avec des annonceurs ou des plateformes de marketing tierces.
  • Nous n'analysons pas vos espaces de travail Google Drive ou Notion connectés. Nous ne voyons que les fichiers que vous choisissez explicitement d'importer.
  • Nous n'exécutons pas nos propres modèles de fondation et n'effectuons pas de réglage fin sur les données des clients.

Où résident vos données

Les serveurs d'application et la base de données de Transept fonctionnent sur Hetzner Online GmbH, un hébergeur européen avec des centres de données en Allemagne. Votre compte, vos documents, vos traductions, vos glossaires et guides de style — tout cela repose sur une infrastructure située dans l'UE.

Lorsque vous traduisez, le bloc de texte concerné est envoyé à un fournisseur d'IA pour la durée de cette requête. La plupart des fournisseurs d'IA (Anthropic, OpenAI, Google) traitent les requêtes aux États-Unis dans le cadre d'engagements contractuels de protection des données et, le cas échéant, du cadre de protection des données UE-États-Unis ou des clauses contractuelles types (CCT). Une fois la traduction renvoyée, aucune copie de votre contenu ne reste chez le fournisseur au-delà de leur journalisation opérationnelle à court terme — consultez la politique de confidentialité de chaque fournisseur pour plus de détails.

Chiffrement

  • En transit — TLS 1.2 ou supérieur sur chaque connexion entre votre navigateur, nos serveurs et les fournisseurs d'IA. HTTPS uniquement ; le trafic HTTP est redirigé.
  • Au repos — base de données et stockage sur disque chiffrés en AES-256.
  • Sauvegardes — chiffrées au repos, conservées 30 jours, puis écrasées.
  • Authentification — connexion sans mot de passe via des codes à usage unique éphémères par e-mail ou Google OAuth. Nous ne stockons pas de mots de passe. Les jetons de session sont stockés dans le stockage local de votre navigateur.

Qui peut accéder à vos données

L'accès en production est restreint à un petit nombre d'opérateurs désignés (actuellement les deux cofondateurs), authentifiés via des clés SSH avec journalisation d'audit. Le contenu des clients n'est pas consulté lors des opérations de routine.

Pour enquêter sur un problème de traduction ou une autre demande d'assistance, nous demandons l'autorisation et le document spécifique avant de l'ouvrir. L'accès aux comptes utilisateurs depuis le panneau d'administration est journalisé et auditable ; les actions sensibles (changements de rôle, connexion en tant qu'utilisateur, ajustements de mots) génèrent des entrées permanentes dans le journal d'audit.

Fournisseurs d'IA et entraînement

Les demandes de traduction sont envoyées à l'un des fournisseurs suivants, selon le modèle que vous choisissez :

  • Anthropic — modèles de la famille Claude, via l'API Anthropic. L'API commerciale d'Anthropic ne s'entraîne pas sur les entrées ou sorties des clients.
  • OpenAI — modèles de la famille GPT, via l'API OpenAI. Les données de l'API OpenAI ne sont pas utilisées par défaut pour entraîner des modèles pour les clients de l'API.
  • Google — modèles de la famille Gemini, via Vertex AI / API Gemini. Les données clients soumises via ces API ne sont pas utilisées pour entraîner les modèles de fondation de Google.
  • Groq — modèles de la famille Llama et autres modèles hébergés sur Groq pour une inférence rapide. L'API de Groq ne s'entraîne pas sur les données des clients.
  • OpenRouter — passerelle vers des modèles supplémentaires. Les conditions des fournisseurs sous-jacents varient selon le modèle. Pour les charges de travail où le refus d'entraînement est important, limitez vos traductions à un fournisseur connu (Anthropic, OpenAI ou Google).

Aucun de ces fournisseurs ne s'entraîne sur votre contenu dans le cadre des niveaux d'API que nous utilisons. Transept n'exécute pas de modèles de fondation, n'effectue pas de réglage fin sur les données des clients et ne conserve pas les invites ou les résultats à des fins d'entraînement.

