Sécurité
Conçu pour lesecret professionnel.
La sécurité n'est pas négociable quand on travaille avec le droit.
Ce que vous avez le droit d'attendre d'un outil juridique IA sérieux, et ce qu'on applique techniquement sur Consia.
Paris
Traitement IA 100 % en France
Notre modèle d'IA est exécuté sur des serveurs situés à Paris (France), chez un fournisseur certifié ISO 27001 et SOC 2 Type II. Vos questions ne quittent jamais le sol français pour le traitement IA.
AES-256-GCM
Chiffrement avant stockage
Vos conversations sont chiffrées côté application avec un algorithme standard banques / gouvernements, avant même d'arriver dans notre base de données. Sans la clé, les données sont binaires illisibles.
Zéro rétention
Le fournisseur IA n'entraîne rien
Notre fournisseur IA est configuré en « zero data retention ». Vos questions et réponses ne sont ni stockées, ni loggées, ni utilisées pour entraîner les modèles.
Vous seul
Personne ne lit vos chats
Aucun outil interne chez Consia ne permet de consulter vos conversations. Nos sous-traitants d'infrastructure ne voient que des blobs chiffrés illisibles.
Conçu pour ne jamais trahir le secret professionnel.
Le secret professionnel de l'avocat est un impératif absolu (article 66-5 loi 1971, article 226-13 Code pénal, RIN). Voici comment il est protégé techniquement sur Consia.
Aucun upload de document client
Consia est conçu pour des requêtes en langage naturel. Le service n'accepte ni pièces de dossier, ni correspondances, ni contrats — afin d'éviter toute violation involontaire du secret professionnel.
Référence : CGU art. 5
Traitement IA intégralement en France
Le traitement IA est effectué exclusivement à Paris (France), sur des serveurs certifiés ISO 27001. Aucun transfert hors UE pour le traitement de vos prompts, sans exception.
Référence : Architecture interne
Pas de données d'entraînement
Notre fournisseur IA est contractuellement engagé à ne jamais utiliser vos questions ni les réponses générées pour entraîner ses modèles. Zero data retention activé.
Référence : Accord contractuel fournisseur IA
Cloisonnement strict par utilisateur
Chaque conversation est isolée par utilisateur en base. Les requêtes API vérifient systématiquement que seul le propriétaire peut accéder à ses données. Cascade delete automatique à la suppression du compte.
Référence : Architecture base de données
L'avocat reste seul juge
Consia vous invite à ne pas soumettre d'informations identifiantes dans vos prompts. Les CGU rappellent que l'avocat utilisateur demeure seul responsable du respect de son secret professionnel.
Référence : CGU art. 5
Où vivent vos données, exactement.
Chaque type de donnée a une localisation précise, documentée, et régie par un accord de sous-traitance (DPA) conforme au RGPD.
France
Paris · Serveurs certifiés ISO 27001
- Traitement IA (modèle hébergé en France)
Allemagne
Frankfurt · Zone UE · ISO 27001 & SOC 2
- Base de données chiffrée (PostgreSQL)
- Supervision d'erreurs (PII scrubbing)
Union européenne
Instance UE dédiée · Instance européenne dédiée · ISO 27001
- Authentification & sessions sécurisées
Réseau edge UE
Points de présence européens · Edge network UE · ISO 27001 & SOC 2
- Hébergement applicatif
International
SCCs + Data Privacy Framework · Transferts encadrés art. 46 RGPD
- Paiement (Stripe)
Aucune donnée n'est hébergée sur un serveur situé hors de l'Union européenne pour le traitement et le stockage. Les transferts vers les États-Unis (Vercel, Stripe) sont encadrés par les Clauses Contractuelles Types et la certification Data Privacy Framework.
Six termes techniques, six explications simples.
Si vous n'êtes pas expert en sécurité informatique, cette section est faite pour vous. Chaque terme technique de Consia est traduit en langage accessible.
AES-256-GCM
Technique
Chiffrement symétrique authentifié, clé 256 bits, mode Galois/Counter pour intégrité.
