Vous cherchez les revendications réglementaires ?
Cette page traite du mouvement des données. Pour la vue des normes — ce que nous respectons directement et ce que nous ne revendiquons pas — consultez la page compagnon.
Parcours technique
Guide de traitement des données.
Comment les données circulent réellement. Cette page décrit la mécanique — flux d'appel, chiffrement, calendrier de conservation, scripts de suppression, sous-traitants — destinée aux ingénieurs en sécurité et aux administrateurs IT qui examinent l'implémentation. Pour la vue normes (LPRPDE, Loi 25, LCAP, certifications), consultez la page Conformité.
1. Comment un appel traverse notre système
Lorsque quelqu'un appelle une entreprise utilisant notre réceptionniste IA, voici le parcours que suivent l'audio et les données. Rien n'est persisté sur notre serveur au-delà de l'état d'appel en direct ; le stockage permanent se produit à l'étape Airtable.
L'appelant compose
→
Twilio (PdP canadien)
→
Agent vocal (VPS canadien)
→
Claude AI (zéro rétention)
→
Airtable (enregistrement)
- Twilio reçoit l'appel, l'achemine via ses points de présence canadiens et diffuse l'audio via une connexion WebSocket chiffrée vers notre serveur.
- Agent vocal s'exécute sur notre VPS canadien. Il transcrit la voix de l'appelant, envoie la transcription à l'IA pour traitement et restitue la réponse de l'IA via Twilio.
- Claude AI (Anthropic) traite la conversation en temps réel. L'API d'Anthropic applique une politique de zéro rétention — les entrées ne sont pas stockées ni utilisées pour l'entraînement du modèle.
- Airtable stocke l'enregistrement de l'appel, le résumé de la transcription et les détails du rendez-vous après la fin de l'appel — le premier point où quoi que ce soit est persisté.
Point clé : l'audio de votre appel est diffusé en temps réel et n'est pas stocké de façon permanente sur notre serveur. Si l'enregistrement d'appels est activé pour un locataire, l'enregistrement est stocké par Twilio et automatiquement supprimé après 90 jours.
2. Chiffrement et sécurité
En transit
- Tout le trafic HTTP utilise TLS 1.2+ (TLS 1.3 préféré). Appliqué au niveau nginx avec HSTS et une suite de chiffrement moderne.
- Les flux audio Twilio utilisent des connexions WebSocket chiffrées.
- Les appels API vers Anthropic, Airtable et Stripe utilisent HTTPS chiffré TLS.
Au repos
- Airtable chiffre toutes les données stockées avec AES-256.
- Notre fichier de secrets (
/opt/secrets/secrets.enc.yaml) est chiffré avec SOPS + age. Le texte en clair ne touche jamais le disque — le fichier est déchiffré en mémoire au démarrage du service. - Les permissions de fichiers sont verrouillées (
chmod 600). Les secrets ne sont jamais écrits dans les journaux, jamais passés en ligne de commande, jamais soumis au code. - Redis (cache en mémoire) stocke l'état temporaire d'appel avec expiration automatique — rien ne persiste sur disque.
- La base de données PostgreSQL hébergeant les données des workflows utilise des identifiants par base de données, rotés via le même store SOPS.
Hébergement canadien
- L'infrastructure serveur principale est hébergée au Canada (fournisseur VPS : Hostinger, région canadienne).
- Twilio est configuré pour acheminer les appels via les points de présence canadiens lorsque disponibles.
3. Calendrier de conservation des données
La conservation est appliquée par des scripts automatisés hebdomadaires. Ce ne sont pas des intentions — ils fonctionnent en production et peuvent être audités avec --dry-run.
| Type de données | Conservation | Après expiration | Application |
|---|---|---|---|
| Transcriptions d'appels | 90 jours | Supprimées définitivement | Cron hebdomadaire → data_retention.py purge les entrées de plus de 90 jours |
| Enregistrements d'appels (audio) | 90 jours | Supprimés de Twilio via API ; référence effacée chez nous | Cron hebdomadaire supprime les Twilio recording SIDs de plus de 90 jours |
| Journaux et métadonnées d'appels | 12 mois | Numéro de téléphone remplacé par ANONYMIZED ; statistiques agrégées conservées | Cron hebdomadaire anonymise les enregistrements de plus de 12 mois |
| Rendez-vous | 12 mois après réalisation | Supprimés | Même tâche de rétention hebdomadaire |
| Résumés IA des appels | Conservés | Aucun identifiant direct ; utilisés pour l'analytique opérationnelle | Non appliqué par le script de rétention (pas de PII) |
| Données d'exécution n8n | 90 jours | Purgées de la base de données | Paramètre de purge intégré n8n + sauvegarde cron hebdomadaire |
| Registres de facturation (factures) | 6 ans | Conservés pour la loi fiscale canadienne (ARC) | Conservation Stripe alignée sur les obligations canadiennes de tenue de registres |
4. Cycle de vie automatisé des données
Les tâches concrètes qui appliquent le calendrier de conservation ci-dessus :
- Purge hebdomadaire des transcriptions (
data_retention.py, dimanche 03h30 UTC) — transcriptions de plus de 90 jours supprimées définitivement. Les résumés générés par IA (sans identifiants directs) sont conservés. - Anonymisation hebdomadaire des appelants — les enregistrements d'appels de plus de 12 mois voient leur numéro de téléphone remplacé par
ANONYMIZED. Les statistiques agrégées restent. - Nettoyage hebdomadaire des enregistrements — les Twilio recording SIDs de plus de 90 jours sont supprimés via l'API Twilio Recordings, puis la référence est effacée chez nous.
