Sécurité des Données - Ed.ai
Hébergement en France. Toutes les données sont hébergées sur des serveurs situés en France, chez Microsoft Azure (région France Central). Microsoft Azure dispose des certifications suivantes : ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, et CSA STAR.
Isolation des bases de données. Les bases de données ne sont pas accessibles directement depuis Internet. Elles sont isolées dans des réseaux privés (VLAN) et ne communiquent qu'avec les serveurs applicatifs via des canaux sécurisés.
Défense périmétrique. Pare-feu applicatifs, protection anti-DDoS et filtrage réseau sont en place pour protéger l'ensemble de l'infrastructure contre les attaques externes.
Maintenance proactive. Les composants logiciels (systèmes d'exploitation, bibliothèques, frameworks) sont maintenus à jour avec application régulière des correctifs de sécurité.
Accès administrateur restreint. L'accès aux serveurs de production est réservé au personnel habilité, via Azure Active Directory avec authentification multi-facteurs (MFA) et via certificats SSH. Les deux mécanismes sont utilisés conjointement. Aucun mot de passe simple n'est utilisé pour l'accès administrateur.
Journalisation. Toutes les activités d'administration et les accès aux systèmes sont enregistrés et conservés à des fins de traçabilité et de détection d'anomalies.
Chiffrement en transit. Toutes les communications entre votre navigateur et nos serveurs sont chiffrées via TLS (HTTPS). Aucune donnée ne transite en clair.
Chiffrement au repos. Les données sensibles stockées dans nos bases de données sont chiffrées au repos.
Mots de passe sécurisés. Les mots de passe des utilisateurs sont hachés avec l'algorithme SHA-512 (5 000 itérations, sel aléatoire de 16 à 36 caractères hexadécimaux, sortie en base64). Ed.ai ne stocke jamais de mot de passe en clair et ne peut pas les reconstituer.
Contrôle d'accès granulaire. Chaque utilisateur n'accède qu'à ses propres données. Un enseignant ne peut voir que les classes et les copies qu'il a lui-même créées ou qui lui ont été attribuées.
Protection contre les vulnérabilités courantes. Nos applications intègrent des protections contre les attaques les plus fréquentes : injections SQL, cross-site scripting (XSS), cross-site request forgery (XSRF), et autres vecteurs référencés par l'OWASP.
Déploiement automatisé. Les mises en production sont réalisées via des processus automatisés (CI/CD). Les développeurs n'ont pas d'accès direct aux serveurs de production ni aux données utilisateurs.
Données minimisées. Seules les données strictement nécessaires au traitement demandé sont transmises aux moteurs d'IA.
Pseudonymisation. Avant la numérisation et la transcription des copies d'élèves, un modèle d'IA dédié applique des pixels blancs pour masquer les informations identifiantes (noms des élèves) sur les scans, avant envoi du contenu dans le pipeline de traitement IA. Cela garantit que les modèles d'IA ne reçoivent jamais les noms ou éléments d'identification originaux.
Non-rétention. Tous nos fournisseurs d'IA (Azure OpenAI de Microsoft, Azure Claude d'Anthropic via Azure, et Azure Mistral de Mistral AI via Azure) s'engagent contractuellement via la Data Processing Agreement Azure à ne pas conserver les données au-delà du temps de traitement de chaque requête. Aucune copie d'élève n'est stockée par ces fournisseurs.
Non-entraînement. Les données transmises ne sont jamais utilisées pour l'entraînement, le fine-tuning ou l'amélioration des modèles d'IA, que ce soit par Ed.ai ou par ses fournisseurs. Tous les modèles d'IA utilisés par Ed.ai fonctionnent via Microsoft Azure en région Europe, garantissant le traitement des données en UE.
Audit des fournisseurs. Les engagements de nos fournisseurs d'IA sont formalisés dans des accords contractuels (DPA) que nous pouvons fournir sur demande aux établissements et académies.
Sauvegardes. Des sauvegardes complètes sont réalisées quotidiennement (deux fois par jour minimum). Les sauvegardes sont chiffrées et stockées dans un emplacement géographiquement distinct.
Redondance. Les systèmes critiques sont redondés pour assurer la continuité du service en cas de défaillance matérielle.
Plan de continuité. Un plan de continuité d'activité est maintenu et testé régulièrement pour garantir la reprise du service en cas d'incident majeur.
Principe de moindre privilège. Chaque membre de l'équipe Ed.ai n'a accès qu'aux données et systèmes strictement nécessaires à l'exercice de ses fonctions.
Sensibilisation. L'ensemble du personnel, y compris le support technique, est formé aux bonnes pratiques de sécurité et de confidentialité.
Sélection des prestataires. Nos sous-traitants sont sélectionnés sur la base de leurs garanties en matière de sécurité et de protection des données. La liste est publique et consultable sur ed.ai/data-privacy-fr/sous-traitants.
En cas de violation de données personnelles, Ed.ai s'engage à :
Notifier la CNIL dans les 72 heures conformément à l'article 33 du RGPD.
Informer les personnes concernées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.
Informer les établissements et académies partenaires dans un délai de 48 heures.
Documenter l'incident et les mesures correctives dans un registre des violations.
Pour toute question relative à la sécurité de vos données, contactez notre DPO : dpo@ed.ai