Sous-traitants

La liste complète des tiers susceptibles de traiter vos données en notre nom — noms, région, rôle et date de la dernière révision du DPA — se trouve sur /subprocessors. En résumé :

  • Traduction par IA — Anthropic (États-Unis), OpenAI (États-Unis), Google / Vertex AI (États-Unis, régions de l'UE disponibles), Groq (États-Unis), OpenRouter (États-Unis). Voir ci-dessus.
  • Hetzner Online GmbH (Allemagne, UE) — hébergement de l'application et de la base de données.
  • Stripe, Inc. (États-Unis / Irlande) — facturation des abonnements et achats uniques. Nous ne voyons ni ne stockons jamais les numéros de carte complets ; Stripe gère toutes les données de carte conformément à la norme PCI DSS de niveau 1.
  • PostHog (hébergé dans l'UE) — analyses facultatives du produit, chargées uniquement avec votre consentement explicite pour les analyses (opt-in pour chaque visiteur).
  • Customer.io (espace de travail dans l'UE) — e-mails transactionnels (codes de connexion, notifications de compte, reçus de facturation) et — uniquement avec votre consentement explicite pour le marketing — e-mails de mise à jour du produit.
  • Google Tag Manager + Google Ads (États-Unis) — analyses et mesure des conversions publicitaires, chargés uniquement avec votre consentement explicite et contrôlés via le Consent Mode v2.
  • Meta Platforms (États-Unis) — Pixel + API Conversions pour la mesure des conversions publicitaires, chargés uniquement avec votre consentement explicite pour le marketing.

Les modifications importantes apportées à cette liste (nouveau sous-traitant, changement de région) seront signalées sur cette page et sur /subprocessors avant de prendre effet pour tout nouveau traitement.

Conformité et certifications

Transept est une jeune entreprise. Nous respectons les obligations de fond des cadres ci-dessous, mais ne détenons pas encore de certifications tierces. Nous sommes transparents sur ce que nous avons et ce que nous n'avons pas.

  • RGPD (UE) et RGPD du Royaume-Uni — oui. Nous sommes en conformité en tant que responsable du traitement pour les données de compte et d'utilisation, et en tant que sous-traitant pour le contenu que vous soumettez. Nous offrons l'ensemble des droits des personnes concernées, la résidence des données dans l'UE pour le contenu stocké, la notification des violations dans les 72 heures et un DPA sur demande.
  • CCPA / CPRA (Californie) et autres lois sur la confidentialité des États américains — oui. Nous respectons le droit de savoir, le droit de suppression, le droit de rectification et le droit de refuser la vente ou le partage pour tous les résidents des États-Unis (nous ne vendons pas de données personnelles).
  • SOC 2 — pas encore. Nous suivons des pratiques alignées sur la norme SOC 2 pour le contrôle d'accès, le chiffrement, la gestion des changements et la réponse aux incidents, mais n'avons pas fait l'objet d'un audit de type 1 ou de type 2.
  • ISO 27001 — non certifié.
  • HIPAA — Transept n'est pas une plateforme conforme à la loi HIPAA. Ne soumettez pas d'informations de santé protégées.
  • PCI DSS — les données de paiement sont gérées par Stripe (PCI DSS de niveau 1). Nous ne voyons ni ne stockons jamais les détails complets des cartes.

Accord de traitement des données (DPA)

Pour les clients professionnels, nous mettons à disposition un accord de traitement des données sur demande. Il couvre nos obligations en tant que sous-traitant en vertu de l'article 28 du RGPD — y compris les divulgations relatives aux sous-traitants ultérieurs, les mesures de sécurité, les demandes des personnes concernées et la notification des violations.

Envoyez un e-mail à [email protected] avec l'adresse e-mail de votre compte et les coordonnées de votre entreprise pour demander un DPA.

Réponse aux incidents

Si nous prenons connaissance d'une violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :

  • Informer les utilisateurs concernés dans les meilleurs délais, et dans les 72 heures lorsque la gravité le justifie en vertu de l'art. 33 du RGPD.
  • Informer l'autorité de contrôle compétente lorsque cela est requis.
  • Partager ce que nous savons sur la nature de la violation, les données concernées, les conséquences probables et les mesures que nous prenons pour la contenir et y remédier.

Pour les incidents affectant le service qui ne sont pas des violations de données (pannes, performances dégradées), les mises à jour sont publiées via une bannière dans l'application et par e-mail aux utilisateurs actifs.

Divulgation responsable

Si vous trouvez une vulnérabilité dans Transept, veuillez envoyer un e-mail à [email protected] avec les détails. Nous vous demandons de :

  • Nous accorder un délai raisonnable pour enquêter et corriger avant toute divulgation publique.
  • Éviter les violations de la vie privée, la destruction de données ou l'interruption de service pendant les tests.
  • Ne tester que sur votre propre compte ou sur des comptes auxquels vous avez l'autorisation d'accéder.

Nous ne gérons pas actuellement de programme de bug bounty rémunéré, mais nous accuserons réception des rapports crédibles et — si vous le souhaitez — créditerons publiquement le rapporteur une fois le correctif déployé.

Plus d'informations

Pour le texte juridique complet, consultez notre Politique de confidentialité et nos Conditions d'utilisation. Pour tout ce qui n'est pas couvert ici, envoyez un e-mail à [email protected].