En bref. Astrolium chiffre chaque octet de vos données au repos avec AES-256 et en transit avec TLS 1.3. Les mots de passe sont hachés avec Argon2id et ne sont jamais stockés en clair. L'authentification à deux facteurs est disponible sur tous les plans, y compris le plan gratuit. Les serveurs sont à Francfort avec un réplica à Dublin. Nous n'entraînons aucun modèle d'IA sur vos thèmes. Consultez la politique de confidentialité pour les données que nous collectons, les conditions d'utilisation pour le cadre légal, et la page de statut pour la disponibilité en temps réel.
1. Chiffrement
- Au repos — Toutes les données clients sont chiffrées au niveau du volume avec AES-256. Les sauvegardes de la base de données sont chiffrées indépendamment avec des clés distinctes, renouvelées tous les 90 jours.
- En transit — Chaque connexion à Astrolium utilise TLS 1.3 avec préchargement HSTS. Nous n'acceptons pas TLS 1.0 ni 1.1 ; TLS 1.2 est rejeté pour les nouvelles sessions depuis janvier 2026.
- Sauvegardes — Sauvegardes chiffrées quotidiennes, conservées 30 jours, stockées dans une région distincte (Dublin) de la région principale (Francfort). Au-delà de 30 jours, elles sont supprimées de façon permanente et vérifiable.
2. Authentification
- Mots de passe — Hachés avec Argon2id configuré au coût recommandé par l'OWASP (mémoire : 64 Mio, itérations : 3, parallélisme : 4). Nous ne voyons jamais votre mot de passe en clair, et notre base de données non plus. Une fuite du dump de la table utilisateurs ne contiendrait que des hashs.
- Authentification à deux facteurs — Disponible sur tous les plans : Free, Pro, Adept et Master. Nous prenons en charge les applications TOTP (Authy, 1Password, Google Authenticator) et les clés de sécurité matérielles (WebAuthn).
- Cookies de session — HttpOnly, Secure, SameSite=Lax, renouvelés à chaque changement de privilège. Les sessions expirent après 30 jours d'inactivité.
- SSO (Google Workspace, Microsoft 365, Okta) disponible sur le plan Master.
3. Infrastructure
- Le frontend marketing et le runtime edge sont hébergés sur Vercel. Le backend produit et l'ensemble des données clients s'exécutent sur Hetzner Cloud dans l'UE, en 2 régions (Francfort en primaire, Dublin en réplica).
- L'application est protégée par Cloudflare contre les attaques DDoS et pour la mise en cache CDN des ressources statiques uniquement — aucun corps de requête n'est stocké sur le réseau edge de Cloudflare.
- Le service d'éphémérides tourne dans des conteneurs de 1 vCPU, avec 2 réplicas par région. Consultez l'article sur le service d'éphémérides pour les détails techniques.
- Notre objectif est 99,9 % de disponibilité ; le réel d'avril 2026 est de 99,96 %. L'état en temps réel est disponible sur la page de statut.
4. Conformité
- RGPD — Astrolium applique des protections équivalentes au RGPD à l'échelle mondiale, parce que c'est plus simple et parce que nous estimons que c'est juste. Lisez la politique de confidentialité pour connaître vos droits et la façon de les exercer.
- SOC 2 Type II — Audit en cours ; date d'attestation visée au T3 2026. Mises à jour sur la feuille de route.
- Test d'intrusion — Test d'intrusion annuel par un tiers indépendant. Le rapport 2026 est résumé ci-dessous ; le rapport complet est disponible sous NDA sur demande pour les clients enterprise.
- Sous-traitants — Sous-traitants nommés uniquement : Vercel (hébergement frontend), Hetzner (hébergement backend et données, UE), Stripe (paiements), Postmark (e-mail transactionnel), OpenRouter (inférence IA, modèles Google Gemini) et Cloudflare (CDN/DNS). Nous n'ajoutons aucun sous-traitant sans mettre à jour la politique de confidentialité au préalable.
5. Signalement de vulnérabilités
Vous avez découvert un problème de sécurité ? Écrivez à security@astrolium.com. Nous répondons dans les 24 heures, accusons réception dans les 72 heures et visons à livrer des correctifs dans les 7 jours pour les problèmes de sévérité élevée. Nous versons des primes pour les rapports valides — fourchettes actuelles :
- Critique (prise de contrôle de compte, exécution de code côté serveur) : 1 000 $–5 000 $
- Élevé (contournement d'authentification, exposition de données sensibles) : 500 $–2 000 $
- Moyen (XSS, CSRF, IDOR) : 100 $–500 $
- Faible (divulgation d'informations, contournement de limite de taux) : jusqu'à 100 $
Nous ne gérons pas de programme public de bug bounty ; les signalements se font par e-mail. Nous n'engagerons pas de poursuites judiciaires contre les chercheurs qui agissent de bonne foi et respectent les principes standard de divulgation responsable.
6. Propriété et portabilité des données
Vos données vous appartiennent. Depuis les paramètres de votre compte :
- Exporter tous les thèmes en une seule archive JSON en 1 clic
- Exporter les thèmes individuellement en PDF, PNG ou SVG avec métadonnées
- Supprimer votre compte définitivement dans un délai de 30 jours (sauvegardes incluses)
- Corriger toute donnée qu'Astrolium détient à votre sujet
Astrolium ne vous enferme pas. Le format d'export est documenté et lisible par l'humain.
7. Intelligence artificielle et apprentissage automatique
Astrolium n'entraîne aucun modèle d'IA sur vos thèmes, votre liste de clients, vos notes ni vos interprétations. Les fonctionnalités assistées par IA utilisent des modèles Google Gemini accessibles via OpenRouter, qui reçoit uniquement le thème sur lequel vous travaillez au moment de l'inférence. Vos données de thème ne servent jamais à entraîner un quelconque modèle. L'inférence est sans état de notre côté : pas de journalisation, pas de mise en cache des entrées, pas d'entraînement.
8. Incidents passés
La page de statut liste tous les incidents des 90 derniers jours avec un postmortem pour tout événement dépassant 30 minutes. À la date de cette page, aucun incident n'a impliqué d'accès non autorisé aux données d'utilisateurs. Si un tel cas devait survenir, nous publierions le postmortem ici et enverrions un e-mail à chaque utilisateur concerné dans les 72 heures suivant la découverte — bien en amont du délai de notification de violation du RGPD.
Pour notre posture d'ingénierie globale, consultez l'article sur le service d'éphémérides. Pour le cadre légal, voir confidentialité et conditions. Pour la disponibilité, consultez statut. Pour toute autre question, security@astrolium.com.