Dossier de conformité
Récapitulatif présentable en due diligence · Mise à jour du 27 avril 2026.
Cette page agrège les engagements opérationnels de Forhia en matière de protection des données, de sécurité, de transparence IA et de gouvernance. Tous les artefacts liés sont publics et opposables. Pour toute due diligence approfondie ou pour signer un DPA personnalisé, contactez dpo@forhia.fr.
Identité et hébergement
| Élément | Détail |
|---|---|
| Responsable de traitement | Forhia · Saqab Shah, fondateur |
| Délégué à la protection des données | dpo@forhia.fr |
| Hébergement applicatif | Railway · région EU (Frankfurt) |
| Base de données | Supabase Postgres · région EU (Ireland, eu-west-1) |
| Monitoring d'erreurs | Sentry · instance UE (Allemagne) |
| Localisation des données client | Union européenne. Aucun stockage hors UE. |
RGPD — Engagements
- Politique de confidentialité détaillée et publiée : /legal/privacy.
- DPA standard signable, version stable opposable : /legal/dpa. Versions personnalisées pour grands comptes sur demande.
- Liste exhaustive des sous-traitants tenue à jour avec base légale du transfert (CCT 2021/914 ou DPF) : /legal/subprocessors. Notification 30 jours avant tout ajout matériel.
- AIPD générale (DPIA) conduite à titre proactif : document interne disponible sur demande.
- AIPD spécifique GEO Scan : couvre les données tierces incidentelles retournées par les LLM (dirigeants nommés, etc.). Document interne disponible sur demande.
- Registre des traitements (Art 30) tenu à jour.
- Exercice des droits :
- Utilisateurs Forhia : depuis /account (export Art 20, suppression Art 17, rectification Art 16).
- Tiers non-utilisateurs : formulaire dédié /legal/privacy-request.
- SLA 30 jours conformément à l'article 12 §3 RGPD.
- Notification de violation à la CNIL et aux personnes concernées dans les 72 heures (Art 33 et 34).
- Retention auto : sortie brutes IA anonymisées après 12 mois, audit log conservé 36 mois, comptes supprimés conservés anonymisés 3 ans puis purgés. Cron quotidien dédié.
AI Act (UE 2024/1689) — Classification
- Forhia est qualifié de système d'IA à risque limité au sens de l'article 50.
- Forhia n'est pas un système à haut risque au sens de l'Annexe III §4 (recrutement, évaluation candidat, décision RH).
- Garde-fou produit documenté : toute évolution glissant vers du tri de candidatures déclencherait une revue immédiate de la classification.
- Page publique dédiée : /legal/ai-act.
- Transparence Art 50 implémentée sur tous les contenus générés : marquage
ai_disclosure, mention UI obligatoire, relecture humaine appelée explicitement.
Sécurité technique
| Domaine | Mesure |
|---|---|
| Chiffrement en transit | TLS 1.2+ obligatoire (HSTS). |
| Chiffrement au repos | AES-256 (Supabase). |
| Authentification | OTP 6 chiffres + Supabase Auth + sessions versionnées. |
| Cloisonnement multi-tenant | RLS Postgres sur 100 % des tables, tests RLS automatisés en CI. |
| Audit log immuable | Trigger Postgres rejetant UPDATE/DELETE. |
| Rate limiting | Sliding window sur tous les endpoints exposés (auth, sign-up, IA, RGPD, privacy-request). |
| Headers sécurité | CSP, HSTS, X-Frame-Options DENY, Permissions-Policy stricts. |
| Scrubbing PII télémétrie | Regex stricte sur Sentry (email, IP, headers, body). |
| Sauvegardes | Postgres quotidien, rétention 7 jours. |
| Rotation secrets | Trimestrielle. Hook gitleaks pre-commit. |
| Revue de code | Obligatoire avant merge. CI bloquante. |
Gouvernance et processus
- Calendrier de revue compliance documenté (
docs/COMPLIANCE_CALENDAR.md) : revue hebdo des dépendances, mensuelle de la rétention, trimestrielle des secrets et backups, annuelle de l'AIPD. - Notification des sous-traitants : tout ajout ou retrait fait l'objet d'une notification 30 jours avant prise d'effet, avec droit d'opposition motivé pour le Client.
- Coopération autorités : Forhia coopère avec la CNIL, l'AI Office et toute autorité française désignée. Documentation et éléments d'audit fournis sous 5 jours ouvrés sur réquisition.
- Politique d'usage IA : interdiction explicite dans les CGU agences en marque blanche d'utiliser Forhia pour du tri de candidatures, de l'évaluation individuelle ou de la décision RH automatisée.
Le minimum à demander à un éditeur (et que Forhia fournit)
- ✅ Politique de confidentialité publique et complète
- ✅ DPA signable opposable (Art 28 RGPD)
- ✅ Liste des sous-traitants avec localisation et base légale
- ✅ DPIA conduite et disponible sur demande
- ✅ Mécanisme d'exercice des droits opérationnel (utilisateurs et tiers)
- ✅ Hébergement EU avec preuve documentaire
- ✅ Politique de rétention publiée et automatisée
- ✅ Notification de violation 72h documentée
- ✅ Classification AI Act explicite et opposable
- ✅ Engagements Art 50 transparence implémentés
Documents publics liés
- Politique de confidentialité
- Conditions générales d'utilisation
- Data Processing Agreement
- Liste des sous-traitants
- Classification AI Act
- Charte cookies
- Formulaire de demande RGPD (tiers)
Documents internes disponibles sur demande
- AIPD générale Forhia (
docs/DPIA_FORHIA.md) - AIPD spécifique GEO Scan (
docs/DPIA_GEO_SCAN.md) - Classification AI Act détaillée (
docs/AI_ACT_CLASSIFICATION.md) - Registre des traitements Art 30 (
docs/REGISTRE_TRAITEMENTS_ART30.md) - Calendrier de revue compliance (
docs/COMPLIANCE_CALENDAR.md) - Document sécurité (
docs/SECURITY.md)
Pour obtenir un document interne, écrivez à dpo@forhia.fr en précisant le contexte (due diligence, audit, conformité fournisseur). Réponse sous 5 jours ouvrés.