SÉCURITÉ & CONFORMITÉ

Conçu pour la souveraineté des données européennes

Chaque mémoire créée par vos agents IA reste dans l'UE. La conformité RGPD n'est pas une fonctionnalité à configurer — c'est le comportement par défaut.

🇪🇺 Hébergement EU Conforme RGPD Art. 17 DPA disponible

01 — Infrastructure

Infrastructure & Hébergement

Chaque couche de la stack est conçue avec l'isolation des données et la résidence EU dès le premier jour.

Localisation des données

Toutes les données stockées sur Supabase PostgreSQL, hébergé sur AWS eu-central-1 (Francfort, Allemagne). Les données ne quittent jamais l'UE.

Chiffrement de la base de données

Données chiffrées au repos (AES-256). TLS 1.3 en transit. Index pgvector isolé par clé API.

Sécurité API

Clés API hashées SHA-256. Les clés ne sont jamais stockées en clair. Le préfixe kv- sert uniquement à l'identification.

Réseau

API hébergée sur Railway (région EU). Cloudflare Workers pour la distribution frontend. Protection DDoS par défaut.

01b — Architecture

Architecture de sécurité

Vue de bout en bout du passage d'une requête dans Kronvex — et où les contrôles de sécurité sont appliqués à chaque couche.

CLIENT REQUEST  (HTTPS / TLS 1.3)
      │
      ▼
API LAYER       Cloudflare edge → Railway EU region
      │           DDoS protection, rate limiting
      │
      ▼
AUTH            X-API-Key header required
      │           SHA-256 hash comparison (key never stored plain)
      │           Quota check (plan limits enforced)
      │
      ▼
APPLICATION     FastAPI (Python), isolated per API key scope
      │           Tenant isolation enforced at query level
      │           Memory TTL checked before serving
      │
      ▼
pgvector DB     Supabase PostgreSQL — AWS eu-central-1 (Frankfurt, EU)
      │           AES-256 at rest · vector index scoped per key
      │           Data never leaves the EU
      │
      ▼
BACKUPS         Automated daily backups (Supabase managed)
                Point-in-time recovery · EU region only

02 — RGPD

Conformité RGPD

Une correspondance concrète des articles RGPD avec la manière dont Kronvex les implémente — sans promesses vagues.

Article	Exigence	Comment Kronvex le gère
Art. 5	Minimisation des données	Seuls le contenu et l'embedding sont stockés. Aucune donnée personnelle collectée sauf dans le contenu des mémoires.
Art. 13/14	Transparence	Politique de confidentialité sur /fr/confidentialite. DPA standard disponible sur /dpa.
Art. 15	DSAR — Droit d'accès	`GET /api/v1/agents/{id}/memories` — export complet des mémoires par utilisateur (Demande d'Accès de la Personne Concernée satisfaite via API).
Art. 17	Droit à l'effacement	`DELETE /api/v1/agents/{id}/memories` — suppression instantanée et permanente.
Art. 20	Portabilité des données	`GET /api/v1/agents/{id}/memories` — export complet via API.
Art. 25	Protection dès la conception	Hébergement EU par défaut, pas de transfert transfrontalier, TTL mémoire disponible.
Art. 28	Accord de traitement	DPA standard disponible sur kronvex.io/dpa. Contacter [email protected]
Art. 32	Mesures de sécurité	AES-256 au repos, TLS 1.3 en transit, hachage des clés API.

02b — Sous-traitants

Sous-traitants & Chaîne de données

Liste complète des sous-traitants impliqués dans la chaîne de données Kronvex, avec leur rôle, les données traitées et leur statut RGPD.

Sous-traitant	Rôle	Données traitées	Hébergement	Statut RGPD
Supabase AWS eu-central-1, Frankfurt 🇩🇪	Base de données PostgreSQL + vecteurs	Mémoires, agents, clés API hashées	UE — Francfort	DPA signé
Railway Région EU	Hébergement API	Requêtes en transit (non persistées)	UE	DPA disponible
Cloudflare Workers	CDN + frontend statique	Aucune donnée personnelle	CDN mondial	—
OpenAI US, certifié DPF	Embeddings uniquement (text-embedding-3-small)	Contenu des mémoires au moment de l'embedding	US — DPF + CCT	Certifié DPF
Resend	Email transactionnel	Adresse email uniquement	US	CCT
Stripe	Paiements	Données de facturation uniquement	US	Certifié DPF

La liste complète des sous-traitants est disponible sur demande et dans notre DPA standard.

Entité juridique européenne — CLOUD Act inapplicable

Kronvex est constitué en tant qu'entité juridique européenne. Contrairement aux fournisseurs basés aux États-Unis (Mem0, Zep, Letta), nous ne sommes pas soumis au CLOUD Act américain (18 USC § 2713) ni aux ordonnances FISA. Vos données ne peuvent pas être divulguées à des autorités non européennes, même si elles transitent temporairement par des sous-traitants certifiés DPF pour la génération d'embeddings.

03 — Cycle de vie des données

Comment les données mémoire traversent le système

De la création à la suppression, voici exactement ce qui arrive à vos données à chaque étape.

1

Mémoire créée

Contenu chiffré, embedding généré (appel API OpenAI), stocké dans Supabase EU. L'index vectoriel est limité à votre clé API.

