Vos données sont en sécurité chez nous
. En voici la preuve.
Les questions relatives à la sécurité et à la confidentialité sont abordées dès le début de chaque entretien — et c'est tout à fait normal. Cette page répond aux questions que nous posent le plus souvent les équipes chargées des achats, de l'informatique, des affaires juridiques et de la conformité. Si vous avez besoin de documentation supplémentaire, d'un questionnaire de sécurité dûment rempli ou d'un entretien d'évaluation technique, veuillez contacter votre associé principal chez Valenta.
Contacter un associé gérant →
ISO 27001
SOC 2 Type II
RGPD
RGPD au Royaume-Uni
HIPAA
Loi australienne sur la protection de la vie privée
LPRPDEVos données vous appartiennent. Point final.
Valenta n'accède qu'aux données nécessaires à la mise en œuvre de la solution convenue. Vos données ne sont en aucun cas réutilisées à d'autres fins, partagées avec d'autres clients ou utilisées pour entraîner un modèle d'IA ou d'apprentissage automatique — quel que soit le type de mission, sans exception.
Minimisation des données par défaut
Nous n'accédons qu'aux informations nécessaires à la mise en œuvre de la solution. Aucune donnée supplémentaire n'est consultée, conservée ou réutilisée au-delà du périmètre défini de la mission.
Aucune divulgation de données entre clients
Les données, les pipelines et les composants d'environnement de chaque client sont totalement isolés. Aucun élément n'est partagé entre les comptes clients, quels que soient l'ancienneté ou la localisation géographique de l'équipe chargée de la prestation.
Vos données ne sont jamais utilisées pour entraîner l'IA
En aucun cas, quel que soit le type d'engagement. Toutes les inférences d'IA dans nos solutions sont sans état et limitées à chaque session. Le fournisseur du modèle ne peut ni tirer d'enseignements de vos données, ni les conserver.
Clôture sans problème à la fin de l'engagement
Tout accès à Valenta est officiellement révoqué et vous est confirmé par écrit. Les environnements de développement et de test sont supprimés dès que le transfert est confirmé.
Piste d'audit tout au long du processus
Les journaux d'exécution des pipelines, les enregistrements des appels API et les événements d'accès sont conservés pendant toute la durée de la mission et peuvent être consultés sur simple demande.
Équipe offshore, mêmes contrôles
Notre équipe de livraison internationale est soumise à des contrôles d'accès identiques, quel que soit son lieu d'implantation. La situation géographique n'a aucune incidence sur la norme appliquée.
Où sont stockées vos données ?
Les services d'automatisation de Valenta sont déployés via UiPath Automation Cloud, une plateforme d'entreprise native du cloud hébergée sur Microsoft Azure et proposant des options d'hébergement spécifiques à chaque région. Valenta propose deux modèles de déploiement pour toutes ses missions. Les deux modèles appliquent les mêmes contrôles de sécurité. Votre lettre de mission précise lequel s'applique à votre projet.
Modèle A : hébergé par le client
C'est vous qui décidezLa solution est déployée au sein de votre propre environnement cloud. Vous êtes propriétaire de toutes les ressources de calcul, de stockage et de réseau, et vous en avez le contrôle. Valenta n'y a accès que pendant la durée de la mission.
La localisation des données est déterminée par votre configuration du cloud et vos paramètres de région.
Dans ce modèle, votre configuration reste sous le contrôle direct de votre équipe.
Modèle B : Géré par Valenta
Nous géronsValenta met en place et gère l'infrastructure nécessaire au fonctionnement de la solution. Vous bénéficiez d'un accès complet au système, à ses résultats et à tous les éléments associés.
La localisation des données est configurée de manière à répondre à vos exigences géographiques et réglementaires avant le début du déploiement.
Nous gérons les correctifs, la surveillance des performances et les sauvegardes opérationnelles.
Dans les deux modèles
- Données chiffrées lors de leur transmission via HTTPS/TLS 1.2 ou version ultérieure
- Données au repos chiffrées à l'aide de l'algorithme AES-256
- Accès au réseau autorisé uniquement via des adresses IP approuvées ou un VPN
- Plateforme conforme aux normes ISO 27001 et SOC 2 Type II
- Une infrastructure isolée et dédiée à chaque client
- Configuration de la localisation des données avant le déploiement
Qui y a accès et comment cet accès est-il contrôlé ?
L'accès aux environnements des clients, aux ressources de données et aux composants de la solution est réservé exclusivement aux membres de l'équipe Valenta affectés à votre mission spécifique.
Accès réservé aux personnes concernées par la mission
L'accès n'est pas partagé avec d'autres clients ou équipes, quels que soient leur ancienneté ou leur fonction au sein de l'entreprise.
