PageMind Aperçu de la sécurité et de la protection des données
Dernière mise à jour : 2025-12-08
(Aperçu public – les conditions contraignantes figurent dans les conditions inAi/PageMind, DPA et les contrats.)
IMPORTANT : INFORMATIONS NON CONTRACTUELLES Ce document décrit les pratiques de sécurité actuelles et l'architecture de protection des données de inAi pour le service PageMind. Il est fourni à des fins d'information et de transparence uniquement pour aider les clients actuels et potentiels dans leur propre évaluation des risques.
Obligations contraignantes : Les mesures de sécurité spécifiques, les périodes de conservation et les délais de notification des incidents que inAi est contractuellement tenu de maintenir sont exclusivement énoncés dans :
- Le Contrat de traitement des données (DPA) (notamment l'Annexe 2) ; et
- Le Contrat-cadre de service (MSA) ou le formulaire de commande applicable.
En cas de conflit entre cet aperçu et le DPA ou le MSA, le DPA et le MSA prévaudront. Ce document ne crée pas de droits indépendants ni de recours juridiques. Toutes les mesures techniques ou organisationnelles décrites dans cet aperçu sont indicatives de notre approche actuelle de mise en œuvre et de gestion des risques ; ils ne créent pas d'engagements contractuels supplémentaires au-delà de ceux expressément énoncés dans le DPA, les conditions de service, le MSA ou le formulaire de commande applicable.
1. Objectif et portée
Ce document explique comment inAi (« nous ») sécurise et traite les données clients lorsque vous utilisez PageMind, notre plateforme d'automatisation des opérations de catalogue pour les détaillants, les marques et les places de marché.
Portée. Cette présentation décrit les mesures de sécurité et de protection des données pour les flux de travail des opérations de catalogue PageMind Retail et le module de conformité Verify.UE. Elle ne s'applique pas aux autres produits ou services inAi (tels que Emplo), qui ont leurs propres conditions et avis.
Il est conçu pour :
- Décrivez nos principes de sécurité et de protection des données pour PageMind.
- Montrez, à un niveau élevé, quelles données nous traitons, où elles se trouvent et combien de temps nous les conservons.
- Clarifiez les rôles et responsabilités entre vous et inAi (modèle de responsabilité partagée).([Microsoft Learn][1])
- Démontrer l'alignement avec ** l'article 32 ** RGPD ** (sécurité du traitement) et le nouveau règlement UE AI. ([RGPD][2])
Il s'agit d'un aperçu informatif uniquement. Il ne remplace pas ni n'écrase :
- Votre contrat de service / MSA avec inAi.
- Le Contrat de traitement des données (DPA) qui régit les obligations du responsable du traitement-sous-traitant.
- Toutes les annexes de sécurité ou SLA négociées individuellement.
En cas de conflit, le contrat et DPA prévalent. L'utilisation de PageMind est toujours régie par les conditions de service de PageMind et par les DPA et MSA applicables. Cet aperçu est fourni à des fins de transparence uniquement et ne modifie pas ces termes ni ne crée aucune garantie.
Rien dans cet aperçu ne constitue un avis juridique. Il résume nos mesures techniques et organisationnelles afin que vous et vos conseillers puissiez réaliser votre propre évaluation au regard de la loi et de vos politiques internes.
2. Qui nous sommes et notre base réglementaire
2.1 Entité juridique et juridiction
PageMind est fourni par INAI, une SASU française (société par actions simplifiée à actionnariat unique) immatriculée au RCS Lille Métropole sous le numéro 987 977 386, dont le siège social est situé 142 rue d'Iéna, 59000 Lille, France.
Notre objet social est le développement et la commercialisation de logiciels et de services SaaS utilisant l'intelligence artificielle, ainsi que le conseil, la formation et la R&D associés.
2.2 Première posture des UE et RGPD* Nous sommes une société basée dans l’UE et concevons la PageMind conformément à la loi sur la protection des données UE dès le premier jour.
- Le stockage et l'orchestration de base du PageMind sont destinés à fonctionner dans un **cloud privé virtuel (VPC) hébergé UE. Cependant, les tâches d'inférence spécifiques du AI (par exemple, le traitement LLM) peuvent être acheminées vers des sous-traitants situés en dehors de l’UE (par exemple aux États-Unis) lorsque cela est nécessaire pour le service, toujours dans le cadre de garanties de transfert RGPD appropriées (telles que les clauses contractuelles types).
- Certaines étapes de traitement peuvent également être effectuées par des sous-traitants approuvés (y compris, le cas échéant, en dehors de l’EEE) dans le cadre de garanties appropriées en matière de transfert de données, comme décrit dans notre accord de traitement des données (DPA) et dans la liste publiée des sous-traitants.
- Nous traitons l'Article 32 RGPD comme référence et mettons en œuvre des mesures techniques et organisationnelles conçues pour protéger la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes de traitement, soutenues par le cryptage et des tests réguliers.([RGPD][2])
2.3 Fondements de la sécurité et de la conformité
Nous ne revendiquons actuellement aucune certification formelle (par exemple ISO 27001), mais nous alignons nos contrôles internes sur des cadres reconnus :
- Thèmes de contrôle ISO 27001 Annexe A (organisationnel, humain, physique, technologique) comme liste de contrôle pour la conception de notre SMSI. ([IT Governance][3])
- Attentes de sécurité RGPD concernant le chiffrement, le contrôle d'accès, la sauvegarde et les tests réguliers. ([RGPD Local][4])
- Approche basée sur les risques de la loi UE AI. D'après notre compréhension actuelle de la loi UE AI, PageMind n'entre dans aucun des cas d'utilisation à haut risque de l'annexe III. Dans les déploiements typiques d'opérations de catalogue de vente au détail, il est généralement traité comme un système à risque limité ou à risque minimal, mais votre propre classification en tant que « déployeur » dépendra de la manière dont vous utilisez PageMind dans vos processus. Nous appliquons néanmoins des pratiques de risque et de journalisation AI inspirées des exigences de la loi (transparence, journalisation, surveillance). ([Artificial Intelligence Act][5])
Nous sommes reconnus par l'État (DRIEETS Île‑de‑France) comme projet « économiquement innovant », notamment pour les workflows de catalogues fondés sur des preuves et les domaines vérifiés EPREL, et sommes incubés dans la verticale Retail / e‑commerce d'EuraTechnologies.
3. Catégories et rôles de données
3.1 Quels types de données PageMind traite-t-il généralement
PageMind est avant tout un outil d'exploitation de catalogue B2B. En utilisation normale, il traite :
Données produits et catalogue
- Fiches techniques et brochures des fournisseurs (PDF, DOCX, images, Excel).
- Attributs du produit (dimensions, puissance, matériaux, données de l'étiquette énergétique, etc.).
- Titres, descriptions, puces et texte marketing.
- Identifiants : SKU, GTIN/EAN, codes produits internes.
Informations relatives à la conformité
- Étiquette énergétique et données EPREL pour les produits réglementés (par exemple, appareils électroménagers, téléviseurs) via Verify.UE.
Métadonnées opérationnelles
- Noms de fichiers, chemins de dossiers, identifiants d'exécution.
- Tracez par ligne (fichier source, page, étapes de traitement, indicateurs) et exécutez des rapports avec des métriques, des hachages et des empreintes digitales d'environnement.
Données de compte et d'utilisation
- Coordonnées professionnelles des utilisateurs de l'espace de travail (nom, e-mail, rôle).
- Données de configuration (modèles, glossaires, listes autorisées, paramètres de langue).
