Notre engagement, en clair
Quatre promesses qui ne souffrent pas d'exception. Si l'une d'elles est rompue, vous avez raison de partir.
Avant d'entrer dans le détail technique, voici la posture de fond. Elle tient en quatre points, et chacun d'eux est testable : vous pouvez nous écrire et vérifier que c'est bien le cas.
- RGPD compliant dès la V1.Pas de « on régularisera plus tard ». Le règlement européen s'applique intégralement au premier diagnostic lancé.
- Aucune donnée transmise à des tiers commerciaux. Ni concurrents, ni écoles, ni partenaires, ni acheteurs de leads. Vos réponses ne sont pas un produit.
- Hébergement européen, fournisseurs européens ou équivalents conformes. Pas de transfert hors UE sans garantie contractuelle adaptée.
- Vos réponses n'entraînent aucun modèle IA. Ni le nôtre (nous n'en entraînons pas), ni celui du fournisseur LLM que nous utilisons.
Le reste de cette page détaille les mécanismes qui rendent ces promesses tenables, et les zones où nous sommes encore en construction.
Ce que vous nous dites, ce qu'on en fait
Quand vous lancez un diagnostic, vous répondez à une trentaine de questions sur votre entreprise, vos besoins, vos contraintes. Ces réponses transitent par trois étapes, et trois seulement.
Étape 1 — saisie.Les réponses sont envoyées en HTTPS (TLS 1.3) vers notre backend, hébergé sur un serveur européen. Aucune copie n'est faite ailleurs : pas de pixel tiers, pas de webhook marketing, pas d'export automatique vers un CRM externe.
Étape 2 — session chiffrée. Vos réponses sont stockées dans une session attachée à un identifiant opaque (un token). Cet identifiant est posé dans un cookie technique, sur votre navigateur uniquement. Le contenu de la session est chiffré au repos avec une clé qui ne quitte jamais nos serveurs.
Étape 3 — expiration. La session expire automatiquement 7 jours après la dernière interaction. C'est ce qui permet de « reprendre à J+3 » si vous avez été interrompu. Passé ce délai, les données sont purgées du stockage chaud. Si vous demandez explicitement une suppression avant, nous le faisons sous 30 jours (voir section RGPD).
Concrètement : si demain un concurrent de votre PME utilisait noviciat, il n'aurait aucun moyen — technique ou commercial — d'accéder à ce que vous avez déclaré. Nos analyses internes (uniquement pour améliorer le produit) portent sur des métriques agrégées et anonymisées : durée moyenne, taux de complétion, points de friction. Jamais sur le contenu de vos réponses.
Hébergement et infra
Nous avons fait le choix d'une infrastructure européenne pour l'ensemble de la chaîne. Cela ne suffit pas à garantir une sécurité parfaite, mais cela élimine plusieurs problèmes connus : juridiction étrangère, Cloud Act américain, sous-traitance opaque.
Le tableau ci-dessous récapitule la chaîne complète des sous-traitants. Si l'un d'eux venait à changer, cette page est mise à jour dans la semaine.
| Service | Localisation | Sous-traitant | Statut DPA |
|---|---|---|---|
| Hébergement applicatif | Roubaix, FR | Scaleway ou OVHcloud | DPA signé · UE |
| Base de données | Roubaix, FR | Même fournisseur, instance dédiée | DPA signé · UE |
| Provider LLM (génération du livrable) | UE ou US avec garanties | Anthropic (DPA + opt-out training) ou Mistral | DPA · opt-out confirmé |
| Envoi de mails transactionnels | UE | Brevo / Scaleway TEM | DPA signé · UE |
| Analytics produit | Self-hosted, FR | Plausible (instance noviciat) | Pas de sous-traitant tiers |
| Sauvegardes chiffrées | Roubaix, FR | Stockage objet S3-compatible UE | DPA signé · UE |
Un mot sur le provider LLM. Générer un livrable utile passe aujourd'hui par l'appel à un modèle de langage de qualité. Nous privilégions soit un fournisseur européen (Mistral), soit un fournisseur disposant d'un DPA solide et d'une option opt-out trainingactivée par défaut (Anthropic, via leur API entreprise). Dans les deux cas : pas d'entraînement sur vos données, et un engagement contractuel écrit à ce sujet.
Vos droits RGPD
Le règlement européen vous garantit cinq droits sur vos données personnelles. Voici comment les exercer chez noviciat, sans formulaire à rallonge ni passage par un service juridique.
