+33 9 84 25 52 61
Se connecter
Souveraineté et conformité

Votre fournisseur d'identité, sous juridiction européenne.

Obexal est conçu dans l'Union européenne et hébergé en France, sans dépendance hors UE dans le chemin des requêtes. Un seul régime juridique, un seul endroit où vivent vos données, et des contrôles pensés pour soutenir votre travail de conformité.

Le problème d'une couche d'identité ancrée aux États-Unis

Votre annuaire contient chaque employé, chaque accès, chaque journal d'audit. Où il réside, et quelle loi le gouverne, n'est pas un détail.

Portée du Cloud Act

La loi américaine peut contraindre un fournisseur US à remettre les données qu'il contrôle, où qu'elles se trouvent physiquement. Un datacenter dans l'UE détenu par une maison mère américaine ne supprime pas cette exposition.

Extraterritorialité

Quand votre fournisseur d'identité répond à une juridiction étrangère, les décisions d'accès sur vos effectifs peuvent être façonnées par des règles que vous n'avez jamais acceptées.

Schrems II

Les transferts de données personnelles vers les États-Unis portent une incertitude juridique. Garder les données et l'opérateur dans l'UE retire le transfert de l'équation.

Responsabilité éclatée

Plusieurs fournisseurs répartis sur des régions et des régimes juridiques rendent plus difficile une réponse cohérente à votre DPO. Un seul opérateur UE, c'est une seule ligne de responsabilité claire.

Ce que « souverain » veut dire ici, concrètement

Hébergé en France, aucune dépendance hors UE

La souveraineté n'est pas un slogan sur cette page. C'est un ensemble de choix vérifiables : où le logiciel s'exécute, ce qu'il appelle à l'extérieur, et quelle loi le gouverne.

  • Hébergé en France, dans un datacenter en région parisienne
  • Résidence des données dans l'UE, aucune dépendance hors UE dans le chemin des requêtes
  • Polices auto-hébergées, aucun CDN externe, aucun traqueur tiers sur l'écran de connexion
  • RGPD traité comme une contrainte de conception, pas comme une réflexion après coup
  • Isolation multi-tenant avec marque blanche et domaines par tenant
Votre utilisateur
accounts.obexal.comhébergé en France, région parisienne
Réponseaucun appel hors UE dans le chemin de la requête

Polices auto-hébergées, aucun CDN externe, aucun traqueur tiers sur l'écran de connexion.

RGPD, AI Act, NIS2 et DORA

RGPD. Obexal est conçu pour un traitement licite au sens du RGPD : données hébergées dans l'UE, aucun transfert hors UE dans le chemin des requêtes, attributs de profil minimisés, et journaux d'audit qui documentent les décisions d'accès. L'accord de traitement des données est publié sur /legal/dpa/ et la politique de confidentialité sur /legal/privacy/ ; la liste nominative des sous-traitants est communiquée via la page contact.

AI Act. Obexal ne se déclare pas « conforme AI Act », et aucun éditeur ne peut vous l'accorder à lui seul. Ce qu'Obexal apporte, c'est un soutien aux obligations qui vous incombent lorsque vous déployez des agents IA : traçabilité par le journal d'audit, kill switch pour arrêter un agent, identifiants à périmètre et à durée bornés, et supervision humaine par la revue attestée et la détection d'anomalies. La conformité reste votre responsabilité ; ces contrôles sont là pour la rendre atteignable.

NIS2 et DORA. Obexal outille vos exigences de contrôle d'accès et de journalisation ; l'applicabilité NIS2/DORA dépend de votre statut, pas du nôtre. Nous décrivons ce que fait le produit, la qualification juridique revient à votre conseil.

Des preuves, pas des adjectifs

Les faits ci-dessous sont ce qu'un RSSI ou un DPO demandera en premier. Nous les disons tels qu'ils sont, et nous les tenons à jour.

Hébergement
France, datacenter en région parisienne
Résidence des données
Union européenne
Transferts hors UE
Aucun dans le chemin des requêtes, aucun CDN externe, polices auto-hébergées
Entité juridique
Société française en cours de structuration, [À REMPLIR: SIREN] ; le fondateur répond directement
Sous-traitants
Hébergeur UE (France) et fournisseur d'e-mail transactionnel UE ; liste nominative via la page contact
Certifications
Non certifié ISO 27001, SOC 2 ou HDS à ce jour ; correspondance ISO 27001:2022 documentée ; feuille de route SecNumCloud engagée
Chiffrement
TLS 1.2 minimum (1.3 privilégié), secrets applicatifs chiffrés AES-256-GCM au repos, mots de passe hachés Argon2id

Questions fréquentes

Obexal est-il soumis au Cloud Act américain ?

Obexal est un opérateur européen : hébergé en France dans un datacenter en région parisienne, sans dépendance hors UE dans le chemin des requêtes, et édité par une société française en cours de structuration. L'intention de cette conception est de garder vos données et leur opérateur sous juridiction européenne, à l'écart de toute portée extraterritoriale étrangère.

Transférez-vous des données personnelles hors de l'Union européenne ?

Non. Les données restent dans l'UE, ce qui retire la question du transfert Schrems II de votre analyse. Les polices auto-hébergées et l'absence de CDN externe font que l'écran de connexion n'appelle pas non plus d'endpoints externes.

Êtes-vous certifié ISO 27001 ou SOC 2 ?

Non à ce jour, et nous le disons plutôt que de le suggérer. Une correspondance ISO 27001:2022 est documentée, et la feuille de route SecNumCloud est engagée. Demandez l'état à jour du dossier sécurité via la page contact.

Obexal peut-il se dire conforme à l'AI Act ?

Non, et nous ne le ferons pas. La conformité est une propriété de votre déploiement et de votre organisation, pas d'un seul éditeur. Obexal soutient vos obligations par la traçabilité, des identités d'agent à périmètre borné, la supervision humaine et un kill switch, afin que le travail de conformité qui vous revient soit atteignable.

Où obtenir l'accord de traitement et la liste des sous-traitants ?

L'accord de traitement des données est publié sur /legal/dpa/ et la politique de confidentialité sur /legal/privacy/. La liste nominative des sous-traitants (hébergeur UE et fournisseur d'e-mail transactionnel UE) est communiquée via la page contact.

Quelle est la structure juridique derrière Obexal ?

Obexal est édité par une société française en cours de structuration ; le numéro SIREN sera publié dès l'immatriculation achevée. D'ici là, le fondateur répond directement : la page contact ou +33 9 84 25 52 61. Nous préférons cette réponse honnête à un tableau de faits vides.

Pouvons-nous garder notre propre marque et notre domaine ?

Oui. Obexal est multi-tenant et marque blanche : chaque tenant dispose de son branding, de ses domaines et d'un portail employé self-service, le tout au sein de la même plateforme hébergée dans l'UE. Voir la gestion des accès.

Placez votre couche d'identité sous juridiction européenne.

Le dossier sécurité couvre l'hébergement, le chiffrement, les sous-traitants et le statut des certifications, dits tels qu'ils sont.