Journal et données de diagnostic limités
- Journaux système et traces d'erreurs nécessaires pour maintenir la stabilité, la sécurité et les pistes d'audit.
PageMind n'est pas conçu pour traiter les profils comportementaux des consommateurs finaux, les données de paiement ou des catégories spéciales de données à caractère personnel. Si vous choisissez de télécharger de telles informations, vous restez responsable de garantir une base juridique valide et de vous conformer au DPA et aux règles d'utilisation acceptable.
3.2 Données personnelles et données non personnelles
La plupart des données traitées par PageMind dans le cadre d'une utilisation au détail sont des informations commerciales sur les produits, et non directement sur des personnes identifiables. Toutefois, les mêmes garanties techniques et organisationnelles s'appliquent lorsque des données à caractère personnel sont présentes (par exemple, contacts dans les documents, noms du personnel interne dans les journaux).
Nous structurons les contrôles de manière à ce que :
- Le contenu du produit/catalogue est traité comme une donnée commerciale potentiellement sensible.
- Toutes les données à caractère personnel contenues dans les documents, comptes ou journaux sont traitées selon les normes RGPD en matière de confidentialité, d'intégrité, de disponibilité et de résilience.([RGPD Local][4])
3.3 Rôles de responsable du traitement/sous-traitant (niveau élevé)Des rôles précis sont définis dans votre DPA, mais le modèle typique pour PageMind Retail est :
Vous (le client) êtes généralement le responsable du traitement de données pour les données de produits/catalogues et toutes les données à caractère personnel que vous téléchargez. Vous décidez des objectifs (par exemple, créer et publier des pages de produits) et des moyens (modèles, catégories, langues).
inAi agit en tant que sous-traitant de données pour ces données, fournissant un traitement hébergé selon vos instructions (configuration, modèles, flux de travail) et l'utilisant uniquement pour :
- Exécutez et améliorez PageMind pour votre espace de travail ;
- Fournir du soutien et aider à maintenir la sécurité ;
- Respecter les obligations légales.
Pour certaines catégories restreintes (par exemple, métadonnées de facturation, mesures d'utilisation agrégées, journaux de sécurité), inAi peut agir en tant que responsable du traitement indépendant ; ceci est clarifié dans le DPA et les Conditions.
4. Flux de données de haut niveau dans PageMind
Cette section décrit comment une exécution PageMind typique gère vos données, de l'ingestion à la suppression.
4.1 Ingestion
Vous choisissez les entrées
- Vous placez les fichiers fournisseurs (PDF, DOCX, Excel, images, etc.) dans un dossier de saisie ou un espace de travail et configurez une exécution : modèle cible, langues, glossaire et listes autorisées.
- Vous restez responsable de la légalité et de la pertinence du contenu que vous téléchargez (par exemple, en vous assurant que vous avez le droit de l'utiliser et qu'il n'inclut pas de données interdites).
Transfert sécurisé
- Les fichiers sont transmis via des canaux cryptés (TLS) entre votre navigateur/agent et notre VPC UE.
Mise en scène temporaire
- Les fichiers sont stockés dans un stockage à l'échelle de l'espace de travail dans notre VPC UE. L’accès est limité à cet espace de travail et à un petit nombre d’employés habilités en matière de sécurité, selon des règles strictes de besoin d’en connaître.
4.2 Traitement
PageMind exécute un pipeline déterministe depuis les fichiers bruts jusqu'aux sorties et rapports du catalogue :
Analyse et OCR
- Les documents numériques sont analysés directement ; les PDF et les images numérisés passent par OCR.
- Les erreurs OCR sont converties en raisons de tentatives structurées plutôt qu'en échecs silencieux lorsque cela est possible.
Détection et structuration du produit
- Le moteur identifie les « morceaux » de produits et crée un enregistrement de produit interne par SKU.
- Les heuristiques sont utilisées pour les catalogues complexes ; les lacunes ici sont suivies et améliorées dans le cadre de notre feuille de route.
Extraction et normalisation d'attributs
- Les attributs (par exemple, couleur, taille) sont extraits et normalisés par rapport aux listes autorisées, supprimant les valeurs lorsque les preuves sont manquantes ou ambiguës.
- Les anomalies de format et les extractions de faible confiance sont signalées pour le contrôle qualité.
Génération et traduction de texte
- Les titres et descriptions sont générés dans les langues configurées sous contrôle du glossaire.
- Nous demandons aux modèles de ne pas inventer de faits et de s'en tenir aux informations présentes dans vos documents, mais la responsabilité finale de l'examen des résultats avant la publication vous incombe.
Verify.UE (pilote automatique de conformité, lorsqu'il est activé)
- Pour les produits réglementés portant l'étiquette énergétique, Verify.UE compare les données des fournisseurs avec les enregistrements officiels EPREL et applique une règle stricte ** « aucune preuve, aucune publication »** pour les champs de conformité, créant ainsi un ensemble de preuves par SKU à des fins d'audit.
Résultat et assurance qualité
Le pipeline émet :
- CSV aligné sur le modèle principal ;
- Examen d'assurance qualité CSV (lignes nécessitant une attention humaine) ;
- Réessayez la liste avec les codes de raison ;
- Exécutez un rapport avec des métriques, des hachages, des signatures de configuration et un instantané de l'environnement.
4.3 Stockage, conservation et suppression
Nous concevons la rétention pour équilibrer l’auditabilité et la minimisation :
Espace de travail actif
- Les fichiers d'entrée, les sorties et les rapports d'exécution sont stockés dans un stockage limité à l'espace de travail aussi longtemps que votre espace de travail est actif, sous réserve de votre contrat et des limites de stockage.
Sauvegardes et journaux
- Les sauvegardes et les journaux système sont conservés pendant des périodes limitées pour soutenir la résilience et la sécurité. À la date de cet aperçu, notre fenêtre de conservation cible pour ces sauvegardes et journaux est d'environ trente (30) jours après la suppression de l'espace de travail, à moins qu'une période plus longue ne soit requise par la loi ou explicitement convenue dans le DPA ou un formulaire de commande. Ces délais indicatifs peuvent évoluer à mesure que notre infrastructure et nos évaluations des risques changent.
Suppression* Lorsque vous supprimez un espace de travail ou un ensemble de données (ou demandez une suppression), nous planifions la suppression du stockage actif et veillons à ce que les sauvegardes associées expirent dans la fenêtre définie.
- Nous pouvons conserver les enregistrements minimaux nécessaires à la facturation, à la conformité légale et à la prévention des abus, comme le permet la loi RGPD. ([ICO][6])
4.4 Utilisation des données pour la formation et l'amélioration
- Nous n'utilisons pas le contenu de votre catalogue pour former des modèles publics à usage général mis à la disposition de clients non liés.
- Nous pouvons utiliser des modèles de télémétrie et d'erreur agrégés et, si possible, pseudonymisés pour maintenir et améliorer la fiabilité et la sécurité du PageMind (par exemple, une meilleure détection des erreurs de répartition ou des échecs OCR), conformément aux objectifs et aux garanties décrites dans le DPA.
- Lorsque nous nous appuyons sur des API AI tierces, nous sélectionnons des fournisseurs qui proposent des options contractuelles et techniques conformes à nos obligations en matière de protection des données et configurons les services, lorsque cela est possible, de sorte que vos invites et vos données ne soient pas utilisées pour entraîner leurs modèles généraux. La liste actuelle de ces sous-traitants ultérieurs et de leurs emplacements est publiée dans notre liste de sous-traitants ultérieurs référencée dans le DPA. Dans toute la mesure permise par la loi applicable, nous ne sommes pas responsables de tout traitement que ces fournisseurs tiers de AI effectuent à leurs propres fins indépendantes en tant que responsable du traitements, en dehors de notre utilisation documentée de leurs services en votre nom.
