Confidentialité

RGPD · trust-based · V1

Vos données ne quittent pas l'Europe.

noviciat traite des informations sensibles : situation de votre PME, contraintes RH, attentes sur un stagiaire. Nous prenons cette responsabilité au sérieux. Cette page explique exactement ce qui est fait, par qui, où, et ce que vous pouvez exiger à tout moment.

Notre engagement, en clair

Quatre promesses qui ne souffrent pas d'exception. Si l'une d'elles est rompue, vous avez raison de partir.

Avant d'entrer dans le détail technique, voici la posture de fond. Elle tient en quatre points, et chacun d'eux est testable : vous pouvez nous écrire et vérifier que c'est bien le cas.

  • RGPD compliant dès la V1.Pas de « on régularisera plus tard ». Le règlement européen s'applique intégralement au premier diagnostic lancé.
  • Aucune donnée transmise à des tiers commerciaux. Ni concurrents, ni écoles, ni partenaires, ni acheteurs de leads. Vos réponses ne sont pas un produit.
  • Hébergement européen, fournisseurs européens ou équivalents conformes. Pas de transfert hors UE sans garantie contractuelle adaptée.
  • Vos réponses n'entraînent aucun modèle IA. Ni le nôtre (nous n'en entraînons pas), ni celui du fournisseur LLM que nous utilisons.

Le reste de cette page détaille les mécanismes qui rendent ces promesses tenables, et les zones où nous sommes encore en construction.

Ce que vous nous dites, ce qu'on en fait

Quand vous lancez un diagnostic, vous répondez à une trentaine de questions sur votre entreprise, vos besoins, vos contraintes. Ces réponses transitent par trois étapes, et trois seulement.

Étape 1 — saisie.Les réponses sont envoyées en HTTPS (TLS 1.3) vers notre backend, hébergé sur un serveur européen. Aucune copie n'est faite ailleurs : pas de pixel tiers, pas de webhook marketing, pas d'export automatique vers un CRM externe.

Étape 2 — session chiffrée. Vos réponses sont stockées dans une session attachée à un identifiant opaque (un token). Cet identifiant est posé dans un cookie technique, sur votre navigateur uniquement. Le contenu de la session est chiffré au repos avec une clé qui ne quitte jamais nos serveurs.

Étape 3 — expiration. La session expire automatiquement 7 jours après la dernière interaction. C'est ce qui permet de « reprendre à J+3 » si vous avez été interrompu. Passé ce délai, les données sont purgées du stockage chaud. Si vous demandez explicitement une suppression avant, nous le faisons sous 30 jours (voir section RGPD).

N'EST PAS FAIT
Vos réponses ne sont pasutilisées pour entraîner un modèle d'intelligence artificielle. Elles ne sont pas revendues, ni partagées avec une école, un cabinet de recrutement, ou un concurrent. Elles ne sont pas agrégées dans un tableau de bord « benchmark sectoriel » accessible à des tiers. Le seul usage est la génération de votre livrable, pour vous.

Concrètement : si demain un concurrent de votre PME utilisait noviciat, il n'aurait aucun moyen — technique ou commercial — d'accéder à ce que vous avez déclaré. Nos analyses internes (uniquement pour améliorer le produit) portent sur des métriques agrégées et anonymisées : durée moyenne, taux de complétion, points de friction. Jamais sur le contenu de vos réponses.

Hébergement et infra

Nous avons fait le choix d'une infrastructure européenne pour l'ensemble de la chaîne. Cela ne suffit pas à garantir une sécurité parfaite, mais cela élimine plusieurs problèmes connus : juridiction étrangère, Cloud Act américain, sous-traitance opaque.

Le tableau ci-dessous récapitule la chaîne complète des sous-traitants. Si l'un d'eux venait à changer, cette page est mise à jour dans la semaine.

ServiceLocalisationSous-traitantStatut DPA
Hébergement applicatifRoubaix, FRScaleway ou OVHcloudDPA signé · UE
Base de donnéesRoubaix, FRMême fournisseur, instance dédiéeDPA signé · UE
Provider LLM (génération du livrable)UE ou US avec garantiesAnthropic (DPA + opt-out training) ou MistralDPA · opt-out confirmé
Envoi de mails transactionnelsUEBrevo / Scaleway TEMDPA signé · UE
Analytics produitSelf-hosted, FRPlausible (instance noviciat)Pas de sous-traitant tiers
Sauvegardes chiffréesRoubaix, FRStockage objet S3-compatible UEDPA signé · UE

Un mot sur le provider LLM. Générer un livrable utile passe aujourd'hui par l'appel à un modèle de langage de qualité. Nous privilégions soit un fournisseur européen (Mistral), soit un fournisseur disposant d'un DPA solide et d'une option opt-out trainingactivée par défaut (Anthropic, via leur API entreprise). Dans les deux cas : pas d'entraînement sur vos données, et un engagement contractuel écrit à ce sujet.

POURQUOI PAS 100% FR
Un modèle français pur (Mistral) couvre la plupart des besoins, mais certaines tâches d'analyse fine restent meilleures ailleurs. Plutôt que de dégrader la qualité du livrable pour afficher un drapeau, nous documentons honnêtement où va chaque donnée et quel régime juridique s'applique.