- Purge hebdomadaire des exécutions — les données d'exécution n8n de plus de 90 jours sont supprimées.
- Tests de régression nocturnes — un cron séparé exécute des tests de bout en bout vérifiant que les tâches de rétention et le pipeline de suppression fonctionnent toujours ; des alertes sont envoyées à l'opérateur en cas d'échec.
Toutes les tâches de rétention supportent le mode --dry-run — vous pouvez voir exactement quelles lignes seraient affectées sans exécution.
5. Droit à l'effacement — mécanique de suppression
Quand la suppression est déclenchée
La suppression complète des données (selon le calendrier ci-dessus — 90 jours pour les transcriptions et enregistrements, 12 mois pour les métadonnées) est déclenchée automatiquement lorsque le service d'un client commercial est désactivé pour l'une des raisons suivantes :
- Le client annule son abonnement via le portail de facturation Stripe
- Un remboursement complet est émis — le service est désactivé en quelques secondes après l'événement de remboursement Stripe ; l'horloge de rétention démarre à l'horodatage de désactivation
- Une rétrofacturation (contestation bancaire) est déposée — même comportement qu'un remboursement complet
- Un essai expire sans conversion en plan payant
- Le compte d'un partenaire agence est annulé, orphelinant ses comptes clients (période de grâce de 30 jours avant la désactivation)
Les remboursements partiels (crédits de bonne foi) ne désactivent pas le service ni ne déclenchent la chronologie de suppression.
Ce qui est supprimé (offboarding client commercial)
- Tous les enregistrements d'appels vocaux associés à l'entreprise
- Tous les enregistrements Twilio (fichiers audio)
- Tous les rendez-vous, dossiers personnel, heures d'ouverture, jours fériés et listes de services
- Toutes les données en cache dans Redis
- Le dossier client lui-même
Piste d'audit
Chaque action de suppression est journalisée : horodatage, nombre d'enregistrements, identité de l'opérateur. Le journal d'audit est conservé séparément des données supprimées, de sorte que les événements de suppression restent vérifiables.
Demandes individuelles d'appelants
Si un appelant individuel (et non un client commercial) demande la suppression de ses données, soumettez une demande via notre formulaire de demande de confidentialité (en anglais). Nous vérifions la demande par courriel, puis localisons et supprimons tous les enregistrements associés à votre numéro de téléphone dans un délai de 30 jours.
6. Sous-traitants
Services tiers qui traitent les données dans le cadre de la livraison du service. Données qu'ils voient et leur propre posture de conformité :
| Fournisseur | Objectif | Données partagées | Certifications |
|---|---|---|---|
| Twilio | Routage d'appels, téléphonie, SMS | Numéros de téléphone, audio d'appel, contenu SMS | SOC 2 Type II, ISO 27001, PdP canadiens |
| Anthropic | Traitement conversationnel IA (Claude) | Transcriptions d'appels (temps réel, diffusées) | API zéro rétention, SOC 2 Type II |
| Airtable | Stockage des données d'entreprise | Registres d'appels, rendez-vous, profils clients | SOC 2 Type II, AES-256 au repos |
| Stripe | Paiements et abonnements | Nom et courriel de facturation ; données de carte tokenisées | PCI-DSS Niveau 1 |
| Hostinger | Hébergement VPS, courriel transactionnel | Processus serveur ; corps des courriels sortants | ISO 27001 |
Auto-hébergé (pas un sous-traitant) : Redis s'exécute sur notre propre VPS canadien comme cache en mémoire pour l'état temporaire d'appel. Les données expirent automatiquement ; rien ne persiste sur disque.
7. Isolation par locataire
- Chaque entreprise se voit attribuer un identifiant de locataire unique.
- Chaque requête Airtable, clé Redis et exécution de workflow est délimitée par identifiant de locataire. L'accès inter-locataires n'est pas un chemin de code qui existe.
- Les jetons API sont limités aux permissions minimales requises. Les identifiants ne sont jamais partagés entre locataires.
- L'accès au portail est authentifié par locataire avec des jetons JWT portant le claim de locataire.
- Les clés de cache Redis sont nommées par identifiant de locataire avec expiration automatique.
8. Contrôles d'accès
- Jetons API — limités aux permissions minimales requises ; rotés via le store SOPS.
- Permissions de fichiers — secrets stockés avec
chmod 600(accès propriétaire uniquement). - Aucun identifiant partagé — chaque service utilise sa propre authentification.
- Authentification portail — mots de passe hachés avec bcrypt, JWT à courte expiration.
- Isolation d'environnement — secrets chargés depuis des fichiers d'environnement à permissions restreintes au démarrage du service, jamais soumis au code.
9. Sauvegardes
Des sauvegardes automatisées protègent contre la perte de données. Stockées localement sur notre infrastructure canadienne — aucun transfert transfrontalier.
| Quoi | Fréquence | Conservation | Intégrité |
|---|---|---|---|
| Base de données d'application (PostgreSQL) | Toutes les 6 heures | 14 jours glissants | pg_dump avec vérification de somme de contrôle |
| Données d'entreprise (Airtable) | Quotidienne | 30 jours glissants | Export complet de table avec pagination |
| Sauvegarde DR système complet | Quotidienne | 7 jours glissants | Inclut les données /opt et la configuration |
| Sauvegarde git hors-site | Quotidienne | Indéfinie (sous contrôle de version) | Code + modèles de configuration uniquement ; aucun secret, aucune donnée client |