5. Mesures de sécurité techniques et organisationnelles
Nous concevons les contrôles de sécurité de PageMind autour des principes de défense en profondeur, de moindre privilège et de auditabilité, tout en restant réalistes quant au risque et en évitant les réclamations absolues.
5.1 Gouvernance de la sécurité
Responsabilité et surveillance
- La responsabilité globale de la sécurité des informations incombe au Président/PDG de INAI, soutenu par les responsables techniques responsables de la sécurité de l'infrastructure et des applications.
- La sécurité est traitée comme un élément essentiel de la conception du produit pour le PageMind, et non comme une réflexion distincte après coup.
Politiques et processus
- inAi établit et maintient des politiques de sécurité internes couvrant des domaines tels que le contrôle d'accès, l'utilisation acceptable, la gestion des changements, la réponse aux incidents et la gestion des fournisseurs. Compte tenu de notre taille actuelle, ces politiques sont intentionnellement concises et peuvent évoluer à mesure que l'entreprise et PageMind se développent.
- Nous révisons ces politiques de temps à autre et les ajustons à mesure que les lois, les normes et notre infrastructure évoluent.
Gestion des risques
Nous effectuons des évaluations basées sur les risques des menaces pesant sur la confidentialité, l'intégrité et la disponibilité de PageMind et ajustons les contrôles si nécessaire. Une attention particulière est portée à :
- exposition des données catalogue et fournisseurs ;
- accès non autorisé aux ensembles de preuves et aux artefacts de conformité ;
- abus de la plateforme pour traiter des données/catégories interdites ;
- Dépendance vis-à-vis du AI tiers et des fournisseurs de cloud.
Rien dans ce document ne doit être interprété comme créant une assurance de sécurité absolue ; il décrit plutôt la manière dont nous nous organisons pour gérer les risques de manière proportionnée.
5.2 Sécurité des infrastructures et des réseaux
VPC hébergé UE avec connectivité restreinte
- L'infrastructure principale de PageMind est déployée dans un cloud privé virtuel hébergé par UE. Les groupes de sécurité réseau et les pare-feu limitent les connexions entrantes et sortantes à ce qui est nécessaire au fonctionnement du service et à la communication avec les sous-traitants approuvés.
Segmentation et filtrage du réseau
- Les services internes sont segmentés afin que seuls les composants qui doivent communiquer entre eux puissent le faire.
- Les pare-feu et les groupes de sécurité limitent les connexions entrantes et sortantes, avec des politiques de refus par défaut pour le trafic non essentiel.
Infrastructure renforcée
- Les systèmes suivent des pratiques de renforcement de base (services minimaux, correctifs réguliers, accès administrateur restreint).
- L'accès administratif à l'infrastructure de production est limité à un petit nombre de personnes autorisées et est soumis à une authentification et une journalisation fortes.
Isolement de l'environnement
- Les charges de travail de développement, de test et de production sont séparées ; les environnements de test n’utilisent pas les données des clients de production, sauf accord explicite et protégé.
5.3 Gestion des identités et des accès
Authentification* L'accès à l'infrastructure de production et aux outils administratifs de inAi nécessite des mécanismes d'authentification forts ; L’authentification multifacteur (MFA) est obligatoire pour les comptes d’administration interne et d’accès à la production.
- Dans les déploiements bêta privés actuels de PageMind, l'accès client est généralement contrôlé via les informations d'identification au niveau du compte ou votre propre fournisseur d'identité/SSO, le cas échéant. Nous vous recommandons fortement d'appliquer la MFA et la sécurité appropriée des appareils et du réseau pour ces comptes de votre côté.
Autorisation et moindre privilège
- Au cours de la version bêta actuelle, les espaces de travail PageMind sont exploités selon un modèle à locataire unique par client. Au sein d'un espace de travail donné, l'accès est limité aux comptes et intégrations que vous ou nous configurons explicitement ; il n'existe pas encore de contrôle d'accès basé sur les rôles (RBAC) dans le produit.
- L'accès du personnel interne aux données clients est limité à un sous-ensemble minimal de personnel habilité en matière de sécurité, sur une base de besoin d'en connaître et limitée dans le temps, et est toujours enregistré. L'accès au développement et au support est fourni uniquement lorsque cela est nécessaire et est révoqué lorsqu'il n'est plus nécessaire.
Cycle de vie du compte et de l'accès
- Vous êtes responsable de décider qui au sein de votre organisation est autorisé à accéder à PageMind et de gérer le cycle de vie de ces comptes et de tous les systèmes connectés (par exemple, les identités SSO, les comptes VPN ou l'accès au bureau).
- Lorsque nous introduirons ultérieurement des fonctionnalités RBAC plus fines dans PageMind, cette présentation et le DPA seront mis à jour pour décrire le fonctionnement de ces contrôles et la manière dont les responsabilités sont partagées.
5.4 Mesures de protection des données
Chiffrement en transit et au repos
- Toutes les communications entre les clients clients et PageMind utilisent des canaux cryptés (TLS).
- Le contenu client, les données de configuration et les métadonnées d'exécution stockées dans notre infrastructure sont cryptées au repos à l'aide de mécanismes de cryptage standard de l'industrie.
Minimisation et séparation des données
- PageMind stocke uniquement les données nécessaires à l'exécution des flux de travail, à la fourniture de résultats, à la tenue de journaux et au respect des obligations légales.
- Lorsque cela est techniquement possible, les diagnostics et la télémétrie sont pseudonymisés ou agrégés pour limiter l'exposition des données à caractère personnel.
- Les espaces de travail des clients sont logiquement séparés ; les données d'un espace de travail ne sont pas visibles pour les utilisateurs d'un autre.
Sauvegardes et conservation
- Nous maintenons des sauvegardes pour la résilience et la reprise après sinistre ; la conservation des sauvegardes est limitée et les sauvegardes sont purgées dans un délai d'environ 30 jours après la suppression de l'espace de travail, sauf lorsqu'une période plus longue est requise par la loi ou un contrat.
- Les clients sont responsables du stockage de toutes les exportations (fichiers CSV, dossiers de preuves, rapports) qu'ils téléchargent dans leurs propres systèmes.
5.5 Sécurité des applications et développement sécurisé
Pratiques de développement sécurisées
Nous visons à suivre un cycle de vie de développement logiciel sécurisé adapté à notre taille, qui comprend, lorsque cela est possible :
- examen par les pairs des changements importants ;
- analyse automatisée des dépendances et des vulnérabilités sur les composants clés ;
- déploiements par étapes et déploiements contrôlés pour les changements de production ;
- Tests de régression et d'intégration pour les pipelines principaux PageMind.
Protection contre les menaces Web courantes
- PageMind est conçu avec des défenses contre les classes courantes de vulnérabilités (telles que l'injection, l'authentification brisée, les références d'objet directes non sécurisées et la falsification de requêtes intersites) guidées par des listes de bonnes pratiques reconnues telles que OWASP.
Gestion des configurations
- Les configurations d'exécution critiques (telles que le routage des modèles, les règles de glossaire, les listes autorisées et les définitions de modèles) sont versionnées et peuvent être tracées via des rapports d'exécution, permettant une évolution et une restauration en toute sécurité si nécessaire.
