Flowie est conforme au RGPD, hébergée en UE et certifiée ISO 27001:2022. Nous avons 9 sous-traitants nommés, tous couverts par des Accords de Traitement des Données et des Clauses Contractuelles Types. Notre modèle DPA est disponible en anglais et français (révision mai 2025). Les données client sont traitées exclusivement au sein de l'UE sous le cloud souverain S3NS — primaire à Paris, reprise d'activité en Belgique. Les fournisseurs d'IA ne traitent que du texte descriptif ; ils ne voient jamais les montants financiers ou les numéros de compte, et ils sont contractuellement engagés à zéro ré-entraînement. Cette page vous oriente vers les engagements spécifiques dont vous avez besoin : contrôles de sécurité, détails des sous-traitants, et procédures de notification de violation.
Reconnu par les directions financières d'entreprise
RGPD
Flowie traite les données financières et d'approvisionnement B2B. Cela signifie les factures, les conditions de paiement, les identités de fournisseurs et les workflows d'approbation — des données qui portent un poids légal et fiduciaire. Nous les traitons en conséquence.
Selon le RGPD, votre organisation détient les droits sur chaque élément de donnée personnelle que Flowie traite en votre nom. Ces droits ne sont pas théoriques.
Pour exercer l'un de ces droits, contactez privacy@flowie.fr. Nous répondons sous 30 jours.
Article 28 RGPD
Chaque relation client chez Flowie est gouvernée par un Accord de Traitement des Données signé. L'APD définit le périmètre du traitement, la base légale, les obligations des sous-traitants, les procédures de droits des personnes concernées, et votre capacité à auditer.
Le modèle d'APD actuel a été révisé en mai 2025 et est disponible en anglais et français. Il s'aligne sur les exigences de l'Article 28 RGPD et inclut une annexe complète des sous-traitants référencée à la liste publiée à /trust/subprocessors.
Si vous avez besoin d'un APD contresigné avant approbation d'approvisionnement, nous pouvons traiter votre demande rapidement — le délai habituel dépend des redlines spécifiques soumises. Demandez-le via le formulaire en bas de cette page ou contactez directement legal@flowie.fr.
⚠️ À VALIDER : confirmez le SLA spécifique de contresignature de l'APD avec Legal avant publication (par exemple « dans X jours ouvrables ») si un engagement public est souhaité.
Aucun client ne devient opérationnel sans APD signée en place.
9 fournisseurs nommés
Flowie utilise 9 sous-traitants nommés. Chacun a un Accord de Traitement des Données signé avec nous. Les sous-traitants hors UE sont couverts par les Clauses Contractuelles Types. Le tableau complet — incluant le but, la catégorie de données, le lieu d'hébergement, la période de rétention, et les certifications de sécurité pour chaque fournisseur — est publié ci-dessous et à /trust/subprocessors.
S3NS · cloud souverain
Toutes les données client de Flowie sont traitées et stockées au sein de l'Union Européenne. Il n'y a pas d'exceptions.
Notre partenaire d'infrastructure est S3NS — la plateforme cloud souveraine construite conjointement par Google Cloud et Thales. S3NS opère selon la loi française, répond aux exigences SecNumCloud de l'ANSSI, et fournit la séparation physique et logique de l'infrastructure cloud relevant de la juridiction US.
Région primaire : Paris, France. Région de reprise d'activité : Belgique. Les données ne traversent pas les frontières de l'UE au niveau infrastructure.
Pour les workloads IA spécifiquement, Mistral AI est hébergé en France, ce qui signifie que le cycle d'inférence complet pour l'un de nos trois fournisseurs IA reste au sein du territoire français et sous la loi française de protection des données. Les deux fournisseurs IA basés aux USA (OpenAI, Anthropic) opèrent sous les CCT signées et ne traitent que la catégorie de données restreinte décrite dans la section suivante.