Vos droits RGPD

Le règlement européen vous garantit cinq droits sur vos données personnelles. Voici comment les exercer chez noviciat, sans formulaire à rallonge ni passage par un service juridique.

  • Droit d'accès. Vous pouvez demander une copie complète des données qui vous concernent, dans un format lisible (JSON ou PDF, à votre choix).
  • Droit de rectification. Si une information est inexacte, vous pouvez demander sa correction. Sur la plupart des champs, vous pouvez aussi le faire vous-même en reprenant le diagnostic.
  • Droit à l'effacement. Vous pouvez demander la suppression complète de votre session et de votre livrable. Délai standard de traitement : 30 jours, le plus souvent sous 7 jours ouvrés.
  • Droit à la portabilité. Vous récupérez vos données dans un format structuré, réutilisable, transférable à un autre service.
  • Droit d'opposition.Vous pouvez refuser certains traitements (par exemple, l'envoi d'e-mails de suivi produit) sans que cela bloque l'accès au livrable.

Comment faire, concrètement : un mail à tech@abecedaire-studio.com, en précisant l'identifiant de session (présent sur votre livrable) ou simplement l'adresse e-mail utilisée. Nous accusons réception sous 72 heures, et confirmons l'exécution dans les 30 jours, conformément à l'article 12 du RGPD.

Le responsable de traitement est ABECEDAIRE Studio, éditeur de noviciat. Compte tenu de la taille actuelle de la structure, le rôle de DPO est assuré en interne par Alexandre, joignable à la même adresse. Si un jour le volume justifie un DPO externe certifié, cette page sera mise à jour.

Anti-désintermédiation : trust-based

Une question revient souvent : qu'est-ce qui empêche une école et une PME, mises en relation via noviciat, de signer directement sans nous payer la prochaine fois ?

Réponse honnête : rien, juridiquement. Et c'est un choix. Une convention de stage est, par construction, un contrat bilatéral école ↔ entreprise. noviciat n'est jamais partie au contrat. Nous ne signons rien, ne facturons pas de commission de mise en relation, ne posons aucun verrou contractuel d'exclusivité.

« Notre meilleure protection, c'est la qualité du diagnostic et de la fiche mission. Si vous trouvez un moyen plus simple ou plus juste de cadrer votre besoin data ailleurs, c'est qu'on n'aura pas fait notre travail. »

Posture produit · 2026

Cette posture a un nom : trust-based. Elle suppose deux choses, sans lesquelles elle ne tient pas. Premièrement : la qualité du livrable doit être suffisamment différenciante pour qu'une PME préfère revenir plutôt que de bricoler. C'est une exigence produit forte, et c'est sur ce terrain que se joue notre survie.

Deuxièmement : la relation avec l'école et l'entreprise doit être nette. Pas de promesse cachée, pas de tracking sournois, pas de menace voilée. Si vous décidez de ne plus utiliser noviciat, vous le faites sans pénalité et sans culpabilité.

Nous assumons que cette approche est plus fragile qu'un verrou contractuel. Elle nous force à rester bons. C'est un risque commercial conscient, pas un idéal naïf.

Failles connues, sincèrement

Nous sommes en V1. Certains aspects de la sécurité, qu'une entreprise mature devrait offrir, ne sont pas en place. Voici lesquels, et notre lecture du risque.

  • Pas de SSO ni d'authentification multi-facteurs. L'accès au livrable se fait via un lien unique envoyé par e-mail. Si votre boîte mail est compromise, le livrable l'est aussi. Un SSO entreprise est prévu pour une version ultérieure.
  • Pas de cloisonnement multi-tenant strict.Les données de toutes les sessions cohabitent dans la même base, isolées par identifiant logique. C'est suffisant pour notre échelle actuelle, ce ne sera pas suffisant à 100 clients/mois.
  • Pas de journal d'accès admin consultable par le client. Nous tenons un log interne des accès aux données par notre équipe, mais il n'est pas exposé en libre-service. Une demande explicite par mail reste possible.
  • Pas encore d'audit externe.Aucun pentest tiers, aucune certification ISO 27001, aucun HDS. Ce n'est pas justifié pour notre volume actuel, mais nous ne prétendons pas l'avoir.
  • Cookies : essentiels uniquement.Pas d'analytics tiers en V1. L'analytics est self-hosted (Plausible), sans cookie de tracking, sans identifiant persistant. Ce qui implique aussi que nos données produit sont plus pauvres — c'est un compromis assumé.
REF · ROADMAP SECU
SSO entreprise, journal d'accès self-service, pentest externe et cloisonnement multi-tenant strict sont planifiés pour la fenêtre suivant la V1 stable. Cette page sera mise à jour au fur et à mesure que ces éléments passent en production.

Notre principe d'écriture sur cette page : si nous ne sommes pas sûrs de tenir une promesse, nous ne l'écrivons pas. Si un point évolue, la date en haut de la page change. Vous pouvez nous tenir à ce contrat-là.

Dernière mise à jour : 2026.06.15 · Contact : tech@abecedaire-studio.com

Toujours méfiant ?

Vous pouvez lancer le diagnostic. Sans inscription, sans cookie tiers.

Aucun compte à créer pour démarrer. Une adresse e-mail uniquement à la fin, pour recevoir votre livrable. Vous pouvez tout supprimer d'un mail, et la session expire seule au bout de 7 jours.

Lancer le diagnostic