Nous pouvons ajuster des mises en œuvre techniques spécifiques au fil du temps (par exemple, en changeant de fournisseur de cloud ou de bibliothèques) tout en maintenant un niveau de protection comparable ou supérieur.
5.6 Journalisation, surveillance et pistes d'audit
Journalisation opérationnelle
PageMind enregistre les journaux opérationnels pour :
- exécution du workflow (exécutions, étapes, succès/échec) ;
- santé et performances du système ;
- événements d'erreur et d'exception ;
- événements liés à la sécurité (tentatives d'authentification, modifications de privilèges).
Pistes d'audit au niveau de l'exécution* Chaque exécution de catalogue produit un rapport d'exécution qui comprend :
- décomptes et taux de remplissage ;
- drapeaux et résumés d'anomalies ;
- hachages d'entrées et de sorties ;
- signatures de configuration (versions d'invite/modèle, glossaire et hachages de liste autorisée) ;
- empreintes digitales de l'environnement pour la reproductibilité.
Journalisation des accès
- L'accès aux espaces de travail des clients, aux exécutions et aux packs de preuves est enregistré à des fins d'audit et d'investigation.
Surveillance et alerte
- La surveillance automatisée et manuelle est utilisée pour détecter des modèles inhabituels (par exemple, des pannes répétées ou un trafic anormal) et pour déclencher des alertes aux fins d'enquête.
Ces journaux et rapports sont conçus pour prendre en charge à la fois la surveillance de la sécurité et les audits commerciaux/de conformité tout en respectant les politiques de minimisation et de conservation des données.
6. Sauvegardes et auditabilité spécifiques au AI
PageMind s'appuie sur les composants AI (y compris les moteurs LLM et OCR) pour analyser les documents fournisseurs et générer ou transformer du texte. Notre objectif de conception est de contraindre et de mettre en évidence le comportement du AI plutôt que de s'appuyer sur une génération non structurée du « meilleur effort ».
6.1 Conception axée sur les preuves
« Aucune preuve, aucune publication » dans les modules de conformité
- Dans le module Verify.UE, chaque champ critique pour la conformité (tel que la classe énergétique et les mesures de consommation) doit être soutenu par un objet de preuve explicite faisant référence à une source fiable (EPREL ou documentation du fournisseur).
- Lorsque des preuves suffisantes ne sont pas disponibles ou sont contradictoires, le champ est laissé vide et apparaît comme un élément de contrôle qualité ou de nouvelle tentative.
- Cette règle stricte s'applique actuellement uniquement dans le module Verify.UE. Dans les pipelines de catalogue plus larges, PageMind est conçu pour faire apparaître des preuves manquantes ou faibles et pour éviter d'inventer des faits, mais vous êtes toujours censé examiner les résultats et décider quoi publier.
Preuve et traçabilité par attribut
- Pour les attributs clés tels que la couleur et la taille, PageMind peut joindre de courtes citations et des plages de pages des fichiers d'origine à titre de preuve.
- Le CSV principal comprend au moins des colonnes de trace par ligne telles que
source_file,source_pageetsteps_used, permettant aux équipes de reconstruire l'origine des valeurs. - Pendant la version bêta actuelle, certaines lignes peuvent encore être émises sans informations de trace complètes ; dans ces cas-là, les rapports au niveau de l'exécution et les colonnes d'indicateurs sont destinés à mettre en évidence les traces manquantes afin que vous puissiez concentrer l'examen manuel là où il est le plus nécessaire.
Séparation de l'extraction et de la génération
Dans la mesure du possible, PageMind sépare l'extraction de faits de la génération de texte :
- Les pipelines d'extraction se concentrent sur les attributs structurés et les valeurs numériques,
- Les pipelines de génération se concentrent sur des titres et des descriptions lisibles par l'homme basés sur des faits extraits.
6.2 Déterminisme et reproductibilité
Pipelines déterministes
- Les exécutions du catalogue de PageMind suivent un pipeline fixe et vérifiable plutôt que des invites arbitraires. Chaque exécution est structurée autour de la même séquence d'étapes (ingestion → extraction → traduction → QA → export).
Exécuter les empreintes digitales
- Chaque rapport d'exécution contient des hachages d'entrées et de sorties, ainsi que des empreintes digitales de configuration et d'environnement, afin que les résultats puissent être reproduits ou que les différences entre les exécutions puissent être expliquées.
Variabilité contrôlée
- Certaines étapes génératives (par exemple, la formulation des descriptions) peuvent impliquer un caractère aléatoire limité du modèle par souci de naturel.
- Pour les champs numériques et critiques pour la conformité, nous visons à minimiser la variabilité entre les exécutions en appliquant des règles plus strictes, une extraction structurée et des contrôles de preuves.
Aucun système utilisant des modèles probabilistes ne produira des résultats identiques dans chaque scénario, mais ces mécanismes sont destinés à maintenir le comportement prévisible, explicable et vérifiable.
6.3 Politique d'utilisation du modèle et de formation
Périmètre du traitement
Les modèles AI (y compris les LLM tiers) sont utilisés pour :
- analyser et interpréter des documents ;
- extraire et normaliser les attributs ;
- générer et traduire le texte du catalogue sous le contrôle du glossaire ;
- Prise en charge de l'assurance qualité et de la détection des anomalies.
Utilisation du contenu client pour la formation* Le contenu client est traité pour fournir les services de PageMind et maintenir la sécurité, la qualité et la fiabilité.
- Sauf accord écrit explicite, nous n'utilisons pas le contenu client pour former des modèles de base mis à la disposition d'autres clients en tant que services génériques AI.
- Les statistiques agrégées et les modèles d'erreur dérivés de l'utilisation (par exemple, mélange de langues, modes de défaillance typiques) peuvent être utilisés, sous forme agrégée et si possible pseudonymisée, pour améliorer les algorithmes et les protections de PageMind sans exposer de contenu identifiable en dehors de la portée décrite dans le DPA.
Fournisseurs AI tiers
- Lorsque nous utilisons des API AI tierces, nous sélectionnons des fournisseurs qui offrent des contrôles contractuels et techniques alignés sur nos obligations de protection des données et configurons les services, lorsque cela est possible, pour ne pas utiliser les invites ou les données des clients pour former leurs modèles généraux.
- Les détails de ces fournisseurs et de leurs emplacements sont disponibles dans notre liste de sous-traitants et DPA.
6.4 Contrôle et responsabilité humaine
Outil, pas décideur
- PageMind est un outil d'automatisation qui assiste vos équipes ; il ne remplace pas vos fonctions juridiques, de conformité ou de contenu produit.
- Les décisions finales d'approuver le contenu, de publier des entrées de catalogue ou de s'appuyer sur Verify.UE pour la conformité vous appartiennent entièrement.
Flux de travail humains dans la boucle
Le système fait surface :
- un CSV d'examen d'assurance qualité pour les lignes nécessitant une attention humaine ;
- réessayez les listes avec les codes de raison ;
- indicateurs pour les données manquantes, ambiguës ou anormales.
Vous êtes censé examiner ces résultats et mettre en œuvre des contrôles internes proportionnés à la classe de risque des produits et des marchés impliqués.
Transparence AI
- PageMind est conçu pour indiquer clairement quand AI a été utilisé et ce qu'il a fait : les exécutions, les indicateurs, les liens de preuves et les versions de configuration sont visibles au niveau requis pour les audits internes et les demandes externes.
6.5 Limites et avertissements
- Bien que nous mettions en œuvre des mesures de protection pour réduire les hallucinations, les erreurs d'extraction et les sorties incohérentes, aucun système AI n'est sans erreur.
