№ 004 Garanties 12 engagements contractuels
Ce qui suit n'est pas un argumentaire commercial. Ce sont les douze clauses qui figurent au contrat — souveraineté, chiffrement, audit, réversibilité, support. Si l'une d'elles n'est pas tenue, la sanction est écrite. La parole tient parce qu'elle est gagée.
№ 01 — Le détail des douze engagements
Souveraineté des données
Vos données restent sur un serveur d'inférence installé physiquement dans votre étude. Les composants cloud (modèles génériques, mises à jour signées) sont hébergés exclusivement chez OVHcloud Strasbourg ou Scaleway Paris. Aucune traversée d'un cloud américain, aucune dépendance à un fournisseur extra-européen. La localisation est inscrite à l'annexe technique du contrat.
Chiffrement de bout en bout
Le coffre de votre étude est chiffré au repos par AES-256-GCM (implémentation Rust auditable). La clé maître est dérivée par Argon2id, paramétrée à 64 MiB de mémoire et trois itérations — choix calibré pour résister aux attaques par dictionnaire matériel. Les bases de données sont elles-mêmes chiffrées (SQLCipher 4.6 / PostgreSQL avec chiffrement disque AES-256).
eID belge et authentification triple facteur
L'accès au coffre exige trois facteurs combinés : votre PIN eID saisi au clavier, votre passphrase, et un sel matériel généré localement par le module de plateforme sécurisée (TPM). Aucun des trois n'est persisté. Le PIN n'est jamais stocké. Les saisies PIN à l'écran sont contractuellement interdites (politique « PinPad refuse V1 explicite » consignée au code).
Journal d'audit chaîné
Chaque opération sensible (accès au coffre, appel à un modèle, consultation de dossier, lecture d'archive) est consignée dans un journal d'audit chaîné par HMAC-SHA256. Toute rupture de la chaîne est mécaniquement détectable. Le journal est conçu pour soutenir un audit externe de type SOC 2 et reste votre propriété pleine et entière.
Conformité RGPD
Un Data Processing Agreement conforme à l'article 28 du RGPD est signé à la commande. Il désigne LTC Group SRL comme sous-traitant, fixe les finalités, les durées de conservation, les sous-traitants ultérieurs autorisés (uniquement UE), et formalise vos droits de contrôle et d'audit. Le registre des activités de traitement est tenu et vous est accessible.
Période de mode shadow
Pendant les trente premiers jours d'utilisation des fonctions génératives, chaque sortie de l'IA est validée par un humain avant d'être diffusée. La bascule en mode autonome n'a lieu qu'au terme d'indicateurs de qualité conjointement validés (taux de divergence, taux d'acceptation, dossiers complétés). Cette période est non négociable.
Citations natives
Toute proposition de l'IA — clause d'acte, jurisprudence, article de loi, donnée extraite d'une archive — est accompagnée d'un lien direct vers la source originelle. Aucune affirmation sans référence vérifiable. Les sources sont stockées localement et restent accessibles même hors connexion.
Pipeline Veil™ trois couches
Aucune donnée d'étude ne franchit le périmètre local sans avoir traversé les trois couches du moteur Veil™ : règles déterministes calibrées sur seize entités belges (Numéro National avec contrôle modulo 97, BCE, IBAN, cadastre CADNET, etc.), reconnaissance d'entités nommées français et néerlandais, critique par modèle linguistique exécuté localement. En cas de doute, sortie locale uniquement.
Réversibilité totale
À tout moment et sans préavis, vous pouvez exporter l'intégralité de vos données dans des formats ouverts (PDF/A pour les actes, JSON pour les dossiers, CSV pour les tables, SQL pour la base). Aucun verrou propriétaire. Aucun frais de sortie. La clause de réversibilité figure en lettres explicites au contrat.
Intégrité du logiciel
L'application desktop est signée sous certificat de validation étendue (EV) délivré par GlobalSign. Chaque mise à jour livrée est signée Ed25519 par la clé éditeur. Votre poste vérifie la signature avant installation et refuse toute version non signée. Aucun installeur tiers n'est techniquement possible.
Backup chiffré côté client
Vos sauvegardes sont chiffrées localement par votre poste avant tout transfert. Le format de sauvegarde combine dérivation scrypt et chiffrement authentifié AES-256-GCM, sous une enveloppe identifiable par un magic header. Aucune clé n'est conservée par l'éditeur. La récupération est conditionnée à votre passphrase de sauvegarde — pas à un mot de passe partagé.
Support et continuité
Aucun ticket anonyme, aucun support sous-traité. Les incidents arrivent directement à Cyrille et Loïc, fondateurs. Réponse en 4 heures ouvrées au plus. Bilan trimestriel posé en agenda dès la bascule. Mises à jour gratuites pendant toute la durée de l'abonnement. La continuité de service est l'engagement le plus simple — et le plus suivi.
№ 02 — Ce qu'on ne promet pas
Nous ne promettons pas
Chaque acte produit par l'IA reste soumis à votre lecture, votre signature, votre paternité juridique. Nous concevons un outil d'augmentation, pas un substitut au notaire. La responsabilité de l'acte reste vôtre — et nous l'écrivons clairement.
Nous ne promettons pas
Aucun modèle linguistique n'est infaillible. C'est précisément pour cela que nous imposons un mode shadow systématique, des citations natives et une révision humaine de chaque sortie. La machine propose, l'humain dispose — toujours.
Nous ne promettons pas
Quatre-vingt-dix jours ne se compriment pas en deux semaines. La phase d'audit et la période de mode shadow sont incompressibles. Tout vendeur qui promet plus rapide promet l'incident.
Nous ne promettons pas
Tous les logiciels de gestion d'étude ne disposent pas d'une API ouverte. Lorsque le pont natif est impossible, nous fournissons des passerelles d'import/export — toujours, mais sans masquer la limite. Le diagnostic offert sert exactement à valider ce point.
№ 03 — Engagements de service
SLA incident bloquant
Tout incident bloquant l'utilisation normale du service reçoit une réponse en quatre heures ouvrées. Si la réponse dépasse ce délai, le mois d'abonnement concerné est remboursé.
Disponibilité opérationnelle
L'application étant majoritairement locale, sa disponibilité ne dépend pas d'un cloud distant. L'indicateur de 99,5 % en heures ouvrées porte sur les composants en ligne (mises à jour, registres, hébergement souverain).
Sauvegardes
Sauvegardes locales quotidiennes chiffrées côté client (scrypt + AES-256-GCM). Une procédure de restauration documentée est livrée et testée lors de la bascule. La récupération conditionnelle à votre passphrase de sauvegarde — jamais à une clé partagée.
Récupération après sinistre
En cas de sinistre matériel, l'objectif de point de récupération (RPO) est de 24 h, l'objectif de temps de récupération (RTO) de 48 h ouvrées. Les paramètres sont reproductibles depuis votre backup chiffré côté client.
Pour démarrer
Aucun engagement de signature ne vous est demandé avant que vous n'ayez relu, fait relire, et compris chacune des douze garanties. Le diagnostic offert est la porte d'entrée — il sert exactement à cela.