Contrôle d'accès basé sur les rôles
Chaque utilisateur et chaque compte de service se voit attribuer les autorisations minimales requises pour son rôle spécifique. Aucune confiance implicite n'est accordée en fonction de l'emplacement réseau.
Authentification unique (SSO) et authentification multifactorielle (MFA) obligatoires
L'authentification unique (Single Sign-On) et l'authentification multifactorielle sont obligatoires pour tous les points d'accès à la plateforme.
OAuth2 uniquement
Toutes les intégrations avec vos systèmes sources utilisent OAuth2 ou l'authentification via l'application. Les mots de passe partagés et l'authentification de base ne sont pas utilisés.
Les identifiants ne doivent jamais figurer dans le code
Les clés API, les jetons et les chaînes de connexion sont exclusivement stockés dans la configuration de l'environnement sécurisé ; ils ne sont jamais intégrés au code ou aux définitions du pipeline.
La formation à la sécurité est obligatoire
Tous les membres de l'équipe suivent la formation obligatoire avant de se voir accorder l'accès à tout environnement client. La validation de cette formation fait l'objet d'un suivi et son respect est strictement exigé.
Comment nous gérons l'IA dans le cadre de votre mission
Valenta applique une politique spécifique en matière de gouvernance et de sécurité de l'IA pour toutes ses missions liées aux données et à l'IA. Voici les principes qui régissent chacune de ces missions.
Vos données ne sont jamais utilisées pour entraîner l'IA
Il est interdit d'entraîner, d'affiner ou d'améliorer tout modèle d'IA, qu'il s'agisse d'un modèle propriétaire de Valenta ou fourni par une plateforme tierce. Aucune exception n'est tolérée.
Inférence IA sans état
Lorsque des API d'IA externes sont appelées, aucune donnée n'est conservée d'une session à l'autre. Le fournisseur du modèle ne peut ni apprendre à partir de vos données, ni les stocker.
Uniquement vos données, en tant que données d'entrée
Les modèles d'IA fonctionnent exclusivement à partir des données que vous avez fournies et que vous contrôlez. Les données générales issues d'Internet ou provenant d'autres clients ne sont jamais utilisées comme données d'entrée.
Contrôle humain intégré
Lorsque les résultats générés par l'IA servent de base à des décisions importantes, une vérification humaine est intégrée au processus de travail. Les résultats générés par l'IA constituent des informations complémentaires, et non des décisions autonomes.
Chaque composant d'IA est documenté avant la compilation
Le modèle utilisé, les données qu’il reçoit, les résultats qu’il produit et les critères d’acceptation : tous ces éléments sont examinés et approuvés par vous avant le début du développement.
Notre mode de fonctionnement et ce qui se passe en cas de problème
Toutes les missions de Valenta s'inscrivent dans un cadre de gouvernance documenté couvrant la gestion du changement, les pistes d'audit, les contrôles d'accès et la gestion des incidents.
Gestion du changement
Tous les déploiements en production suivent un processus documenté de demande de modification, qui est examiné avec vous avant sa mise en œuvre. Aucun code non testé n'est déployé en production.
Notification rapide des incidents
En cas d'incident de sécurité confirmé affectant votre environnement, vous en êtes immédiatement informé. Une analyse écrite des causes profondes et un rapport sur les mesures correctives vous sont ensuite transmis.
Piste d'audit complète
Les journaux d'exécution des pipelines, les enregistrements des appels API, les enregistrements de transformation des données et les événements d'accès sont conservés et peuvent être consultés sur simple demande.
Coopération en matière d'infractions réglementaires
Valenta s'engage à coopérer pleinement à toutes les obligations de notification des violations réglementaires applicables à votre organisation et à votre juridiction.
Accès faisant l'objet d'un suivi continu
L'accès à votre environnement est vérifié à chaque point de contrôle du sprint et chaque fois que la composition de l'équipe change.
Séparation des environnements
Les environnements de développement, de tests d'acceptation utilisateur (UAT) et de production sont strictement séparés pour toutes les missions. Aucune configuration non testée n'est déployée en production.
Les cadres de conformité auxquels nous nous conformons
Les composants d'infrastructure et de plateforme de Valenta sont conformes aux référentiels suivants, selon votre secteur d'activité et votre juridiction. Si votre cadre de conformité exige une mise en correspondance spécifique des contrôles, la fourniture de pièces justificatives ou le remplissage d'un questionnaire de sécurité, votre associé gérant se chargera de coordonner ces démarches directement avec notre équipe.
ISO 27001
Gestion de la sécurité de l'information. S'applique à l'ensemble des missions et des zones d'intervention.
SOC 2 Type II
Sécurité, disponibilité et confidentialité. Des composants de la plateforme conçus pour garantir une fiabilité de niveau entreprise.
RGPD et RGPD britannique
Protection des données dans l'UE et au Royaume-Uni. Valenta AI Limited est enregistrée auprès de l'ICO (ZB518204). Une déclaration de traitement des données (DPA) est disponible pour toutes les missions concernées.