- PageMind ne fournit pas de conseils juridiques et ne peut pas promettre que le contenu du catalogue ou les informations de conformité produites à l'aide du service seront toujours complets, exacts ou conformes à toutes les lois ou règles de plateforme applicables.
- Vous devez maintenir des procédures d'examen et de validation humaines appropriées et rester responsable de l'exactitude et de la légalité du contenu que vous publiez, y compris tout contenu créé ou assisté par PageMind.
7. Confidentialité et droits des personnes concernées (niveau élevé)
Cette section résume la manière dont PageMind prend en charge les obligations RGPD. Tous les détails apparaissent dans la Politique de confidentialité et l'Contrat de traitement des données (DPA).
7.1 Licéité, équité et transparence
Responsabilité du responsable du traitement
- En tant que responsable du traitement, vous êtes responsable de garantir une base légale pour toutes les données à caractère personnel intégrées dans les documents ou configurations que vous téléchargez sur PageMind (par exemple, intérêt légitime à traiter les contacts des fournisseurs ou les noms du personnel interne).
- Vous restez responsable de l'information des personnes concernées lorsque cela est nécessaire (par exemple, employés, fournisseurs).
Rôle du sous-traitant du inAi
Lorsqu'il agit en tant que sous-traitant, inAi traite les données à caractère personnel uniquement selon vos instructions documentées, comme indiqué dans le DPA et la configuration que vous choisissez dans PageMind.
Nous ne décidons pas de nouvelles finalités pour vos données de catalogue/fournisseurs ; nous l'utilisons pour :
- exécuter les workflows de votre catalogue ;
- sécuriser et entretenir PageMind ;
- satisfaire aux obligations légales (par exemple, enquêtes sur les fraudes ou les abus, comptabilité).
Transparence et documentation
- Nous créons et maintenons la documentation sur les activités de traitement, les catégories de données et les sous-traitants ultérieurs de PageMind et développerons cette documentation à mesure que le service évolue. Si nécessaire, nous pouvons mettre à disposition les parties pertinentes de cette documentation sous NDA pour étayer vos propres évaluations.
- Lorsque nous agissons en tant que responsable du traitement (par exemple, pour la gestion de compte, la facturation ou l'analyse de sites Web), nous expliquons ces activités dans notre Politique de confidentialité.
7.2 Prise en charge des droits des personnes concernées
Conformément au RGPD, les personnes concernées disposent de droits d'accès, de rectification, d'effacement, de restriction, de portabilité et d'opposition concernant leurs données à caractère personnel.* Votre rôle de responsable du traitement
Vous êtes responsable du traitement et de la réponse aux demandes des personnes concernées concernant les données dont vous êtes le responsable du traitement (y compris le contenu du catalogue et les documents que vous téléchargez).
Vous déterminez si une demande est valide, quelles données elle concerne et comment y répondre.
Notre support en tant que sous-traitant
inAi vous assistera, tel que requis par le RGPD et le DPA et en tenant compte de la nature du traitement et de nos capacités techniques, dans :
- localiser les données à caractère personnel pertinentes dans PageMind ;
- mettre en œuvre la suppression ou la restriction dans PageMind lorsque cela est techniquement possible ;
- fournir des informations sur les systèmes et les journaux si nécessaire pour documenter votre réponse. Cette assistance peut être limitée lorsque les données sont stockées uniquement dans des sauvegardes ou des archives de journaux qui ne sont pas raisonnablement consultables sans effort disproportionné ; le DPA explique comment ces situations sont gérées.
Lorsqu'une demande est adressée directement à inAi pour des données que nous traitons en votre nom, nous, le cas échéant, vous transmettrons la demande et suivrons vos instructions.
Délais de réponse et coopération
- Le DPA définit les délais et les conditions dans lesquels nous fournissons une assistance (par exemple, un préavis et une portée raisonnables), garantissant que vous pouvez respecter vos propres délais légaux (tels que l'objectif de réponse d'un mois du RGPD).
7.3 Catégories spéciales, données des enfants et contenus interdits
PageMind est conçu pour les données de produits et de catalogues B2B, et non pour des catégories spéciales de données à caractère personnel ou de données sur les enfants.
Catégories spéciales et données criminelles
- Vous ne devez pas télécharger sciemment des catégories particulières de données à caractère personnel (par exemple, des données de santé, biométriques, politiques ou religieuses) ou des données criminelles dans PageMind, à moins que nous ayons conclu un accord écrit spécifique fournissant des garanties supplémentaires pour ce traitement.
- Si vous téléchargez néanmoins ces données sans accord spécifique, vous restez responsable de garantir une base légale et des garanties supplémentaires appropriées en vertu de la loi applicable. Nous traiterons ces données en utilisant les mêmes mesures de sécurité techniques et organisationnelles décrites dans cet aperçu, mais nous pouvons supprimer, restreindre ou suspendre leur traitement et ne sommes pas obligés de mettre en œuvre des mesures de protection spécifiques au secteur ou à un risque plus élevé, sauf accord exprès par écrit.
Données sur les enfants
- PageMind n’est pas destiné à traiter les données à caractère personnel des enfants. Vous ne devez pas utiliser PageMind pour des activités impliquant des données d’enfants sans un accord contractuel personnalisé et des garanties supplémentaires.
- Lorsque nous apprenons qu'un espace de travail est utilisé en violation flagrante de cette règle, nous pouvons suspendre ou restreindre l'accès à cet espace de travail et vous demander de supprimer les données incriminées, conformément aux conditions et à la politique d'utilisation acceptable.
Contenu illégal et préjudiciable
- Vous ne devez pas télécharger de contenu illégal, contrefait, abusif ou malveillant (tel que des logiciels malveillants ou des invites délibérément nuisibles). Une telle utilisation peut entraîner une suspension ou une résiliation conformément aux Conditions et à la Politique d’utilisation acceptable.
7.4 Cookies et suivi (site web et application)
Télémétrie des sites Web et des applications
- Notre site Web marketing et, le cas échéant, les interfaces PageMind peuvent utiliser des cookies et de la télémétrie pour comprendre l'utilisation, sécuriser les sessions et améliorer le service.
- Les cookies non essentiels (tels que les cookies d'analyse ou de marketing) ne sont utilisés qu'avec votre consentement lorsque la loi l'exige, via notre bannière de cookies et nos paramètres.
Informations détaillées
- Les détails sur les types de cookies, leurs objectifs et leurs périodes de conservation sont définis dans notre Politique en matière de cookies et notre Politique de confidentialité.
8. Responsabilités du client et modèle de responsabilité partagée
La sécurité et la conformité dans PageMind reposent sur un modèle de responsabilité partagée. Ce document décrit ce que nous faisons de notre côté ; cette section clarifie ce que vous devez faire sur le vôtre.
8.1 Responsabilité des données et utilisation licite
Vous restez le principal responsable du contenu et de la légalité des données que vous faites traiter PageMind. Cela comprend :* vous assurer que vous disposez de tous les droits, licences et autorisations nécessaires pour les documents des fournisseurs et les données du catalogue ;
- assurer une base juridique valide sous RGPD où les données à caractère personnel sont présentes ;
- ne pas utiliser PageMind pour traiter des catégories de données interdites ou inappropriées (comme décrit dans la section 7.3) ;
- garantir la qualité des données (par exemple, supprimer les enregistrements manifestement incorrects ou non pertinents avant l'ingestion).
