Centre de confiance

Centre de Confiance Flowie

Conformes RGPD. Certifiée ISO 27001:2022. Hébergée en UE. 9 sous-traitants nommés sous APD et CCT signés. Données client traitées exclusivement en UE sous cloud souverain S3NS.

Demander l'APDVoir les sous-traitants

Réponse directe : Flowie est conforme au RGPD, hébergée en UE et certifiée ISO 27001:2022. Nous avons 9 sous-traitants nommés, tous couverts par des Accords de Traitement des Données et des Clauses Contractuelles Types. Notre modèle DPA est disponible en anglais et français (révision mai 2025). Les données client sont traitées exclusivement au sein de l'UE sous le cloud souverain S3NS — primaire à Paris, reprise d'activité en Belgique. Les fournisseurs d'IA ne traitent que du texte descriptif ; ils ne voient jamais les montants financiers ou les numéros de compte, et ils sont contractuellement engagés à zéro ré-entraînement. Cette page vous oriente vers les engagements spécifiques dont vous avez besoin : contrôles de sécurité, détails des sous-traitants, et procédures de notification de violation.

Reconnu par les directions financières d'entreprise

Eiffage
Stellantis Credipar
Accor
Séché Environnement
Groupe RG
Eiffage
Stellantis Credipar
Accor
Séché Environnement
Groupe RG

Validation indépendante par tiers

Certifications

ISO/IEC 27001:2022

Certifiée. Renouvellement en cours (audit de surveillance/recertification 2026). Détails complets du certificat disponibles sous NDA.

Cybervadis — Mature

Score 878 / 1000 · Moyenne sectorielle 654 (évaluation 2024-10-04)

Plateforme Agréée (PA) française

Certifiée décembre 2025 · Mandat de facturation électronique français (XP Z12-014)

Peppol BIS Billing 3.0

Conforme · Interopérabilité de facturation électronique paneuropéenne

SOC 2

Non détenue actuellement — voir FAQ

La preuve de sécurité supplémentaire — rapports de test d'intrusion, résultats d'analyse continue Detectify, et la Déclaration d'Applicabilité ISMS complète — est disponible aux prospects qualifiés sous NDA.

RGPD

Vos Données, Vos Droits

Flowie traite les données financières et d'approvisionnement B2B. Cela signifie les factures, les conditions de paiement, les identités de fournisseurs et les workflows d'approbation — des données qui portent un poids légal et fiduciaire. Nous les traitons en conséquence.

Selon le RGPD, votre organisation détient les droits sur chaque élément de donnée personnelle que Flowie traite en votre nom. Ces droits ne sont pas théoriques.

Conforme RGPD

Articles 28 (APD), 33 (violation 72 h), 34 (notification client), 15-22 (droits des personnes)

APD · EN + FR

Article 28 RGPD · révision mai 2025 · contresigné avant mise en service

DPO nommé

[email protected] · réponse sous 30 jours · questions résidence + droits des personnes

9 sous-traitants

Tous sous APD signé · hors UE sous CCT · table complète à /trust/subprocessors

Violation 72 h

RGPD Art. 33 notification autorité de contrôle · Art. 34 notification client sans délai inutile

Ce que nous collectons

  • Identité de l'utilisateur (nom, email, rôle)
  • Métadonnées de transaction (références de facturation, montants, dates)
  • Détails des fournisseurs et contreparties
  • Contenu de document téléchargé sur la plateforme
  • Journaux d'accès et comportementaux (à des fins de sécurité et audit)

Pourquoi nous le collectons

  • Exécuter les workflows d'orchestration que vous configurez
  • Livrer les notifications et approbations
  • Maintenir les pistes d'audit requises par la réglementation de facturation électronique
  • Diagnostiquer les événements de performance et de sécurité

Vos droits selon le RGPD

  • Droit d'accès (Art. 15)
  • Droit de rectification (Art. 16)
  • Droit à l'oubli (Art. 17)
  • Droit à la portabilité des données (Art. 20)
  • Droit d'opposition au traitement (Art. 21)
  • Droit de déposer plainte auprès de votre autorité de contrôle nationale

Pour exercer l'un de ces droits, contactez [email protected]. Nous répondons sous 30 jours.