En clair
Un coffre-fort numérique. Vos messages deviennent des blocs binaires indéchiffrables sans la bonne clé. C'est l'algorithme utilisé par les banques, les gouvernements et l'armée. Forcer sans la clé prendrait des milliards d'années.
TLS 1.3 + HSTS
Technique
Transport Layer Security 1.3 obligatoire, HSTS 1 an avec preload et includeSubDomains.
En clair
Le « tuyau sécurisé » entre votre navigateur et nos serveurs. Personne ne peut écouter en route, même sur un Wi-Fi public. Votre navigateur refuse de se connecter autrement qu'en HTTPS chiffré.
KMS (Key Management)
Technique
La clé de chiffrement est stockée dans un KMS (Key Management Service) dédié, physiquement séparé de la base de données, chez un prestataire distinct.
En clair
Un coffre-fort séparé qui garde les clés de chiffrement. Même si quelqu'un met la main sur la base de données, il n'aurait que des blobs chiffrés inutilisables : la clé est dans un autre coffre, chez un autre prestataire.
Zero Data Retention
Technique
Configuration contractuelle Google Cloud CDPA : pas de log prompt/réponse, pas d'entraînement.
En clair
Accord avec Google : vos questions sont oubliées instantanément après que l'IA a répondu. Aucune sauvegarde, aucun stockage, aucun entraînement des modèles sur vos données. Une ordonnance judiciaire adressée à Google ne donnerait rien — il n'y a rien à donner.
Cascade Delete
Technique
Clés étrangères PostgreSQL avec ON DELETE CASCADE sur toutes les tables enfant.
En clair
Quand vous supprimez votre compte, toutes vos données (conversations, documents, métadonnées) disparaissent automatiquement en chaîne. Pas d'orphelins, pas d'oubli, pas de fichier qui traîne dans un coin de la base.
PII Scrubbing
Technique
Filtrage applicatif des emails, IP, cookies, headers auth et payloads avant envoi à Sentry.
En clair
Avant qu'un rapport d'erreur technique ne quitte notre serveur pour la supervision, on retire automatiquement toutes les informations personnelles identifiantes (email, IP, identifiants de session). Seuls des identifiants techniques anonymes subsistent.
Le CLOUD Act n'a aucune prise sur votre contenu.
Parlons de l'éléphant dans la pièce. Certains de nos sous-traitants sont des sociétés de droit américain. Voici pourquoi, techniquement, cela ne change rien pour vos données.
C'est quoi, au juste ?
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) est une loi américaine qui permet au gouvernement US de demander à une société américaine les données qu'elle stocke — y compris sur des serveurs situés hors des États-Unis.
Certains de nos partenaires d'infrastructure sont des sociétés incorporées aux États-Unis. Ils hébergent toutefois leurs services en UE pour Consia, et ont signé des accords de sous-traitance (DPA) conformes au RGPD.
Question légitime : et si un jour le gouvernement US leur demandait l'accès à vos conversations ?
Ce que le CLOUD Act peut obtenir de Consia
Rien d'exploitable.
Concrètement, voici ce qu'un sous-traitant US pourrait être contraint de transmettre s'il était contraint par la justice américaine :
- Chez notre fournisseur IA : rien n'est stocké. Zero data retention activé contractuellement. Pas de log, pas de sauvegarde, pas de trace. Il n'y a littéralement rien à donner.
- Chez notre hébergeur de base de données : uniquement des blocs binaires chiffrés en AES-256-GCM. La clé de déchiffrement n'est pas là — elle est chez un autre prestataire, physiquement séparée. Un juge qui lirait ces blobs ne verrait que du bruit.
- Chez notre hébergeur applicatif (KMS) : la clé de chiffrement. Mais sans les blocs, elle ne sert à rien. Les deux informations sont chez deux prestataires différents, dans des infrastructures physiquement séparées.
- Chez notre fournisseur de supervision : des logs techniques scrubbed — aucun email, aucune IP, aucun contenu de conversation. Uniquement des identifiants techniques anonymes.
La transparence sur les accès, sans fioriture.