Flowie n'utilise pas d'infrastructure hébergée aux États-Unis, au Royaume-Uni, ou tout autre juridiction hors UE pour le stockage ou traitement principal des données.
Trois fournisseurs d'IA
Cette section est plus spécifique que ce que la plupart des fournisseurs fournissent, car les questions que nous recevons sont spécifiques.
Flowie intègre trois fournisseurs d'IA : OpenAI, Mistral AI et Anthropic. Chacun est utilisé pour des tâches de traitement du langage naturel — extraction de valeurs de champs à partir de texte de document, correspondance d'articles de ligne, catégorisation de descriptions.
Ce que les fournisseurs IA reçoivent
Texte descriptif uniquement. Noms de fournisseurs, descriptions de postes de ligne, références de produit, titres de document. C'est le périmètre complet.
Ce que les fournisseurs IA ne reçoivent jamais
Montants financiers, numéros IBAN ou de compte, valeurs de conditions de paiement, ou tout champ de donnée qui pourrait identifier l'exposition financière d'une transaction.
Ceci est imposé à la couche préparation des données avant tout appel ne quitte notre infrastructure. Ce n'est pas une préférence de politique — c'est une limite technique.
Engagement de zéro ré-entraînement — engagement contractuel
Les trois fournisseurs d'IA sont liés par contrat à ne pas utiliser les données client de Flowie pour entraîner ou affiner leurs modèles. Ceci s'applique aux données soumises par API et ne dépend pas des paramètres produit ou opt-outs. L'engagement est par écrit, dans les annexes DPA.
Résidence des données UE pour l'IA
Mistral AI est hébergé en France. Pour OpenAI et Anthropic, le transfert de données vers les USA est gouverné par les Clauses Contractuelles Types.
Si votre équipe de sécurité a besoin du langage spécifique de l'APD couvrant les contraintes de traitement IA, demandez-le via le formulaire d'APD ci-dessous.
RGPD Articles 33 / 34
Flowie maintient un Plan de Réponse aux Incidents RGPD dédié, séparé de la politique de gestion des incidents générale. Il gouverne spécifiquement ce qui se passe quand des données personnelles sont impliquées dans un événement de sécurité.
Engagement de notification 72 heures
En cas de violation de donnée personnelle atteignant le seuil de l'Article 33 RGPD, Flowie notifie l'autorité de contrôle compétente dans les 72 heures à partir du moment où elle a connaissance de la violation. Ce n'est pas un objectif — c'est notre obligation contractuelle et réglementaire.
Notification client
Quand une violation est susceptible de créer un risque élevé pour les droits et libertés de vos utilisateurs, nous vous notifions sans délai inutile de sorte que vous puissiez satisfaire vos propres obligations RGPD Article 34. La notification inclut la nature de la violation, les catégories et le nombre approximatif de personnes concernées affectées, les conséquences probables, et les mesures prises ou proposées.
Comment la notification vous atteint
Via le contact technique et le contact DPO désigné dans votre APD signé. Si ces contacts changent, mettez-les à jour auprès de votre gestionnaire de compte de sorte que le routage de notification reste actuel.
Le Plan de Réponse aux Incidents RGPD complet est disponible pour examen sous NDA comme partie de la due diligence avancée.
Validation indépendante par tiers
Certifiée. Renouvellement en cours (audit de surveillance/recertification 2026). Détails complets du certificat disponibles sous NDA.
Score 878 / 1000 · Moyenne sectorielle 654 (évaluation 2024-10-04)
Certifiée décembre 2025 · Mandat de facturation électronique français (XP Z12-014)
Conforme · Interopérabilité de facturation électronique paneuropéenne
Non détenue actuellement — voir FAQ
La preuve de sécurité supplémentaire — rapports de test d'intrusion, résultats d'analyse continue Detectify, et la Déclaration d'Applicabilité ISMS complète — est disponible aux prospects qualifiés sous NDA.
Les acheteurs nous demandent
Demandez un APD contresigné en anglais ou français.