Légal & confiance
Trust Center
Mise à jour : 2 juillet 2026
Cette page documente les mécanismes par lesquels La Fusée tient ses engagements. Chaque point correspond à un dispositif réel et auditable de la plateforme — état en direct sur /status, historique des évolutions sur /changelog.
1. Fiabilité par construction
- Déterminisme d'abord: le diagnostic, le score sur 100, le pricing par zone et la composition de l'Oracle sont des fonctions pures reproduites à l'identique depuis vos données — variance zéro, auditables ligne à ligne. Un incident chez un fournisseur d'IA ne bloque jamais une livraison.
- IA optionnelle, encadrée: la passerelle IA bascule automatiquement entre fournisseurs (Anthropic → OpenAI → local → OpenRouter), borne chaque appel dans le temps et valide chaque sortie par schéma — une réponse non conforme est rejetée, jamais persistée silencieusement. Sans fournisseur configuré, la fonctionnalité disparaît de l'interface au lieu de simuler.
- Jamais de donnée inventée : quand une information manque, la plateforme affiche un état vide honnête ou un statut différé explicite — jamais un succès simulé ni du remplissage. Barèmes, taxonomies et indices de zone sont des données versionnées, pas des constantes cachées.
- Validation de paiement idempotente: les flips de statut sont atomiques — une demande de souscription ne se valide qu'une seule fois, même sous double-clic ; une extension d'abonnement appliquée deux fois est structurellement impossible.
2. Traçabilité et gouvernance
- Journal d'audit hash-chaîné: toute mutation métier (inscription, amendement de pilier, validation de paiement…) écrit une ligne chaînée par empreinte à la précédente, dans la même transaction que la mutation — l'historique ne se réécrit pas, toute altération a posteriori est détectable.
- Noyau de marque sous contrôle humain: chaque révision de pilier est versionnée et chaînée ; l'IA propose des brouillons marqués « à valider », l'humain dispose — aucun automatisme n'écrit le noyau.
- Décisions d'architecture tracées : chaque choix structurant de la plateforme est documenté, numéroté et daté dans le dépôt de décisions — contexte, alternatives écartées, conséquences.
- Isolation default-deny : le cloisonnement par espace client est vérifié à chaque requête ; aucune donnée métier ne circule entre clients.
3. Sécurité
| Surface | Mécanisme |
|---|---|
| Transport | TLS 1.2+ partout (certificats Let's Encrypt) |
| Mots de passe | Hachage bcrypt 12 rounds — jamais stockés en clair |
| Sessions | JWT signés, cookies httpOnly + secure |
| Secrets système | Variables d'environnement exclusivement — jamais en base, jamais dans le dépôt |
| Paiements | Aucune donnée carte ni credential mobile money — règlement de gré à gré, seule une référence courte est journalisée |
| Accès | Contrôle par rôle et par espace client à chaque requête (middleware) |
4. Continuité et réversibilité
- CI bloquante : vérification des types, suite de tests automatisés, validation du schéma de données et build complet doivent être verts avant toute mise en production — pas de « rouge toléré ».
- Schéma de données versionné, appliqué automatiquement au déploiement ; toute opération sensible (migration de données, bascule de version) est précédée d'une sauvegarde complète.
- Réversibilité client : export du patrimoine en format ouvert, version imprimable des livrables depuis le Cockpit, fenêtre de portabilité de 90 jours post-contrat — aucune rétention en otage (CGV art. 7).
5. Conformité
RGPD / Convention de Malabo / cadres nationaux : voir le DPA (classes de données, non-entraînement des LLM, sous-traitants, violations) et la politique de confidentialité. Engagements de délais : SLA. Cadre contractuel : CGV · CGU.
6. Contact due diligence
Dossier de due diligence détaillé (architecture, registre des traitements, attestations fournisseurs) sur demande raisonnable : bonjour@upgraders.pro.