Plain.
Essayer
Retour à l'accueilSécurité · données / confidentialité
Plain · sécurité honnête

Comment nous traitons vos données.

Pas de platitudes. Trois listes : ce qu’on fait aujourd’hui / ce qui arrive / ce qu’on ne fera jamais. Tant qu’on n’est pas assez grands pour des audits de conformité complets, cette page est l’engagement.

Ce qu’on fait aujourd’hui

Aujourd’hui

  • Les données vivent dans Neon Postgres

    Plain stocke dans Neon Postgres (US-east) · Cloudflare R2 pour les images / ressources. Export à tout moment en .pptx / .docx / .xlsx, ou partage sous forme de lien (l’artefact principal). Suppression de compte = takeout + effacement.

  • Tout le trafic en TLS

    Web / CLI / MCP, tout en HTTPS. Quand les appels LLM passent par notre gateway, on ne journalise pas le contenu des prompts — uniquement des métadonnées d’usage pour la facturation (nombre de tokens, durées).

  • Connexion par magic link, sans mot de passe

    Better Auth + Resend. Les liens expirent en 5 minutes, à usage unique. OAuth via Google, session renouvelée tous les 7 jours.

  • Votre contenu n’entraîne aucun modèle

    Nous ne donnons jamais vos documents à un LLM pour l’entraînement. Les appels LLM sont des requêtes-réponses one-shot — prompt + complétion ne quittent jamais la session.

  • Accès LLM uniquement via gateway

    Tous les appels IA passent par le gateway de Plain. On ne stocke pas le contenu des prompts ; uniquement des métadonnées d’usage pour la facturation (tokens / durée). Pas de BYOK — ça garde un modèle de sécurité simple et auditable.

Sur la roadmap

Pas encore, mais ça arrive

  • SOC 2 Type II

    Dossiers d’audit en préparation. Objectif : un rapport Type II avant fin 2026. Les clients qui ont besoin de SOC 2 pour signer peuvent écrire à hi@inplain.app pour obtenir un questionnaire de sécurité fournisseur en avance.

  • SSO / SAML

    Le plan Team livre le SSO SAML + le provisionnement SCIM au T4 2026. L’OAuth Google Workspace fonctionne aujourd’hui en remplacement.

  • Déploiements régionaux

    La région principale est US-east aujourd’hui. Le stockage régional EU / APAC est sur la roadmap — pinguez-nous si vous en avez besoin.

Jamais

Nous ne ferons jamais

  • Vendre vos données

    Jamais. On gagne notre argent sur la facturation à l’usage, pas sur le courtage de données. Écrit dans les CGU.

  • Utiliser votre contenu pour entraîner

    Jamais. Même si un fournisseur de LLM propose un « entraînement opt-in contre une réduction », on l’écarte à la sélection.

  • Vous faire payer l’export

    .pptx / .docx / .xlsx / .pdf / source Markdown — toujours gratuit. On vend du compute IA, pas des murs autour des données.

Vous avez trouvé un problème de sécurité ?

Écrivez à security@inplain.app. Réponse sous 24 h, divulgation responsable sous 90 jours. Pour les questions de confidentialité non urgentes, hi@inplain.app.

Dernière mise à jour · 2026-05 · cette page reflète la réalité, pas du compliance theater