Tableau transparent de qui peut accéder à vos données en clair, pour chaque acteur du système. Réponse courte : vous, et personne d'autre.
| Acteur | Contexte | Accès en clair |
|---|---|---|
Vous-même Via votre compte authentifié | Via votre compte authentifié | Oui C'est votre contenu. |
L'équipe Consia Développeurs, support, direction | Développeurs, support, direction | Non Aucun outil interne ne permet de lire vos conversations. |
Hébergeur base de données Sous-traitant infrastructure UE | Sous-traitant infrastructure UE | Non Ne voit que des blocs chiffrés AES-256-GCM. |
Hébergeur applicatif (KMS) Sous-traitant edge + coffre clés | Sous-traitant edge + coffre clés | Non N'a que la clé de chiffrement, pas les données chiffrées. |
Fournisseur IA Traitement IA uniquement | Traitement IA uniquement | Non Traite le prompt puis efface immédiatement. Zéro rétention. |
Gouvernement US (CLOUD Act) Ordonnance judiciaire à un partenaire US | Ordonnance judiciaire à un partenaire US | Non Blocs chiffrés inexploitables + rien à donner côté Google. |
Autorités françaises Réquisition judiciaire / CNIL | Réquisition judiciaire / CNIL | Cadre légal Procédure légale française à respecter. Nous coopérons dans le strict cadre légal, avec contestation si nécessaire. |
Votre compte, votre forteresse.
L'accès à votre compte est la porte d'entrée de vos données. On l'a pensée comme un coffre-fort multi-niveaux.
Authentification déléguée certifiée
L'authentification est gérée par un prestataire certifié ISO 27001 et SOC 2 Type II, sur une instance européenne dédiée à Consia. Les mots de passe sont stockés en hash bcrypt salé, jamais en clair.
Authentification à deux facteurs (2FA)
Disponible sur demande : TOTP (Google Authenticator, 1Password, Authy…) + codes de secours. Nous recommandons l'activation pour les cabinets traitant des dossiers sensibles.
Sessions sécurisées
Cookies HttpOnly, Secure, SameSite. Expiration automatique après 30 jours d'inactivité. Déconnexion forcée sur tous les appareils après changement de mot de passe.
Anti-abus multi-niveaux
Rate limiting par IP (20 requêtes IA / heure) et par utilisateur (60 requêtes IA / heure). Détection et blocage des e-mails jetables au signup. Protection CSRF via authorizedParties.
Vos droits, respectés sans friction.
Tous les droits que vous garantit le Règlement Général sur la Protection des Données (RGPD) sont implémentés et accessibles en un clic depuis votre compte.
Droit d'accès
Téléchargez l'intégralité de vos données au format JSON depuis votre espace, en un clic. Conversations, documents, paramètres, abonnement : tout est inclus.
GET /api/account/export
Droit à l'effacement
Supprimez votre compte et toutes les données associées en un clic. Cascade delete en base, annulation automatique de l'abonnement Stripe, suppression du compte Clerk.
POST /api/account/delete
Droit à la portabilité
L'export JSON est structuré pour être facilement réutilisable ailleurs. Vos conversations ne sont pas prisonnières de Consia.
GET /api/account/export
Droit de rectification
Modifiez vos informations de profil (nom, prénom) directement depuis vos paramètres. Pour la rectification de l'email, contactez notre support (procédure interne).
Paramètres · Compte
Droit d'opposition
Vous pouvez à tout moment vous opposer au traitement de vos données pour les finalités non essentielles au service. Contactez-nous à contact@consia.fr.
contact@consia.fr
Notification de violation
En cas d'incident de sécurité affectant vos données, nous nous engageons à vous notifier sans délai injustifié et au plus tard dans les 72 heures suivant la détection.
Procédure interne CNIL
Pour toute question relative au traitement de vos données, écrivez à contact@consia.fr. En cas de litige, vous pouvez également saisir la CNIL.
Conforme au Règlement européen sur l'IA.
Le Règlement (UE) 2024/1689 du 13 juin 2024 sur l'intelligence artificielle (AI Act) encadre l'usage de l'IA en Europe. Voici notre positionnement, nos obligations et la manière concrète dont nous y répondons.
Art. 50 + Considérant 61
Application 2 août 2026
Système d'IA à usage général, non haut risque.
