Légal & confiance

Trust Center

Mise à jour : 2 juillet 2026

Cette page documente les mécanismes par lesquels La Fusée tient ses engagements. Chaque point correspond à un dispositif réel et auditable de la plateforme — état en direct sur /status, historique des évolutions sur /changelog.

1. Fiabilité par construction

  • Déterminisme d'abord: le diagnostic, le score sur 100, le pricing par zone et la composition de l'Oracle sont des fonctions pures reproduites à l'identique depuis vos données — variance zéro, auditables ligne à ligne. Un incident chez un fournisseur d'IA ne bloque jamais une livraison.
  • IA optionnelle, encadrée: la passerelle IA bascule automatiquement entre fournisseurs (Anthropic → OpenAI → local → OpenRouter), borne chaque appel dans le temps et valide chaque sortie par schéma — une réponse non conforme est rejetée, jamais persistée silencieusement. Sans fournisseur configuré, la fonctionnalité disparaît de l'interface au lieu de simuler.
  • Jamais de donnée inventée : quand une information manque, la plateforme affiche un état vide honnête ou un statut différé explicite — jamais un succès simulé ni du remplissage. Barèmes, taxonomies et indices de zone sont des données versionnées, pas des constantes cachées.
  • Validation de paiement idempotente: les flips de statut sont atomiques — une demande de souscription ne se valide qu'une seule fois, même sous double-clic ; une extension d'abonnement appliquée deux fois est structurellement impossible.

2. Traçabilité et gouvernance

  • Journal d'audit hash-chaîné: toute mutation métier (inscription, amendement de pilier, validation de paiement…) écrit une ligne chaînée par empreinte à la précédente, dans la même transaction que la mutation — l'historique ne se réécrit pas, toute altération a posteriori est détectable.
  • Noyau de marque sous contrôle humain: chaque révision de pilier est versionnée et chaînée ; l'IA propose des brouillons marqués « à valider », l'humain dispose — aucun automatisme n'écrit le noyau.
  • Décisions d'architecture tracées : chaque choix structurant de la plateforme est documenté, numéroté et daté dans le dépôt de décisions — contexte, alternatives écartées, conséquences.
  • Isolation default-deny : le cloisonnement par espace client est vérifié à chaque requête ; aucune donnée métier ne circule entre clients.

3. Sécurité

SurfaceMécanisme
TransportTLS 1.2+ partout (certificats Let's Encrypt)
Mots de passeHachage bcrypt 12 rounds — jamais stockés en clair
SessionsJWT signés, cookies httpOnly + secure
Secrets systèmeVariables d'environnement exclusivement — jamais en base, jamais dans le dépôt
PaiementsAucune donnée carte ni credential mobile money — règlement de gré à gré, seule une référence courte est journalisée
AccèsContrôle par rôle et par espace client à chaque requête (middleware)

4. Continuité et réversibilité

  • CI bloquante : vérification des types, suite de tests automatisés, validation du schéma de données et build complet doivent être verts avant toute mise en production — pas de « rouge toléré ».
  • Schéma de données versionné, appliqué automatiquement au déploiement ; toute opération sensible (migration de données, bascule de version) est précédée d'une sauvegarde complète.
  • Réversibilité client : export du patrimoine en format ouvert, version imprimable des livrables depuis le Cockpit, fenêtre de portabilité de 90 jours post-contrat — aucune rétention en otage (CGV art. 7).

5. Conformité

RGPD / Convention de Malabo / cadres nationaux : voir le DPA (classes de données, non-entraînement des LLM, sous-traitants, violations) et la politique de confidentialité. Engagements de délais : SLA. Cadre contractuel : CGV · CGU.

6. Contact due diligence

Dossier de due diligence détaillé (architecture, registre des traitements, attestations fournisseurs) sur demande raisonnable : bonjour@upgraders.pro.