HIPAA
Missions dans le secteur de la santé aux États-Unis impliquant des informations médicales protégées. Accord de partenariat commercial disponible sur demande.
Loi australienne de 1988 sur la protection de la vie privée
Les principes australiens en matière de protection de la vie privée s'appliquent à toutes les missions menées sur le territoire australien. La conformité au dispositif NDB est incluse.
Souveraineté régionale en matière de données
Loi sur la protection des renseignements personnels et l'électronique (LPRPE) (Canada), Loi sur la protection des données personnelles (PDPA) (Malaisie), loi colombienne n° 1581 et législations locales applicables. Configuration spécifique à chaque région disponible.
Ce que nous demandent les équipes chargées de la conformité et de la sécurité
Valenta utilise-t-elle mes données pour entraîner des modèles d'IA ?
Non. Vos données ne sont jamais utilisées pour entraîner, affiner ou améliorer un modèle d'IA ou d'apprentissage automatique, quel que soit le type d'interaction, sans exception. Toutes les inférences d'IA sont « sans état », ce qui signifie qu'aucune donnée n'est conservée entre les sessions par le fournisseur du modèle.
Où sont hébergées mes données ?
Valenta propose deux modèles de déploiement. Dans le cadre d'un déploiement hébergé par le client, vos données restent au sein de votre propre environnement cloud. Dans le cadre d'un déploiement géré par Valenta, les données sont hébergées sur l'infrastructure Microsoft Azure, la localisation des données étant configurée avant le début du déploiement afin de répondre à vos exigences géographiques et réglementaires.
Valenta est-elle conforme au RGPD ?
Oui. Les composants de la plateforme et les pratiques de Valenta sont conformes au RGPD pour les missions menées dans l'Union européenne et au Royaume-Uni. Pour les clients britanniques, Valenta AI Limited est enregistrée auprès de l'Information Commissioner's Office (ICO) en tant que responsable du traitement et sous-traitant (numéro d'enregistrement ZB518204). Un accord de traitement des données est disponible pour toutes les missions concernées.
Valenta est-elle conforme à la loi HIPAA ?
Oui, pour les missions dans le secteur de la santé aux États-Unis. Lorsque Valenta est mandatée pour fournir des services impliquant des informations médicales protégées pour le compte d’une entité couverte ou d’un partenaire commercial, ces services sont régis par les exigences applicables de la loi HIPAA. Valenta ne sera pas considérée comme un partenaire commercial, sauf accord écrit explicite.
Qui, chez Valenta, a accès à mes données ?
Uniquement les membres de l'équipe affectés à votre mission spécifique. L'accès n'est pas partagé avec d'autres clients ou projets, quels que soient leur ancienneté ou leur lieu de travail. Tous les droits d'accès sont officiellement révoqués à la clôture de la mission et cette révocation vous est confirmée par écrit.
Qu'advient-il de mes données à la fin de la mission ?
Tout accès de Valenta à votre environnement est officiellement révoqué à la clôture de la mission. Les environnements de développement et de test, les copies temporaires de données et les connexions API de test sont intégralement supprimés dès que la passation est confirmée. Une confirmation écrite de la révocation de l'accès vous est fournie.
Valenta dispose-t-elle d'un accord sur le traitement des données ?
Oui. Pour les missions au Royaume-Uni, un accord sur le traitement des données (DPA) est conclu dès le début de la prestation de services, conformément à l’article 28 du RGPD britannique. Pour les missions au sein de l’Union européenne menées par Valenta GmbH, un accord sur le traitement des données fait partie intégrante de chaque contrat. Veuillez contacter votre associé gérant chez Valenta afin d’obtenir l’accord sur le traitement des données applicable à votre juridiction.
Le profil de risque diffère-t-il entre les missions de RPA et celles liées aux données et à l'IA ?
Oui, et nous abordons cette question de front. Les missions « Données et IA » impliquent un accès plus étendu aux données, des interactions avec des modèles d’IA et des obligations supplémentaires en matière de gouvernance. Valenta dispose d’une politique dédiée à la gouvernance et à la sécurité de l’IA qui couvre le cycle de vie des données d’IA, la gouvernance des modèles, l’inférence sans état, les contrôles de supervision humaine et la gestion des artefacts à la fin de la mission. Contactez votre associé gérant pour obtenir la documentation complète relative à une mission « Données et IA ».
Vous avez des questions spécifiques concernant la sécurité ou la conformité ?
Votre associé gérant chez Valenta peut organiser un entretien téléphonique consacré à l'examen technique, vous fournir des documents supplémentaires ou coordonner la remise d'un questionnaire de sécurité dûment rempli. Nous travaillons en collaboration directe avec votre équipe chargée de la conformité.