Consia est un assistant d'IA à usage général au sens de l'article 50 du Règlement (UE) 2024/1689. Il n'entre pas dans la catégorie « haut risque » de l'Annexe III §8(a), qui ne vise que les systèmes utilisés par une autorité judiciaire ou pour son compte. L'avocat exerçant en libéral n'est pas concerné par cette qualification (cf. considérant 61).
Art. 50 §1
Application 2 août 2026
Vous savez toujours que vous parlez à une IA.
Conformément à l'article 50 §1, l'interface de Consia indique clairement et dès la première interaction que les réponses sont générées par un système d'intelligence artificielle, peuvent comporter des erreurs, et doivent être systématiquement vérifiées par l'avocat dans les Sources officielles affichées à côté de chaque réponse.
Art. 4 — AI literacy
Applicable depuis le 2 février 2025
Programme de maîtrise de l'IA pour nos utilisateurs.
L'article 4 impose aux fournisseurs et déployeurs d'IA d'assurer un niveau suffisant de maîtrise de l'IA chez leurs équipes et leurs utilisateurs. Notre bibliothèque de ressources publique (anatomie d'une bonne question, vérification des sources, prompt engineering pour avocats, déontologie CNB et IA) constitue notre programme d'AI literacy.
Art. 50 §4
Diffusion publique d'un contenu généré
L'avocat reste responsable éditorial.
Lorsqu'il utilise un contenu généré par Consia dans une publication destinée au public (mémo, article, communication), l'avocat est invité, soit à mentionner la part IA, soit à valider et endosser l'intégralité du contenu sous sa responsabilité éditoriale — comme il le fait pour tout document professionnel.
Art. 53 + Annexe XI
Diligence du déployeur GPAI
Notre fournisseur GPAI documente son modèle.
Notre modèle d'IA sous-jacent (Vertex AI Gemini) est fourni par Google, qualifié de fournisseur de modèle d'IA à usage général (GPAI) au sens de l'article 53. Google publie la documentation technique requise par l'Annexe XI. Nous tenons cette documentation à disposition des cabinets sur demande, dans le cadre de nos obligations de diligence en tant que déployeur.
Art. 50 §2
Marquage des contenus de synthèse
Sortie identifiable comme générée par IA.
Les réponses générées par Consia sont systématiquement présentées dans une interface de chat clairement identifiée comme un assistant IA, distincte des cartes de Sources officielles (Légifrance, Judilibre) dont les métadonnées — article, jurisprudence, date, juridiction — proviennent directement des API officielles et ne sont jamais générées par l'intelligence artificielle.
Article 5 — Pratiques interdites
Aucun usage de Consia ne tombe dans les pratiques d'IA interdites.
L'article 5 du Règlement liste les usages d'IA strictement prohibés en Europe depuis le 2 février 2025. Consia, en tant qu'assistant de recherche juridique, n'entre dans aucune de ces catégories — et nos CGU interdisent contractuellement aux Utilisateurs d'en détourner l'usage à ces fins.
- Manipulation cognitive ou comportementale (art. 5 §1 a)
- Exploitation de vulnérabilités (art. 5 §1 b)
- Notation sociale par les pouvoirs publics (art. 5 §1 c)
- Évaluation prédictive du risque criminel (art. 5 §1 d)
- Catégorisation biométrique sensible (art. 5 §1 g)
- Reconnaissance des émotions au travail ou à l'école (art. 5 §1 f)
Position adoptée de bonne foi. Notre qualification de Consia comme système d'IA à usage général, non haut risque, est adoptée de bonne foi à la lumière du considérant 61 du Règlement (UE) 2024/1689. Cette lecture est susceptible d'évoluer selon les guidelines à venir de l'Office de l'IA de la Commission européenne, les recommandations de la CNIL et les positions des autorités françaises compétentes.
Revue annuelle. Consia s'engage à réexaminer ses obligations au titre du Règlement IA au moins une fois par an, ou plus tôt en cas de publication d'une guideline contraignante par l'Office de l'IA, et à mettre à jour la présente page ainsi que les CGU en conséquence.