Article 28 RGPD

Accord de Traitement des Données

Chaque relation client chez Flowie est gouvernée par un Accord de Traitement des Données signé. L'APD définit le périmètre du traitement, la base légale, les obligations des sous-traitants, les procédures de droits des personnes concernées, et votre capacité à auditer.

Le modèle d'APD actuel a été révisé en mai 2025 et est disponible en anglais et français. Il s'aligne sur les exigences de l'Article 28 RGPD et inclut une annexe complète des sous-traitants référencée à la liste publiée à /trust/subprocessors.

Si vous avez besoin d'un APD contresigné avant approbation d'approvisionnement, nous pouvons traiter votre demande rapidement — le délai habituel dépend des redlines spécifiques soumises. Demandez-le via le formulaire en bas de cette page ou contactez directement [email protected].

⚠️ À VALIDER : confirmez le SLA spécifique de contresignature de l'APD avec Legal avant publication (par exemple « dans X jours ouvrables ») si un engagement public est souhaité.

Aucun client ne devient opérationnel sans APD signée en place.

9 fournisseurs nommés

Sous-Traitants

Flowie utilise 9 sous-traitants nommés. Chacun a un Accord de Traitement des Données signé avec nous. Les sous-traitants hors UE sont couverts par les Clauses Contractuelles Types. Le tableau complet — incluant le but, la catégorie de données, le lieu d'hébergement, la période de rétention, et les certifications de sécurité pour chaque fournisseur — est publié ci-dessous et à /trust/subprocessors.
  • GCP via S3NS(Infrastructure)France (principal)
  • Auth0(Authentification)Belgique
  • SendGrid(Email)États-Unis (options UE disponibles)
  • Sentry(Supervision)États-Unis (options UE disponibles)
  • Intercom(Support)États-Unis (résidence des données UE disponible)
  • Fivetran(ETL)États-Unis (données en transit uniquement)
  • OpenAI(IA)États-Unis
  • Mistral AI(IA)France
  • Anthropic(IA)États-Unis
Voir le tableau complet des sous-traitants →

S3NS · cloud souverain

Hébergement UE et Souverain

AttributDétail
Région primaireParis, France
Région de reprise d'activitéBelgique · reprise transfrontalière intra-UE
Fournisseur cloudS3NS (joint venture Google Cloud + Thales)
Posture souveraineAlignée ANSSI SecNumCloud · juridiction de droit français
Résidence des données100 % UE au niveau infrastructure · zéro réplication US/UK

Toutes les données client de Flowie sont traitées et stockées au sein de l'Union Européenne. Il n'y a pas d'exceptions.

Notre partenaire d'infrastructure est S3NS — la plateforme cloud souveraine construite conjointement par Google Cloud et Thales. S3NS opère selon la loi française, répond aux exigences SecNumCloud de l'ANSSI, et fournit la séparation physique et logique de l'infrastructure cloud relevant de la juridiction US.

Région primaire : Paris, France. Région de reprise d'activité : Belgique. Les données ne traversent pas les frontières de l'UE au niveau infrastructure.

Trois fournisseurs d'IA

Traitement des Données IA

Cette section est plus spécifique que ce que la plupart des fournisseurs fournissent, car les questions que nous recevons sont spécifiques.

Flowie intègre trois fournisseurs d'IA : OpenAI, Mistral AI et Anthropic. Chacun est utilisé pour des tâches de traitement du langage naturel — extraction de valeurs de champs à partir de texte de document, correspondance d'articles de ligne, catégorisation de descriptions.

FournisseurRégion d'hébergementPosture de résidence
Mistral AIFrance · UECycle d'inférence intégralement en France
OpenAIÉtats-UnisSous CCT signées · texte descriptif uniquement · zéro ré-entraînement
AnthropicÉtats-UnisSous CCT signées · texte descriptif uniquement · zéro ré-entraînement

Ce que les fournisseurs IA reçoivent

Texte descriptif uniquement. Noms de fournisseurs, descriptions de postes de ligne, références de produit, titres de document. C'est le périmètre complet.