- Droit d'accès. Vous pouvez demander une copie complète des données qui vous concernent, dans un format lisible (JSON ou PDF, à votre choix).
- Droit de rectification. Si une information est inexacte, vous pouvez demander sa correction. Sur la plupart des champs, vous pouvez aussi le faire vous-même en reprenant le diagnostic.
- Droit à l'effacement. Vous pouvez demander la suppression complète de votre session et de votre livrable. Délai standard de traitement : 30 jours, le plus souvent sous 7 jours ouvrés.
- Droit à la portabilité. Vous récupérez vos données dans un format structuré, réutilisable, transférable à un autre service.
- Droit d'opposition.Vous pouvez refuser certains traitements (par exemple, l'envoi d'e-mails de suivi produit) sans que cela bloque l'accès au livrable.
Comment faire, concrètement : un mail à tech@abecedaire-studio.com, en précisant l'identifiant de session (présent sur votre livrable) ou simplement l'adresse e-mail utilisée. Nous accusons réception sous 72 heures, et confirmons l'exécution dans les 30 jours, conformément à l'article 12 du RGPD.
Le responsable de traitement est ABECEDAIRE Studio, éditeur de noviciat. Compte tenu de la taille actuelle de la structure, le rôle de DPO est assuré en interne par Alexandre, joignable à la même adresse. Si un jour le volume justifie un DPO externe certifié, cette page sera mise à jour.
Anti-désintermédiation : trust-based
Une question revient souvent : qu'est-ce qui empêche une école et une PME, mises en relation via noviciat, de signer directement sans nous payer la prochaine fois ?
Réponse honnête : rien, juridiquement. Et c'est un choix. Une convention de stage est, par construction, un contrat bilatéral école ↔ entreprise. noviciat n'est jamais partie au contrat. Nous ne signons rien, ne facturons pas de commission de mise en relation, ne posons aucun verrou contractuel d'exclusivité.
« Notre meilleure protection, c'est la qualité du diagnostic et de la fiche mission. Si vous trouvez un moyen plus simple ou plus juste de cadrer votre besoin data ailleurs, c'est qu'on n'aura pas fait notre travail. »
Posture produit · 2026
Cette posture a un nom : trust-based. Elle suppose deux choses, sans lesquelles elle ne tient pas. Premièrement : la qualité du livrable doit être suffisamment différenciante pour qu'une PME préfère revenir plutôt que de bricoler. C'est une exigence produit forte, et c'est sur ce terrain que se joue notre survie.
Deuxièmement : la relation avec l'école et l'entreprise doit être nette. Pas de promesse cachée, pas de tracking sournois, pas de menace voilée. Si vous décidez de ne plus utiliser noviciat, vous le faites sans pénalité et sans culpabilité.
Nous assumons que cette approche est plus fragile qu'un verrou contractuel. Elle nous force à rester bons. C'est un risque commercial conscient, pas un idéal naïf.
Failles connues, sincèrement
Nous sommes en V1. Certains aspects de la sécurité, qu'une entreprise mature devrait offrir, ne sont pas en place. Voici lesquels, et notre lecture du risque.
- Pas de SSO ni d'authentification multi-facteurs. L'accès au livrable se fait via un lien unique envoyé par e-mail. Si votre boîte mail est compromise, le livrable l'est aussi. Un SSO entreprise est prévu pour une version ultérieure.
- Pas de cloisonnement multi-tenant strict.Les données de toutes les sessions cohabitent dans la même base, isolées par identifiant logique. C'est suffisant pour notre échelle actuelle, ce ne sera pas suffisant à 100 clients/mois.
- Pas de journal d'accès admin consultable par le client. Nous tenons un log interne des accès aux données par notre équipe, mais il n'est pas exposé en libre-service. Une demande explicite par mail reste possible.
- Pas encore d'audit externe.Aucun pentest tiers, aucune certification ISO 27001, aucun HDS. Ce n'est pas justifié pour notre volume actuel, mais nous ne prétendons pas l'avoir.
- Cookies : essentiels uniquement.Pas d'analytics tiers en V1. L'analytics est self-hosted (Plausible), sans cookie de tracking, sans identifiant persistant. Ce qui implique aussi que nos données produit sont plus pauvres — c'est un compromis assumé.
Notre principe d'écriture sur cette page : si nous ne sommes pas sûrs de tenir une promesse, nous ne l'écrivons pas. Si un point évolue, la date en haut de la page change. Vous pouvez nous tenir à ce contrat-là.
Dernière mise à jour : 2026.06.15 · Contact : tech@abecedaire-studio.com