Sécurité, données et hébergement

Vos réponses aux marchés, vos références et vos prix sont des informations sensibles. Voici, sans survente, où elles sont hébergées, comment elles sont isolées, chiffrées et tracées, et où en est Palmio sur la souveraineté.

Note de transparence · mise à jour en juillet 2026 · par les équipes Palmio

1. Hébergement et localisation des données

Les données de Palmio sont hébergées et traitées dans l'Union européenne, dans un centre de données situé à Francfort, chez un hébergeur cloud opérant en UE. Les données au repos restent dans l'Union européenne et le traitement est conforme au RGPD. Les polices et ressources du site sont servies depuis notre propre domaine, sans appel à un service externe.

Pourquoi cette précision compte : nous préférons une information exacte à un argument marketing. Palmio est édité par une société française (AI MENTOR, SASU immatriculée à Paris), et les données sont hébergées en Union européenne. Ce sont deux choses différentes, et nous les distinguons clairement.

2. Isolation stricte par client

Chaque client dispose de son propre espace. L'isolation des données est stricte : une organisation ne voit jamais les données d'une autre, ni ses appels d'offres, ni ses références, ni ses réponses. Aucune donnée n'est partagée entre organisations, ni transmise à des tiers à des fins commerciales.

3. Chiffrement, accès et authentification

Transport chiffré HTTPS partout, HSTS activé et en-têtes de sécurité stricts (CSP, protection contre le détournement de page).
Secrets chiffrés Les configurations sensibles (jetons d'intégration, paramètres SSO) sont chiffrées au repos.
Rôles et permissions Quatre rôles métier (administrateur, commercial, rédacteur, manager) qui limitent chacun l'accès au strict nécessaire.
Double authentification Authentification à deux facteurs disponible, et connexion unique d'entreprise (SSO, SAML et OIDC) pour les organisations qui l'exigent.

4. Traçabilité et RGPD

Les accès et actions sensibles sont tracés dans un journal d'audit, conservé par défaut 90 jours puis purgé automatiquement, conformément à une logique de minimisation. Les adresses IP peuvent être anonymisées par hachage dans ce journal. Le traitement respecte le RGPD, et vous restez responsable de traitement de vos données, Palmio agissant comme sous-traitant.

5. Sous-traitant d'intelligence artificielle

La génération des documents s'appuie sur l'API d'Anthropic (Claude), sous accord de traitement des données. Deux garanties importantes :

6. Souveraineté : où nous en sommes, honnêtement

Nous préférons être clairs plutôt que de laisser une ambiguïté qu'un concurrent ou votre RSSI relèverait à juste titre.

Aujourd'hui : hébergement Union européenne et conformité RGPD. C'est le cadre adapté à la très grande majorité des marchés publics et privés, y compris pour des données d'entreprise sensibles comme vos réponses et vos prix.
Pas encore qualifié SecNumCloud. Depuis le décret n°2026-272 du 14 avril 2026, la qualification SecNumCloud est requise pour certains marchés d'État, leurs opérateurs et des données sensibles. Si votre cahier des charges l'exige, nous nous engageons à déclencher une migration vers un hébergement qualifié SecNumCloud, en gardant le service opérationnel pendant la transition.

Autrement dit : pour un marché public de services classique, un marché privé, ou un besoin de staffing, l'hébergement UE conforme RGPD convient. Pour un marché d'État à données sensibles qui impose SecNumCloud au cahier des charges, parlons-en en amont : nous savons où poser le jalon.

7. Signaler une vulnérabilité

Nous accueillons la divulgation responsable. Un point de contact sécurité et notre politique de divulgation sont publiés, et notre fichier security.txt suit le standard RFC 9116. Voir la politique de divulgation des vulnérabilités.

Questions fréquentes

Où sont hébergées les données de Palmio ?

Dans l'Union européenne, au sein d'un centre de données situé à Francfort, chez un hébergeur cloud opérant en UE. Les données au repos restent en Union européenne et le traitement est conforme au RGPD.

Palmio est-il qualifié SecNumCloud ?

Non, pas à ce jour. Palmio est hébergé en Union européenne et conforme au RGPD, ce qui couvre la très grande majorité des marchés. La qualification SecNumCloud est requise pour certains marchés d'État et données sensibles depuis le décret 2026-272. Nous nous engageons à migrer vers un hébergement qualifié SecNumCloud si un client l'exige à son cahier des charges.

Mes données servent-elles à entraîner une intelligence artificielle ?

Non. Vos réponses, références et prix ne servent pas à entraîner de modèle. La génération s'appuie sur l'API d'Anthropic sous accord de traitement, sans réutilisation à des fins d'entraînement, avec un traitement en zone Union européenne.

Comment les données sont-elles isolées entre clients ?

Chaque client a son propre espace, avec une isolation stricte : une organisation ne voit jamais les données d'une autre. Les accès sont soumis à des rôles et tracés dans un journal d'audit.

Un doute sur la sécurité ou l'hébergement ?

Nous répondons volontiers à un questionnaire RSSI et organisons un échange technique dédié. Posez vos questions, sur vos exigences réelles.

Nous contacter

Les informations de cette page décrivent l'état de la plateforme à la date de mise à jour et peuvent évoluer. Pour un besoin de conformité spécifique, contactez-nous afin d'obtenir les éléments contractuels à jour.