PageMind ne vérifiera pas et ne pourra pas vérifier la base juridique sur laquelle vous avez collecté ou utilisé vos données sous-jacentes ; cette évaluation vous appartient en tant que responsable du traitement.
8.2 Vérification des résultats et conformité réglementaire
PageMind vise à réduire le travail manuel et les problèmes de surface, mais il ne remplace pas vos fonctions internes de révision et de conformité. Vous restez seul responsable de :
Exactitude et exhaustivité du contenu publié
- Vérifier les titres, descriptions, attributs et images avant qu'ils ne soient publiés dans votre PIM, plateforme de commerce électronique ou autres canaux.
- À l'aide du CSV QA, réessayez les listes et les indicateurs fournis par PageMind pour concentrer l'examen humain sur les éléments les plus risqués ou les plus ambigus.
Conformité réglementaire et plateforme
- S'assurer que les informations, les étiquettes et les divulgations sur les produits respectent toutes les lois et politiques de plate-forme applicables sur les marchés sur lesquels vous opérez (par exemple, les règles d'étiquetage énergétique UE, la loi nationale sur la consommation, les règles du marché).
- Utilisation de Verify.UE comme outil de support uniquement, et non comme source légale définitive, et rapprochement des écarts entre les données EPREL, les documents des fournisseurs et vos propres enregistrements internes.
- Se conformer à toutes les règles spécifiques à la plateforme ou aux conditions de registre qui s'appliquent aux services utilisés via PageMind (par exemple, les conditions d'utilisation d'EPREL ou les conditions de service du marché) ; PageMind et Verify.UE n'assument pas ces obligations à votre place.
Contrôles adaptés aux risques
* Concevoir et appliquer des flux d'approbation internes (par exemple, quelles équipes approuvent le contenu du catalogue avant de le publier) proportionnés aux risques de vos produits et de vos juridictions.
Quelle que soit la configuration du PageMind, vous êtes la partie qui décide en fin de compte de ce qui est montré aux consommateurs et aux régulateurs ; vous portez la responsabilité légale de ces décisions et de leurs conséquences.
Dans toute la mesure permise par la loi applicable, nous n'acceptons aucune responsabilité pour toute non-conformité, amendes, pénalités ou réclamations de tiers résultant du contenu du catalogue que vous créez, approuvez, publiez ou sur lequel vous vous appuyez, même lorsque ce contenu a été assisté par PageMind.
8.3 La sécurité à vos côtés
Nos contrôles protègent l'infrastructure et les données du PageMind, mais vous contrôlez ce qui se passe en périphérie :
Gestion des comptes et des accès
- Créez, gérez et révoquez des comptes d'utilisateurs et des rôles dans PageMind afin que seul le personnel approprié puisse accéder à des espaces de travail et à des exécutions particuliers.
- Appliquez une authentification forte (y compris MFA si disponible) et une sécurité appropriée sur votre propre fournisseur d'identité ou SSO.
Sécurité des points finaux et de l'intégration
- Sécurisez les appareils et les réseaux à partir desquels vos utilisateurs accèdent à PageMind (correctifs, sécurité des points finaux, pratiques de navigation sécurisées).
- Sécurisez toutes les intégrations entre PageMind et vos systèmes (par exemple PIM, stockage, API internes), y compris les clés API, les secrets de connexion et les politiques d'accès.
Gestion des exportations
- Une fois que vous téléchargez des fichiers CSV, des packs de preuves ou des rapports depuis PageMind, ils font partie de vos propres systèmes et sont régis par vos propres politiques de sécurité et de conservation.
- Vous êtes responsable d'empêcher l'accès non autorisé, la perte ou la divulgation de ces fichiers exportés.
- Sans limiter les limitations contractuelles de responsabilité, inAi n'est pas responsable de toute perte, corruption ou accès non autorisé survenant dans vos systèmes ou sur des plateformes tierces après l'exportation des données depuis PageMind.
Si votre environnement est compromis (par exemple, un ordinateur portable volé ou un compte SSO compromis), un attaquant peut accéder à PageMind via vos informations d'identification ; cela échappe au contrôle et à la responsabilité de inAi.
8.4 Conditions de la plateforme, utilisation acceptable et anti-abus
L'utilisation de PageMind est soumise aux Conditions de service de PageMind, au DPA et à la Politique d’utilisation acceptable. Vous ne devez notamment pas :* tenter de contourner les restrictions de sécurité ou techniques, telles que les limites de débit ou les contrôles d'accès ;
- sonder ou tester PageMind pour les vulnérabilités, sauf dans le cadre d'un programme de divulgation responsable ou de test convenu ;
- utiliser PageMind pour traiter du contenu illégal, du matériel contrefait ou des données que vous n'êtes pas autorisé à traiter ;
- abuser d'EPREL ou d'autres services tiers accessibles via PageMind d'une manière qui viole leurs conditions.
Nous pouvons surveiller les signes d'abus ou de mauvaise utilisation et, si nécessaire, suspendre ou restreindre l'accès pour protéger la sécurité et l'intégrité de PageMind ou pour nous conformer aux obligations légales.
8.5 Répartition des risques à un niveau élevé
La répartition détaillée des risques, de la garantie et de la responsabilité est définie dans les Conditions PageMind et dans tout MSA que vous signez. A haut niveau :
inAi est responsable de :
- fournir à PageMind des soins et des compétences raisonnables ;
- mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites dans cet aperçu (au fur et à mesure de leur évolution) ;
- respecter ses obligations de sous-traitant et, le cas échéant, de responsable de traitement indépendant.
Vous êtes responsable de :
- votre choix d'utiliser PageMind, votre configuration de ses flux de travail et les données que vous envoyez et publiez à partir de PageMind ;
- le respect des lois, réglementations et conditions de tiers qui s'appliquent à votre entreprise et à vos produits ;
- mise en œuvre de processus appropriés d'examen humain, d'approbation et de contrôle de la qualité.
Ce modèle de responsabilité partagée est essentiel pour que les risques restent gérables pour les deux parties.
Pour plus de clarté, en cas de divergence entre cet aperçu et l'attribution des responsabilités, des garanties et de la responsabilité dans les conditions de service de PageMind ou dans un MSA signé, cette dernière prévaudra.
9. Gestion des incidents et notification des violations
Nous avons établi et avons l'intention de maintenir un plan formel de réponse aux incidents (IRP) inspiré des directives du NIST et de l'ENISA, et nous révisons et ajustons ce plan de temps en temps à mesure que notre infrastructure et notre profil de risque évoluent. Bien que les délais de notification spécifiques soient régis par votre DPA, notre approche opérationnelle suit ces phases :
9.1 Détection et classification
- Sources : Les incidents sont détectés via une surveillance automatisée (métriques d'infrastructure, taux d'erreur), des rapports internes du personnel et des notifications des sous-traitants.
- Triage : Une fois détectés, les événements sont triés par le responsable de la sécurité pour déterminer s'ils constituent un « incident de sécurité » (compromettant la confidentialité, l'intégrité ou la disponibilité) ou une « violation de données à caractère personnel » selon RGPD.
- Gravité : Les incidents sont classés par gravité (Critique, Élevé, Moyen, Faible) en fonction de l'étendue des données affectées et de leur impact sur la continuité du service.
9.2 Cycle de vie des réponses
- Confinement : mesures immédiates pour limiter l'impact (par exemple, révocation des informations d'identification compromises, isolement des segments de réseau ou suspension temporaire d'un espace de travail).
- Enquête : Analyse médico-légale des journaux et exécution de rapports pour déterminer la cause première et l'étendue de toute exposition de données.