Ce que les fournisseurs IA ne reçoivent jamais

Montants financiers, numéros IBAN ou de compte, valeurs de conditions de paiement, ou tout champ de donnée qui pourrait identifier l'exposition financière d'une transaction.

Ceci est imposé à la couche préparation des données avant tout appel ne quitte notre infrastructure. Ce n'est pas une préférence de politique — c'est une limite technique.

Engagement de zéro ré-entraînement — engagement contractuel

Les trois fournisseurs d'IA sont liés par contrat à ne pas utiliser les données client de Flowie pour entraîner ou affiner leurs modèles. Ceci s'applique aux données soumises par API et ne dépend pas des paramètres produit ou opt-outs. L'engagement est par écrit, dans les annexes DPA.

Si votre équipe de sécurité a besoin du langage spécifique de l'APD couvrant les contraintes de traitement IA, demandez-le via le formulaire d'APD ci-dessous.

RGPD Articles 33 / 34

RGPD et Réponse aux Violations

Flowie maintient un Plan de Réponse aux Incidents RGPD dédié, séparé de la politique de gestion des incidents générale. Il gouverne spécifiquement ce qui se passe quand des données personnelles sont impliquées dans un événement de sécurité.

Engagement de notification 72 heures

RGPD Art. 33 · conforme 72 h

En cas de violation de donnée personnelle atteignant le seuil de l'Article 33 RGPD, Flowie notifie l'autorité de contrôle compétente dans les 72 heures à partir du moment où elle a connaissance de la violation. Ce n'est pas un objectif — c'est notre obligation contractuelle et réglementaire.

Notification client

Quand une violation est susceptible de créer un risque élevé pour les droits et libertés de vos utilisateurs, nous vous notifions sans délai inutile de sorte que vous puissiez satisfaire vos propres obligations RGPD Article 34. La notification inclut la nature de la violation, les catégories et le nombre approximatif de personnes concernées affectées, les conséquences probables, et les mesures prises ou proposées.

Comment la notification vous atteint

Via le contact technique et le contact DPO désigné dans votre APD signé. Si ces contacts changent, mettez-les à jour auprès de votre gestionnaire de compte de sorte que le routage de notification reste actuel.

Le Plan de Réponse aux Incidents RGPD complet est disponible pour examen sous NDA comme partie de la due diligence avancée.

Les acheteurs nous demandent

Questions fréquentes

Flowie est-elle certifiée ISO 27001 ?

Oui. Flowie détient la certification ISO/IEC 27001:2022. L'ISMS couvre la plateforme SaaS de Flowie et l'infrastructure de support. La certification a été délivrée par Prescient Security (certificat #122245). Les audits de surveillance annuels maintiennent la certification ; les détails complets du certificat sont disponibles sous NDA ou via le processus de demande d'APD.

Où nos données sont-elles stockées ?

Toutes les données client sont stockées au sein de l'Union Européenne. L'infrastructure primaire est à Paris, France, sur le cloud souverain S3NS (Google Cloud + Thales). L'infrastructure de reprise d'activité est en Belgique. Aucune donnée client n'est répliquée en dehors de l'UE au niveau infrastructure. Mistral AI, l'un de trois sous-traitants IA, est aussi hébergé en France, ce qui signifie que l'inférence IA pour ce fournisseur reste au sein de la juridiction française.

Avez-vous un rapport SOC 2 ?

Non. Flowie ne détient actuellement pas de rapport SOC 2 Type II. Nous détenons la certification ISO/IEC 27001:2022, qui couvre un périmètre de contrôle comparable sous une norme reconnue internationalement. Notre score Cybervadis de 878/1000 (classification Mature, moyenne sectorielle 654) fournit une validation indépendante par tiers de notre posture de sécurité. Si SOC 2 est une exigence absolue dans votre processus d'approvisionnement, contactez-nous pour en discuter — nous pouvons fournir des preuves de support à partir de notre dossier d'audit ISMS.