2

Mémoire rappelée

Recherche de similarité cosinus pgvector. Pas d'appel LLM en lecture. Contenu retourné avec score de confiance.

3

Mémoire expirée

TTL atteint → suppression logique automatique. Espace disque libéré sous 24 heures.

4

Mémoire supprimée

Requête DELETE explicite → suppression physique immédiate. Irrécupérable.

Note sur OpenAI : OpenAI est appelé une fois à l'écriture pour générer le vecteur d'embedding. Le contenu est envoyé à l'API OpenAI à cette étape. Si vous devez éviter tout traitement de données par un tiers, utilisez un modèle d'embedding local et contactez-nous.

03b — Traitement des données

Traitement des données

Où vos données sont stockées, combien de temps elles sont conservées, et comment elles sont protégées — sans ambiguïté.

Où les données sont stockées

Toutes les mémoires des agents sont stockées dans Supabase PostgreSQL hébergé sur AWS eu-central-1 (Francfort, Allemagne). Aucune donnée n'est répliquée ou traitée hors de l'UE. Les embeddings sont générés via l'API OpenAI (écriture uniquement) et les vecteurs sont ensuite stockés dans la base EU.

Conservation

Les mémoires sont conservées jusqu'à suppression explicite via l'API (DELETE /api/v1/agents/{id}/memories) ou jusqu'à la suppression du compte. Un TTL optionnel peut être défini par mémoire. Lors de la suppression du compte, toutes les données associées sont définitivement effacées sous 30 jours.

Chiffrement

Au repos : AES-256 via le chiffrement géré par Supabase. En transit : TLS 1.3 imposé sur toutes les connexions entre le client, l'API et la base de données. Les clés API sont stockées sous forme de hachages SHA-256 — le texte en clair n'est jamais persisté.

Sous-traitants

OpenAI (génération d'embeddings, écriture uniquement), Supabase (base de données), Railway (hébergement API, région EU), Cloudflare (edge/CDN), Resend (email transactionnel). Liste complète disponible dans notre DPA sur demande.

04 — Gestion des clés

Sécurité des clés API

Vos clés API sont conçues pour que même Kronvex ne puisse pas les récupérer après émission.

✓

Aléatoire cryptographique Générée avec secrets.token_urlsafe(32) de la stdlib Python. 256 bits d'entropie.

✓

Hashée au repos Stockée sous forme de hash SHA-256. La clé brute vous est envoyée une fois — nous ne la revoyons jamais.

✓

Rotation à tout moment Faites pivoter votre clé à tout moment depuis le dashboard. L'ancienne clé est invalidée immédiatement.

✓

Clés à portée (bientôt) Permissions granulaires par clé — lecture seule, par agent, ou limitées dans le temps.

# How Kronvex stores your key (verifiable in our open auth.py)
import hashlib, secrets

def generate_key():
    raw = "kv-" + secrets.token_urlsafe(32)
    key_hash = hashlib.sha256(raw.encode()).hexdigest()
    return raw, key_hash  # raw sent to you once, hash stored

# We only ever compare hashes:
def verify_key(provided_key, stored_hash):
    return hashlib.sha256(provided_key.encode()).hexdigest() == stored_hash

05 — Engagements

Ce que nous ne faisons pas

Engagements explicites sur la façon dont vos données ne sont jamais mal utilisées.

✗ Nous ne vendons ni ne partageons vos données avec des tiers.
✗ Nous n'entraînons pas de modèles IA sur les mémoires de vos agents.
✗ Nous ne stockons pas les clés API en clair.
✗ Nous ne transférons pas de données hors de l'UE sans consentement explicite.
✗ Nous ne conservons pas les mémoires supprimées après la suppression.
✗ Nous n'utilisons pas de cookies à des fins de suivi — uniquement l'authentification de session.

06 — Entreprise

Conformité entreprise

Vous avez besoin de plus que la conformité standard ? Nous accompagnons les processus d'achat et juridiques pour les grandes équipes.

Besoin d'un DPA signé ?

DPA standard disponible sur kronvex.io/dpa. Contacter [email protected] pour des conditions personnalisées.

Conservation des données personnalisée ?

Politiques de conservation personnalisées, configuration TTL et options d'isolation des données sur le plan Entreprise.

Audit de sécurité ?

Revue d'architecture et audit de sécurité disponibles sur demande pour les clients Scale et Enterprise.

Guides de conformité sectoriels : Santé & RGPD Art. 9 · Fintech & DORA

Test d'intrusion : Un test d'intrusion indépendant de la stack complète Kronvex est prévu pour le T3 2026, réalisé par un cabinet de sécurité tiers. Le résumé des résultats sera partagé avec les clients Enterprise sur demande.

Prêt à déployer Kronvex dans un environnement réglementé ?

Parlons conformité, DPA et architecture personnalisée.

VOIR L'OFFRE ENTERPRISE →

07 — Divulgation responsable

Signaler une vulnérabilité

Si vous découvrez une vulnérabilité de sécurité dans Kronvex, veuillez la divulguer de manière responsable à [email protected]. Nous répondons sous 48 heures, travaillons avec vous pour comprendre la portée, et créditons les divulgations responsables publiquement (sauf si vous préférez rester anonyme).