Signalement. Tout Utilisateur, juriste, DPO ou autorité qui identifierait une incohérence ou une lacune dans notre lecture du Règlement est invité à nous écrire à contact@consia.fr. Chaque signalement est étudié et donne lieu, le cas échéant, à une mise à jour publique de notre positionnement.
Les sanctions encourues en cas de manquement sont définies à l'article 99 du Règlement (jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites de l'article 5).
Des partenaires avec des standards mondiaux.
Consia s'appuie sur une infrastructure de partenaires triés sur le volet pour leur niveau de sécurité. Tous ont signé un accord de traitement (DPA) conforme au RGPD.
| Partenaire | Rôle | Localisation | Certifications |
|---|---|---|---|
Fournisseur IA Traitement IA (modèle de langage) 🇫🇷 Paris (France) | Traitement IA (modèle de langage) | 🇫🇷 Paris (France) | ISO 27001SOC 2 Type IIISO 27701 |
Hébergeur base de données Base de données PostgreSQL chiffrée 🇩🇪 Frankfurt (Allemagne) | Base de données PostgreSQL chiffrée | 🇩🇪 Frankfurt (Allemagne) | ISO 27001SOC 2 Type II |
Hébergeur applicatif Serveur web + KMS (clé de chiffrement) 🇪🇺 Réseau edge européen | Serveur web + KMS (clé de chiffrement) | 🇪🇺 Réseau edge européen | ISO 27001SOC 2 Type IIDPF |
Prestataire authentification Gestion des comptes et sessions 🇪🇺 Instance européenne dédiée | Gestion des comptes et sessions | 🇪🇺 Instance européenne dédiée | ISO 27001SOC 2 Type II |
Stripe Paiement sécurisé 🌍 Multirégion (SCCs + DPF) | Paiement sécurisé | 🌍 Multirégion (SCCs + DPF) | PCI DSS Level 1ISO 27001SOC 2 Type II |
Prestataire supervision Monitoring d'erreurs (PII scrubbing) 🇩🇪 Frankfurt (Allemagne) | Monitoring d'erreurs (PII scrubbing) | 🇩🇪 Frankfurt (Allemagne) | SOC 2 Type IIISO 27001 |
Liste et rôles détaillés dans notre Avenant Traitement des Données (DPA), qui contient la liste nominative complète de nos sous-traitants.
Ce que nous préparons.
La sécurité n'est jamais un état, c'est un processus. Voici ce sur quoi nous travaillons pour renforcer encore Consia.
Pentest externe indépendant
Audit de sécurité par un cabinet tiers spécialisé, prévu avant la prochaine version majeure. Rapport synthétique rendu public (sans détails exploitables).
Migration KMS dédié
Passage de la clé de chiffrement applicative vers un KMS cloud managé en UE avec rotation automatique des clés.
Anonymisation automatique des prompts
Couche supplémentaire de protection : détection et remplacement automatique des données identifiantes (noms, dates, adresses) dans les questions envoyées à l'IA, avant même le traitement par Vertex AI. Le modèle ne verra que des données anonymisées — la réponse est ensuite ré-hydratée côté serveur avec les données originales, sans qu'elles ne transitent jamais par le LLM.
Envoi de fichiers sécurisé
L'analyse de documents (contrats, conclusions, décisions) par l'IA est une fonctionnalité très demandée. Nous avons des pistes d'implémentation prometteuses, mais nous choisissons de ne la mettre en ligne que lorsque nous aurons validé un niveau de sécurité et de confidentialité conforme au secret professionnel de l'avocat. Nous préférons prendre le temps de bien faire plutôt que de compromettre votre confiance.
Hébergement 100 % souverain
Options évaluées : Scaleway (France), OVH Cloud, Clever Cloud. Migration envisagée quand l'écosystème atteindra la maturité fonctionnelle nécessaire.
Une question sur la sécurité ?
DPO de cabinet, auditeur, RSSI ou simplement curieux : notre équipe répond à toutes les questions techniques ou contractuelles sous 24 h ouvrées.
Prêt à commencer ?
Vos recherches ne peuventplus attendre.
Pas encore prêt ? Recevez un article par semaine →
© 2025-2026 Consia. Tous droits réservés.