Sécurité, données & conformité
KIROHQ traite des flux métiers sensibles. Notre cadre s'appuie sur des référentiels publics (CNIL, ANSSI, ISO 27001, NIS 2, IA Act) : accès limités, données cloisonnées, validation humaine sur les étapes sensibles, journalisation utile et procédure d'incident documentée.
Documents associés : politique de confidentialité · accord de traitement (DPA) · informations légales.
La sécurité chez KIROHQ s'appuie sur des référentiels publics reconnus et des principes simples : minimiser la surface, contrôler les accès, journaliser ce qui compte, assurer la continuité, et placer la validation humaine au cœur des actions sensibles.
Les mesures sont calibrées au risque et à la sensibilité des données traitées (article 32 RGPD).
Authentification forte, MFA recommandée, gestion fine des habilitations, principe du moindre privilège, revue régulière des accès, journalisation des actions sensibles.
TLS 1.2+ en transit, chiffrement au repos pour les données sensibles, gestion des clés selon les bonnes pratiques, isolation des secrets.
Séparation des environnements (production, recette, développement) et des données par client. Réseaux segmentés, accès administratifs restreints.
Sauvegardes régulières, redondance, supervision continue, plans de continuité (PCA) et de reprise (PRA), tests périodiques.
Veille, correctifs, scans automatisés, revue de dépendances, tests d'intrusion périodiques sur les composants exposés.
Journalisation horodatée des accès et événements sensibles, supervision et alerting, durée de conservation proportionnée.
Postes administratifs durcis, chiffrement disque, antivirus/EDR, mises à jour managées, verrouillage automatique.
Revues de code, contrôles de sécurité automatisés, gestion des secrets hors code source, déploiements traçés et réversibles.
Ce qui entre, ce qui est traité, ce qui est conservé, ce qui est tracé : tout est lisible par une direction, une équipe métier ou un référent sécurité.
Selon le cas d'usage : emails, documents, notes, formulaires, champs métier ou données nécessaires au flux concerné. Le périmètre est explicite et contractualisé.
Classification, extraction, résumé, priorisation ou mise à jour selon les règles convenues. Aucune donnée client n'est utilisée pour entraîner des modèles tiers sans consentement écrit.
Actions importantes, validations humaines, états utiles au suivi, et journaux techniques pertinents — calibrés selon le périmètre et le niveau de sécurité retenu.
Aux points sensibles, l'humain garde la main : approbation avant action, traitement des cas ambigus, arrêt possible. Les décisions restent lisibles dans le suivi.
Les composants d'intelligence artificielle intégrés aux services KIROHQ sont déployés conformément au règlement (UE) 2024/1689. Leur finalité, leurs limites, les données d'entraînement éventuelles et les mesures de supervision humaine sont documentées.
Les sorties générées par IA sont identifiables et soumises à une revue humaine pour les usages à valeur juridique, contractuelle, financière ou opérationnelle critique.
KIROHQ privilégie les modèles permettant un hébergement européen, une option de non-réutilisation des prompts et des sorties pour l'entraînement, et une politique de conservation alignée sur les exigences de nos clients. Les options « Private AI » permettent un cloisonnement renforcé selon le périmètre.
KIROHQ sélectionne ses sous-traitants techniques pour leur niveau de sécurité, leur conformité RGPD et leur localisation, en privilégiant l'Union européenne. Chaque sous-traitant est encadré par un contrat conforme à l'article 28 du RGPD imposant des obligations équivalentes en matière de protection des données et de sécurité.
Les principaux sous-traitants couvrent : hébergement cloud, e-mail professionnel, outils collaboratifs, CRM, signature électronique, observabilité, fournisseurs de modèles de langage et de traitement vocal. La liste à jour est communiquée sur demande à contact@kirohq.com. Toute évolution substantielle est notifiée au Client conformément à l'accord de traitement des données.
En cas de violation de données affectant les données traitées pour le compte du Client, KIROHQ notifie sans retard injustifié, dans un délai compatible avec la notification CNIL à 72 heures (art. 33 RGPD) et, le cas échéant, l'information des personnes concernées (art. 34).
La notification précise la nature de l'incident, les catégories et volumes concernés, les conséquences probables, les mesures prises et le point de contact.
KIROHQ encourage les chercheurs en sécurité à signaler de bonne foi toute vulnérabilité affectant nos services. Merci de nous contacter à contact@kirohq.com en précisant : la description de la vulnérabilité, les étapes de reproduction, l'impact potentiel et, si possible, une preuve de concept non destructive.
Nous nous engageons à : accuser réception sous 5 jours ouvrés, qualifier le rapport, vous tenir informé de l'avancement, ne pas engager de poursuites contre les chercheurs respectant une démarche éthique (pas d'exploitation, pas d'exfiltration, pas de dégradation, pas de divulgation publique avant correction). Merci de nous laisser un délai raisonnable pour corriger avant toute divulgation.
Le bon niveau dépend du périmètre, de la sensibilité des données, des outils concernés et des contraintes internes de votre organisation.
| Point de contrôle | Base | Renforcé | Environnement dédié |
|---|---|---|---|
| Accès | Profils et droits cadrés, MFA recommandée | MFA imposée, restrictions IP, journalisation étendue | Cadre isolé, intégration SSO/IdP du client |
| Conservation | Règles standard documentées | Durées et exceptions ajustées par flux | Politique adaptée à l'environnement retenu |
| Validation humaine | Sur les étapes sensibles | Validation systématique sur les actions désignées | Circuit d'approbation dédié et auditable |
| Hébergement | Cloud UE standard KIROHQ | Région dédiée, options de chiffrement renforcé | Cloud privé ou environnement dédié selon faisabilité |
| Modèles IA | Modèles UE, opt-out d'entraînement | Modèles avec rétention courte, prompts cloisonnés | Ki Private AI : déploiement isolé, pas de partage |
Pour aligner les pratiques avec des sources reconnues et vérifiables.
Cadre RGPD, droits des personnes, points de vigilance sur l'IA et la cybersécurité.
Guide CNIL IARecommandations cybersécurité, panorama des menaces et guides pratiques.
cyber.gouv.frLignes directrices RGPD, IA Act et NIS 2 pour la conformité européenne.
edpb.europa.euExpliquez-nous vos contraintes de données, vos exigences d'accès et votre niveau d'attente côté sécurité. On vous dira si le cadre KIROHQ convient à votre organisation et à quelles conditions.