- Éradication et correction : Suppression de la cause première (par exemple, correction d'une vulnérabilité, suppression de fichiers malveillants) et vérification de l'intégrité du système.
- Récupération : Restauration des services et des données à partir de sauvegardes sécurisées.
- Examen post-incident : Une analyse rétrospective obligatoire pour tous les incidents élevés/critiques afin de mettre à jour les politiques et d'éviter toute récurrence.
9.3 Engagements de notification
- Aux clients (notification du responsable du traitement) : Si une violation de données à caractère personnel affecte vos données, nous vous en informerons sans délai injustifié après avoir pris connaissance de la violation, conformément au DPA. Nous n’attendons pas une conclusion médico-légale complète pour émettre une première alerte si le risque est confirmé.
- Aux autorités/sujets : En tant que sous-traitant, nous vous aidons à remplir vos obligations d'informer les autorités de contrôle (par exemple, CNIL) ou les personnes concernées. Nous ne les informons généralement pas directement, sauf si la loi l'exige ou si cela est convenu dans le DPA.
- Transparence : Les avis incluront la nature de la violation, les conséquences probables et les mesures prises pour y remédier.
10. Continuité des activités et reprise après sinistrePageMind est conçu pour prendre en charge la continuité des opérations de votre catalogue, mais aucun service en ligne ne peut promettre un temps d'arrêt ou une perte de données nul. Cette section explique notre approche générale ; les engagements spécifiques en matière de disponibilité et les recours, le cas échéant, sont définis dans le SLA ou les Conditions applicables.
10.1 Objectifs de disponibilité
Sauf si un objectif de temps de récupération (RTO) spécifique est défini dans un formulaire de commande ou un SLA, ce qui suit décrit les objectifs généraux et les principes de conception plutôt que les niveaux de service contraignants.
Conception de services
- Les composants principaux de PageMind sont déployés dans un environnement cloud UE conçu pour la haute disponibilité, avec une redondance au niveau de l'infrastructure (plusieurs zones de disponibilité si prises en charge).
- Les services apatrides sont conçus pour être évolutifs horizontalement ; Les composants avec état (par exemple, bases de données, stockage) utilisent les fonctionnalités de redondance au niveau du fournisseur lorsqu'elles sont disponibles.
Cibles et attentes
- Nous visons une haute disponibilité adaptée aux opérations du catalogue de production ; des objectifs de disponibilité numérique précis et tous les crédits de service correspondants sont définis dans votre contrat ou SLA, le cas échéant.
- Les fenêtres de maintenance et les changements majeurs sont, dans la mesure du possible, planifiés pour minimiser l'impact sur le client.
10.2 Sauvegardes, réplication et récupération de données
Sauvegardes
- Nous effectuons des sauvegardes régulières des magasins de données critiques afin de pouvoir restaurer les données en cas de corruption ou de panne catastrophique.
- Les sauvegardes sont cryptées et stockées dans l’UE, soumises aux mêmes contrôles d'accès que les données primaires.
Réplication
- Lorsque cela est pris en charge, nous utilisons des mécanismes de stockage et de réplication de bases de données pour améliorer la résilience contre les pannes matérielles ou de zone.
Procédures de récupération
- Nous maintenons des procédures documentées pour restaurer les services et les données à partir de sauvegardes suite à des incidents tels que des pannes d'infrastructure, une corruption de données ou une suppression accidentelle dans notre environnement.
- La récupération à partir des sauvegardes est priorisée en fonction de son impact et de sa faisabilité ; dans certains scénarios, une restauration partielle (par exemple, des espaces de travail ou des fenêtres horaires spécifiques) peut être plus appropriée qu'une restauration complète de l'environnement.
Limites
- Les sauvegardes et la réplication ne remplacent pas vos propres stratégies de résilience ; une fois que les données quittent PageMind (par exemple, via une exportation CSV vers votre PIM ou d'autres systèmes), vous devez mettre en place vos propres mécanismes de sauvegarde et de récupération pour ces données en aval.
10.3 Planification et tests de continuité
Planification de continuité
- Nous documentons et améliorons de manière itérative les procédures internes de continuité des activités et de reprise après sinistre (BC/DR) qui identifient les composants critiques du PageMind, les dépendances clés et les priorités de récupération.
- Ces procédures se concentrent sur des scénarios réalistes pour une entreprise de notre taille, tels que des incidents liés au fournisseur de cloud, des perturbations régionales et la perte de systèmes internes clés.
Tests et améliorations
- À mesure que PageMind dépasse la version bêta privée, nous prévoyons d'appliquer certaines procédures de continuité et de récupération via des simulations ou des tests de basculement contrôlés et d'intégrer les leçons apprises dans notre configuration technique et notre documentation.
10.4 Responsabilités du client en matière de continuité
Votre posture de continuité dépend non seulement de PageMind, mais également de la manière dont vous l'intégrez et vous y appuyez. Vous êtes responsable de :
- évaluer la criticité du PageMind au sein de vos propres opérations et concevoir des plans de secours appropriés (par exemple, des flux de travail manuels temporaires ou des sources de données alternatives en cas de pannes) ;
- mettre en place une surveillance et des alertes de votre côté en cas de pannes dans les processus en aval (par exemple, importations dans votre PIM ou plateforme de commerce électronique) ;
- en vous assurant de conserver des copies des exportations et configurations critiques nécessaires pour reconstruire ou repeupler les systèmes si nécessaire ;
- Prise en compte des caractéristiques de disponibilité documentées et des SLA contractuels du PageMind dans votre planification plus large de continuité des activités et de reprise après sinistre.
inAi ne peut être responsable des conséquences de pannes ou de pannes de systèmes hors de notre contrôle (tels que votre PIM, sites Web, réseaux ou plateformes tierces), même lorsqu'ils interagissent avec PageMind.
11. Posture de conformité et feuille de route
11.1 Posture actuelle
La posture de sécurité et de protection des données de PageMind s’articule autour de :
Première conception UE et RGPD* Traitement de base dans un VPC hébergé UE avec des fenêtres de suppression définies et des contrôles d'accès stricts, ainsi que des sous-traitants approuvés dans le cadre de garanties de transfert de données appropriées, comme indiqué dans le DPA.
- Architecture et processus conçus en tenant compte de l'article 32 du RGPD (mesures techniques et organisationnelles appropriées, y compris le cryptage, la résilience et les tests périodiques proportionnés à notre taille et à notre profil de risque).([Digital Strategy][1])
Catalogue centré sur les preuves et workflows de conformité
- Règle « Aucune preuve, aucune publication » pour les champs de conformité Verify.UE.
- Trace par ligne (fichier source, pages, étapes) et rapports au niveau de l'exécution avec hachages et empreintes digitales de configuration pour la reproductibilité et l'audit.
Orientation B2B et données à caractère personnel minimales
- Focus principal sur les données de produits et de catalogues pour les détaillants et les marques, les données à caractère personnel étant généralement limitées aux informations de compte et de contact accidentelles.
Innovation reconnue au niveau national et écosystémique
- INAI est reconnu par l'État français (DRIEETS Île-de-France) comme un projet économiquement innovant, centré sur les flux de travail fondés sur des preuves de PageMind et l'utilisation d'EPREL, et est incubé chez EuraTechnologies dans le secteur Retail.
Cette présentation décrit une posture vivante de sécurité et de conformité. Les contrôles évoluent au fil du temps, à mesure que les lois, les normes, les menaces et le PageMind lui-même évoluent.
