📞06 63 97 18 70🌹Période d'essai 14 jours — sans carte bancaireJ'en profite →
Sécurité & hébergement

Vos données restent en Union Européenne.

Rosa traite des données sensibles (clients, contrats, transcripts d'appels). Tout est hébergé en France (Francfort). Aucun transfert hors UE sans Clauses Contractuelles Types (CCT) conformes au RGPD.

🔀 Routing des données par service

Détail de chaque brique technique, sa localisation géographique et son rôle dans le traitement des données. Mis à jour à chaque évolution d'architecture.

ServiceRôleLocalisationStatut
Supabase (base de données)
Région Frankfurt (eu-central-1). Chiffrement at-rest AES-256. RGPD-compliant par défaut.
Stockage transcripts, clients, contrats, notes, rappelsEU✅ Conforme
Vercel (hébergement app)
Région fra1 (Frankfurt) pour les functions serverless. Edge global mais traffic France routé EU.
Next.js app + edge functionsEU✅ Conforme
Twilio (téléphonie)
Région IE1 (Ireland). Numéros FR avec routing local. CCT signées dans le contrat Twilio EU.
Numéros français + routing voix entrantsEU✅ Conforme
Vapi (orchestration vocale)
Vapi route les appels EU sur leurs serveurs européens. Pour le LLM, on a configuré Vapi pour utiliser Claude via AWS Bedrock eu-central-1 (Francfort).
Gestion de l'appel temps réel (STT, LLM, TTS)EU/US⚙️ Configuré
Anthropic (Claude)
Accès via AWS Bedrock région eu-central-1 (Francfort). Aucune donnée stockée par Anthropic. AWS DPA + CCT signés.
LLM pour la conversation RosaEU✅ Conforme
Deepgram (Speech-to-Text)
Deepgram propose un endpoint EU (Ireland). Vapi utilise cet endpoint pour les calls FR. CCT en place pour le fallback US.
Transcription de la parole client → texteEU/US📜 CCT signées
ElevenLabs (Text-to-Speech)
Cloudflare edge mondial avec routing EU pour les requêtes France. Pas de stockage du contenu généré côté ElevenLabs.
Voix de Rosa (synthèse vocale)EU/US📜 CCT signées
Resend (emails transactionnels)
Région EU activée. Données email chiffrées en transit (TLS) et au repos.
Envoi des récaps email, alertes quotaEU✅ Conforme
Stripe (paiements)
Stripe Ireland. Données bancaires PCI-DSS niveau 1. Aucun stockage CB côté Rosa (tokens uniquement).
Gestion abonnement Rosa (NON liée aux clients du courtier)EU✅ Conforme

🎙️ Politique audio — zéro stockage, jamais

Aucun fichier audio n'est conservé. Ni chez Rosa, ni chez Twilio, ni chez Vapi. La transcription est faite en temps réel pendant l'appel — l'audio est traité dans le flux puis disparaît. Seul le transcript texte est sauvegardé.

  1. Pendant l'appel — l'audio transite par Twilio (téléphonie) puis Vapi (orchestration vocale). Aucun stockage : c'est un flux temps réel, comme un téléphone classique.
  2. Transcription temps réel — Deepgram (endpoint EU Ireland) transcrit l'audio à la volée pendant que l'appel a lieu. Seul le texte sort de ce traitement.
  3. Enregistrement Vapi désactivé — la fonction recordingEnabled est mise à false sur tous nos assistants. Vapi ne sauvegarde donc aucun fichier audio.
  4. Enregistrement Twilio désactivé — nous n'activons pas l'option Record sur nos numéros Twilio. Aucun WAV/MP3 n'est généré côté téléphonie.
  5. Fin d'appel — le transcript texte est sauvegardé dans la base Supabase Francfort (chiffrée AES-256). L'audio brut n'a jamais existé sous forme de fichier.
  6. Audit trail — chaque appel est tracé (date, durée, transcript, conformité) pour les besoins ACPR / contrôle interne. Sans audio.

Politique « transcript only » entrée en vigueur le 27 mai 2026. Avant cette date, Vapi conservait temporairement l'audio des appels pendant 7 jours pour ses propres logs. Cette conservation est désormais désactivée au niveau de chaque assistant.

🔐

Chiffrement en transit

TLS 1.3 sur toutes les communications, y compris API internes. Aucun trafic en clair.

🗄️

Chiffrement au repos

AES-256-GCM sur les tokens OAuth (CRM, Gmail, Calendar). Supabase chiffré niveau cluster.

🎙️

Audio — 0 conservation

Aucun fichier audio n'est généré. Transcription en temps réel pendant l'appel, seul le texte est conservé. Enregistrement désactivé chez Vapi ET chez Twilio.

📝

Transcripts — 12 mois

Transcripts texte conservés 12 mois pour les besoins métier (suivi dossier, audit ACPR). Configurable par cabinet.

🗑️

Droit à l'effacement

Suppression complète d'un compte ou d'un appel client en 1 clic. Suppression individuelle aussi possible sur demande.

🚨

Notification de violation

72h à la CNIL en cas de fuite avérée (RGPD art. 33). Procédure documentée et testée.

📜

DPA + CCT signés

Data Processing Agreement et Clauses Contractuelles Types signés avec chaque sous-traitant. Disponibles sur demande.

📋

Audit trail complet

Chaque appel est tracé (timestamp, durée, transcript, conformité). Export possible pour contrôle ACPR.

Délégué à la protection des données

Pour toute question RGPD, exercice de vos droits, ou demande d'accès aux DPA/CCT :

dpo@rosa-ia.com

Réponse sous 30 jours maximum (RGPD art. 12). En général sous 48h ouvrées.