Quels fournisseurs ont accès à nos données ?

Neuf sous-traitants nommés, listés en intégralité à /trust/subprocessors. Chaque sous-traitant a un APD signé avec Flowie. Les transferts hors UE (SendGrid, Sentry, Intercom, Fivetran, OpenAI, Anthropic) sont couverts par les Clauses Contractuelles Types. Auth0 est hébergé en UE (Belgique). GCP/S3NS et Mistral AI sont hébergés France/Belgique. Aucun sous-traitant n'a accès à votre dataset complet — chacun ne reçoit que la catégorie de données requise pour sa fonction spécifique.

Vos fournisseurs d'IA ré-entraînent-ils sur nos données ?

Non. C'est un engagement contractuel avec les trois fournisseurs IA — OpenAI, Mistral AI et Anthropic. Aucun ne peut utiliser les données soumises via l'intégration API de Flowie pour entraîner ou affiner leurs modèles. En outre, ce que les fournisseurs IA reçoivent est techniquement restreint au texte descriptif uniquement. Les montants financiers, les IBAN et les numéros de compte ne quittent jamais l'infrastructure Flowie en route vers un fournisseur IA.

Qu'en est-il des Accords de Traitement des Données RGPD ?

Flowie fournit un modèle d'APD en anglais et français (révision actuelle : mai 2025). Aucun client ne devient opérationnel sans APD contresigné. L'APD couvre le périmètre du traitement, la base légale, les droits des personnes concernées, les obligations des sous-traitants, la notification de violation, et les droits d'audit. Demandez un APD contresigné en utilisant le formulaire en bas de cette page.

Comment gérez-vous les demandes de droits des personnes concernées ?

Les demandes de droits des personnes concernées — accès, rectification, oubli, portabilité, opposition — soumises à Flowie par vos employés ou contreparties sont routées à [email protected]. Nous répondons sous 30 jours. Pour les demandes exigeant une action sur les données détenues dans votre ERP ou autres systèmes que Flowie intègre, nous coordonnons avec votre équipe technique pour cadrer la réponse précisément. La procédure est documentée dans notre Politique de Conformité RGPD.

Que se passe-t-il en cas de violation ?

Flowie a un Plan de Réponse aux Incidents RGPD dédié qui se déclenche immédiatement à la détection d'un événement impliquant des données personnelles. Si l'incident atteint le seuil RGPD Article 33, nous notifions l'autorité de contrôle compétente dans les 72 heures. Si la violation crée un risque élevé pour vos utilisateurs, nous vous notifions sans délai inutile avec tous les détails d'incident pour que vous puissiez satisfaire vos propres obligations de notification. Les contacts de notification spécifiques sont ceux désignés dans votre APD signé.

Quel test d'intrusion effectuez-vous ?

Flowie effectue un test d'intrusion indépendant annuel contre son environnement production. L'analyse automatisée continue s'exécute via Detectify. Les résultats et dossiers de correction sont disponibles aux clients sous NDA comme partie des dossiers de due diligence de sécurité.

Combien de politiques ISMS Flowie maintient-elle ?

L'ISMS comprend 14 politiques de style BSI (couvrant la sécurité RH, la sécurité physique, la sécurité opérationnelle, le contrôle d'accès, la réponse aux incidents, la continuité d'activité, le développement sécurisé, la gestion des tiers, la cryptographie, la conformité RGPD, la sécurité de l'information, la gestion des actifs, la gestion des risques et la gestion des données) plus 13 documents ISMS numérotés (00 à 12), incluant la Déclaration d'Applicabilité. Le jeu de documents complet est disponible sous NDA pour les évaluations d'entreprise qualifiées.

Obtenez l'APD ou parlez à notre DPO

Demandez un APD contresigné en anglais ou français.

Demander l'APD[email protected]
ISO 27001
RGPD
CyberVadis
PA Certifié
Peppol
Question spécifique sur la résidence des données, les sous-traitants ou la réponse aux violations ? [email protected]