11.2 Normes et cadres avec lesquels nous nous alignons
Nous ne revendiquons pas de certification formelle sauf indication explicite dans une documentation séparée. Au lieu de cela, nous alignons nos contrôles sur les réglementations européennes pertinentes et les cadres couramment utilisés :
Loi sur la protection des données RGPD / UE
- Article 32 (sécurité du traitement), article 28 (obligations du sous-traitant) et directives associées sur le cryptage, le contrôle d'accès, la journalisation et la notification des violations. ([Digital Strategy][1])
Loi UE AI – approche basée sur les risques
- D'après notre lecture actuelle de la loi UE AI, PageMind n'appartient à aucune des catégories à haut risque de l'annexe III. Dans le cadre d'une utilisation typique d'un catalogue de vente au détail, il serait généralement traité comme un système AI à risque limité ou à risque minimal, soumis principalement à des obligations de transparence. Cette évaluation est à titre informatif et ne remplace pas votre propre classification en tant que déployeur dans votre contexte spécifique. ([Artificial Intelligence Act][2]) * Néanmoins, nous adoptons des pratiques inspirées par des obligations à haut risque, le cas échéant (enregistrement, documentation, surveillance humaine, transparence sur l'utilisation du AI), et nous avons l'intention de documenter notre propre évaluation interne des risques pour le PageMind à mesure que la loi et les orientations associées seront finalisées. ([UE AI Act][3])
Gestion des risques de cybersécurité de type NIS2
Bien que PageMind ne soit pas en soi une entité « essentielle » ou « importante » telle que définie par NIS2, nous nous inspirons de l'accent mis sur :
- gestion des risques et gouvernance ;
- gestion et reporting des incidents ;
- continuité des activités et reprise après sinistre ;
- Sécurité de la chaîne d'approvisionnement et des sous-traitants. ([Digital Strategy][4])
Cadres industriels et meilleures pratiques
- Nous utilisons les thèmes de contrôle ISO 27001 et les conseils techniques de l'ENISA comme points de référence pour la conception de nos politiques et contrôles, en particulier pour le contrôle d'accès, la journalisation, la gestion des modifications et la gestion des incidents. ([Hyperproof][5])
Ces références sont des points d'orientation et non des allégations marketing de conformité ou de certification totale. Les obligations légales contraignantes et les répartitions de responsabilité sont définies dans votre contrat et le DPA.
11.3 Feuille de route et évolution réglementaire
L'environnement réglementaire du AI et de la cybersécurité évolue rapidement. Notre feuille de route comprend :
AI Acte d'introduction progressive
- La loi UE AI entre en vigueur progressivement, avec des obligations de transparence pour certains systèmes AI (y compris les systèmes « à risque limité ») et des règles spécifiques pour les modèles AI à usage général.([Digital Strategy][1])
- Nous surveillons les mesures de mise en œuvre, les orientations et les Codes de bonnes pratiques émergents de la loi AI qui visent à aider les fournisseurs et les utilisateurs de AI à se conformer de manière pragmatique et basée sur les risques. ([CMS Law][6])
Transposition et conseils NIS2* NIS2 augmente considérablement les attentes en matière de gestion des risques de cybersécurité, de reporting des incidents et de sécurité de la chaîne d'approvisionnement dans de nombreux secteurs.([Digital Strategy][4])
- Nous suivons la transposition nationale et les orientations sectorielles (par exemple de l'ENISA et des CSIRT nationaux) pour aider à maintenir les contrôles de PageMind cohérents avec le sens de déplacement, même lorsque NIS2 peut ne pas s'appliquer directement à nous. ([ENISA][7])
Gouvernance interne et documentation
- Examens périodiques de nos évaluations d'impact sur la protection des données (DPIA) et de nos évaluations des risques pour PageMind.
- Amélioration itérative de la journalisation, des preuves et de la documentation pour prendre en charge les obligations des clients en matière de gouvernance de la cybersécurité et celles des comités internes, des auditeurs et des régulateurs.
Notre engagement n'est pas de « geler » la sécurité du PageMind à un moment donné, mais de la maintenir et de l'améliorer conformément aux attentes réalistes et basées sur les risques et à la réglementation évolutive de l’UE.
12. Versionnement, contact et utilisation de cet aperçu
12.1 Gestion des versions et modifications
Version et date
- Ce document est publié avec un numéro de version et une date indiqués en haut.
- Lorsque nous apportons des modifications importantes à notre politique de sécurité ou de protection des données, nous mettons à jour cet aperçu et ajustons la version et la date en conséquence.
Journal des modifications
- Pour les changements importants (par exemple, de nouvelles classes de sous-traitants, des changements d'architecture majeurs ou des contrôles sensiblement différents), nous conservons un bref journal des modifications décrivant ce qui a changé à un niveau élevé.
- Lorsque le DPA ou le contrat l'exige, nous informerons les clients des modifications importantes (par exemple, de la liste des sous-traitants ultérieurs ou des mesures qui affectent matériellement le niveau de protection).
Relation avec les contrats
- Cet aperçu est non contractuel. En cas de divergence ou de conflit entre ce document et les conditions de service, MSA, DPA ou tout autre contrat contraignant, les documents contractuels prévalent.
- La loi applicable et la juridiction pour tout litige sont celles spécifiées dans vos Conditions de service ou MSA ; cet aperçu ne les définit ni ne les modifie.
12.2 Contact et informations complémentaires
Demandes de sécurité et de confidentialité
- Pour des questions de sécurité ou de confidentialité concernant le PageMind, les clients peuvent nous contacter en utilisant les coordonnées publiées dans nos mentions légales ou sur la page de contact de notre site Web.
- Selon la nature de la demande, nous pouvons vous demander d'utiliser un canal de contact désigné pour la sécurité ou la confidentialité (par exemple, une boîte aux lettres dédiée) afin que nous puissions trier et répondre efficacement.
Documentation supplémentaire
Dans le cadre de NDA ou dans le cadre de processus d'approvisionnement et d'examen de sécurité, nous pouvons fournir des informations supplémentaires telles que :
- une copie de notre DPA standard et de la liste des sous-traitants ;
- réponses aux questionnaires de sécurité ou de confidentialité ;
- des descriptions architecturales ou opérationnelles plus détaillées pertinentes pour votre évaluation des risques.
Divulgation responsable des vulnérabilités
- Si vous pensez avoir découvert une vulnérabilité de sécurité affectant le PageMind, nous vous demandons de nous la signaler en privé en utilisant les coordonnées figurant sur notre site Web, en fournissant suffisamment d'informations pour reproduire le problème.
- Nous vous demandons de vous abstenir de toute divulgation publique jusqu'à ce que nous ayons eu une opportunité raisonnable d'enquêter et d'y remédier.
12.3 Comment utiliser cet aperçu
Cet aperçu vise à :
- vous aider à comprendre, à un niveau élevé, comment PageMind aborde la sécurité et la protection des données ;
- soutenir vos examens internes des risques, de la sécurité et de la conformité ;
- complète, mais ne remplace pas, les dispositions plus détaillées et contraignantes des Conditions de service, MSA et DPA.
Vous devriez lire ce document avec :
- les Conditions de service PageMind ou votre MSA négocié ;
- le Contrat de traitement des données régissant les rôles et obligations de RGPD ;
- notre Politique de confidentialité et notre Politique en matière de cookies ;
- la Politique d’utilisation acceptable et la liste des sous-traitants.
Pris ensemble, ces documents fournissent une image complète du fonctionnement de PageMind, des mesures que nous mettons en œuvre et de la manière dont les responsabilités sont réparties entre vous et inAi.
