Les données humanitaires sont parmi les plus sensibles au monde : populations vulnérables, localisations critiques, informations de protection. SAVIA est construit avec un chiffrement systématique (TLS 1.3 en transit, AES-256 au repos) — pas en option, par défaut.
Ces quatre principes ne sont pas des cases à cocher. Ce sont les fondations sur lesquelles SAVIA est construit, ligne de code après ligne de code.
Toutes les données sont chiffrées en transit (TLS 1.3) et au repos (AES-256). Aucune exception, aucune configuration nécessaire.
Chaque utilisateur accède uniquement aux données dont il a besoin. Pas d'accès par défaut. Tout est journalisé dans un audit trail inviolable.
Cette page même liste tous nos sous-traitants, nos protocoles, nos certifications planifiées. Vous avez le droit de savoir où sont vos données.
Aligné sur le RGPD, les Handbook on Data Protection du CICR, et les principes de gestion responsable des données humanitaires d'OCHA.
Toutes les communications entre votre navigateur et SAVIA utilisent TLS 1.3 avec forward secrecy. Les certificats sont gérés automatiquement et renouvelés tous les 90 jours.
Les bases de données sont chiffrées avec AES-256 au niveau du disque. Les sauvegardes sont également chiffrées avec des clés distinctes, stockées séparément des données.
Les mots de passe sont hashés avec bcrypt (coût 12). Ils ne sont jamais stockés en clair, jamais journalisés, jamais accessibles même aux administrateurs SAVIA.
Pour les données de protection (PII, localisations de camps, données biométriques), SAVIA applique le principe de minimisation des données : nous ne collectons que ce qui est strictement nécessaire à la décision.
Lorsque SAVIA fonctionne hors-ligne (PWA), les données locales sont chiffrées dans le navigateur via l'API Web Crypto. Elles ne quittent jamais votre appareil tant que la synchronisation n'est pas déclenchée par vous.
SAVIA applique un modèle RBAC (Role-Based Access Control). Six niveaux d'accès, chacun avec ses permissions explicites :
Chaque action dans SAVIA (connexion, lecture, modification, export) est journalisée avec : identité de l'utilisateur, horodatage, adresse IP, ressource accédée. Les journaux sont conservés 12 mois minimum pour les clients Pro et 36 mois pour Enterprise.
En cas de départ d'un collaborateur ou de suspicion de compromission, l'accès peut être révoqué en une seconde. Toutes les sessions actives sont immédiatement invalidées.
SAVIA est conçu en conformité avec les standards les plus exigeants du secteur humanitaire et de la protection des données personnelles.
Dans le cadre de notre roadmap de conformité, les certifications suivantes sont en préparation :
SAVIA est actuellement en phase pilote. Les certifications formelles (SOC 2, ISO 27001) seront obtenues progressivement à mesure que la plateforme mûrit. Les contrôles techniques sous-jacents sont déjà en place. Si votre organisation exige une certification spécifique avant déploiement, contactez-nous pour un plan d'engagement.
La transparence est essentielle. Voici la liste complète des sous-traitants qui interviennent dans l'infrastructure SAVIA.
| Fournisseur | Rôle | Région |
|---|---|---|
| Supabase | Base de données & authentification | UE (Francfort) |
| Netlify | Hébergement frontend & CDN | Global (edge) |
| Cloudflare | Protection DDoS & cache statique | Global |
| Google Fonts | Typographie (Fraunces, Manrope) | Global |
Tout nouveau sous-traitant sera ajouté à cette liste avant son déploiement en production. Les clients Pro et Enterprise sont notifiés par email 30 jours à l'avance.
Par défaut, les données sont hébergées dans l'Union Européenne (Francfort, Allemagne). Les clients Enterprise peuvent choisir une région différente : US-East, APAC, ou un serveur on-premise dans leur propre infrastructure.
Conformément au RGPD et aux bonnes pratiques internationales, vous disposez des droits suivants, exerçables à tout moment :
Pour exercer l'un de ces droits, envoyez simplement un email à savia.humanitarian@gmail.com avec votre demande. Réponse garantie sous 72 heures, exécution sous 30 jours.
Nous prenons chaque signalement au sérieux. Chercheurs en sécurité, utilisateurs avertis, experts du secteur — votre vigilance nous aide à protéger des milliers d'humanitaires.
Rapport chiffré via savia.humanitarian@gmail.com avec "SECURITY" en objet. Accusé de réception sous 24h. Reconnaissance publique pour les découvertes significatives (si souhaitée).
En cas d'incident de sécurité confirmé affectant vos données :
Les six couches d'analyse de SAVIA (scoring, détection d'anomalies, corrélations, projections) s'exécutent localement, dans votre navigateur. Vos indicateurs terrain ne transitent par aucun service d'intelligence artificielle tiers.
SAVIA n'envoie aucune donnée programme à OpenAI, Anthropic, Google ou tout autre fournisseur de modèles d'IA. Dans les contextes humanitaires sensibles, c'est une garantie structurelle, pas une promesse contractuelle.
Les données que vous choisissez de sauvegarder sont hébergées sur Supabase, chiffrées en transit (TLS 1.3) et au repos (AES-256), comme décrit dans les sections précédentes. Le mode hors-ligne conserve vos données sur votre appareil uniquement.
Les équipes responsables achats UN, les conseils juridiques ONG, les DPO institutionnels — nous répondons à toutes les questions, même les plus techniques.
Contacter notre équipe sécurité