Votre fournisseur d'identité, sous juridiction européenne.
Obexal est conçu dans l'Union européenne et hébergé en France, sans dépendance hors UE dans le chemin des requêtes. Un seul régime juridique, un seul endroit où vivent vos données, et des contrôles pensés pour soutenir votre travail de conformité.
Le problème d'une couche d'identité ancrée aux États-Unis
Votre annuaire contient chaque employé, chaque accès, chaque journal d'audit. Où il réside, et quelle loi le gouverne, n'est pas un détail.
Portée du Cloud Act
La loi américaine peut contraindre un fournisseur US à remettre les données qu'il contrôle, où qu'elles se trouvent physiquement. Un datacenter dans l'UE détenu par une maison mère américaine ne supprime pas cette exposition.
Extraterritorialité
Quand votre fournisseur d'identité répond à une juridiction étrangère, les décisions d'accès sur vos effectifs peuvent être façonnées par des règles que vous n'avez jamais acceptées.
Schrems II
Les transferts de données personnelles vers les États-Unis portent une incertitude juridique. Garder les données et l'opérateur dans l'UE retire le transfert de l'équation.
Responsabilité éclatée
Plusieurs fournisseurs répartis sur des régions et des régimes juridiques rendent plus difficile une réponse cohérente à votre DPO. Un seul opérateur UE, c'est une seule ligne de responsabilité claire.
Ce que « souverain » veut dire ici, concrètement
Hébergé en France, aucune dépendance hors UE
La souveraineté n'est pas un slogan sur cette page. C'est un ensemble de choix vérifiables : où le logiciel s'exécute, ce qu'il appelle à l'extérieur, et quelle loi le gouverne.
- Hébergé en France, dans un datacenter en région parisienne
- Résidence des données dans l'UE, aucune dépendance hors UE dans le chemin des requêtes
- Polices auto-hébergées, aucun CDN externe, aucun traqueur tiers sur l'écran de connexion
- RGPD traité comme une contrainte de conception, pas comme une réflexion après coup
- Isolation multi-tenant avec marque blanche et domaines par tenant
Polices auto-hébergées, aucun CDN externe, aucun traqueur tiers sur l'écran de connexion.
Des contrôles qui soutiennent votre conformité
Obexal ne s'auto-certifie pas contre tous les référentiels. Il fournit les contrôles techniques dont un programme de conformité a besoin, et les preuves pour les étayer. Chaque carte mène à la page qui détaille.
Journal d'audit
Chaque action sensible est enregistrée et exportable, avec un endpoint de flux temps réel à brancher sur votre SIEM.
Policy-as-code
L'accès conditionnel est versionné, simulé sur 30 jours de connexions réelles avant application, et restaurable à toute version.
Supervision humaine des agents
Des identités d'agent IA bornées : plafond de scopes, plafond de TTL, revue attestée et kill switch immédiat.
Gouvernance du cycle de vie
SCIM 2.0 entrant et sortant, déprovisionnement automatique à la suspension, échecs audités : l'annuaire reste honnête.
Authentification forte
Passkeys, TOTP et code e-mail, avec step-up imposé par politique. Pas de SMS, par choix.
Rétention et résidence
Les données restent dans l'UE sous un régime juridique unique, ce qui simplifie les volets résidence et rétention de votre registre des traitements.
RGPD, AI Act, NIS2 et DORA
RGPD. Obexal est conçu pour un traitement licite au sens du RGPD : données hébergées dans l'UE, aucun transfert hors UE dans le chemin des requêtes, attributs de profil minimisés, et journaux d'audit qui documentent les décisions d'accès. L'accord de traitement des données est publié sur /legal/dpa/ et la politique de confidentialité sur /legal/privacy/ ; la liste nominative des sous-traitants est communiquée via la page contact.
AI Act. Obexal ne se déclare pas « conforme AI Act », et aucun éditeur ne peut vous l'accorder à lui seul. Ce qu'Obexal apporte, c'est un soutien aux obligations qui vous incombent lorsque vous déployez des agents IA : traçabilité par le journal d'audit, kill switch pour arrêter un agent, identifiants à périmètre et à durée bornés, et supervision humaine par la revue attestée et la détection d'anomalies. La conformité reste votre responsabilité ; ces contrôles sont là pour la rendre atteignable.
NIS2 et DORA. Obexal outille vos exigences de contrôle d'accès et de journalisation ; l'applicabilité NIS2/DORA dépend de votre statut, pas du nôtre. Nous décrivons ce que fait le produit, la qualification juridique revient à votre conseil.
Des preuves, pas des adjectifs
Les faits ci-dessous sont ce qu'un RSSI ou un DPO demandera en premier. Nous les disons tels qu'ils sont, et nous les tenons à jour.
- Hébergement
- France, datacenter en région parisienne
- Résidence des données
- Union européenne
- Transferts hors UE
- Aucun dans le chemin des requêtes, aucun CDN externe, polices auto-hébergées
- Entité juridique
- Société française en cours de structuration, [À REMPLIR: SIREN] ; le fondateur répond directement
- Sous-traitants
- Hébergeur UE (France) et fournisseur d'e-mail transactionnel UE ; liste nominative via la page contact
- Certifications
- Non certifié ISO 27001, SOC 2 ou HDS à ce jour ; correspondance ISO 27001:2022 documentée ; feuille de route SecNumCloud engagée
- Chiffrement
- TLS 1.2 minimum (1.3 privilégié), secrets applicatifs chiffrés AES-256-GCM au repos, mots de passe hachés Argon2id
Questions fréquentes
Obexal est-il soumis au Cloud Act américain ?
Obexal est un opérateur européen : hébergé en France dans un datacenter en région parisienne, sans dépendance hors UE dans le chemin des requêtes, et édité par une société française en cours de structuration. L'intention de cette conception est de garder vos données et leur opérateur sous juridiction européenne, à l'écart de toute portée extraterritoriale étrangère.
Transférez-vous des données personnelles hors de l'Union européenne ?
Non. Les données restent dans l'UE, ce qui retire la question du transfert Schrems II de votre analyse. Les polices auto-hébergées et l'absence de CDN externe font que l'écran de connexion n'appelle pas non plus d'endpoints externes.
Êtes-vous certifié ISO 27001 ou SOC 2 ?
Non à ce jour, et nous le disons plutôt que de le suggérer. Une correspondance ISO 27001:2022 est documentée, et la feuille de route SecNumCloud est engagée. Demandez l'état à jour du dossier sécurité via la page contact.
Obexal peut-il se dire conforme à l'AI Act ?
Non, et nous ne le ferons pas. La conformité est une propriété de votre déploiement et de votre organisation, pas d'un seul éditeur. Obexal soutient vos obligations par la traçabilité, des identités d'agent à périmètre borné, la supervision humaine et un kill switch, afin que le travail de conformité qui vous revient soit atteignable.
Où obtenir l'accord de traitement et la liste des sous-traitants ?
L'accord de traitement des données est publié sur /legal/dpa/ et la politique de confidentialité sur /legal/privacy/. La liste nominative des sous-traitants (hébergeur UE et fournisseur d'e-mail transactionnel UE) est communiquée via la page contact.
Quelle est la structure juridique derrière Obexal ?
Obexal est édité par une société française en cours de structuration ; le numéro SIREN sera publié dès l'immatriculation achevée. D'ici là, le fondateur répond directement : la page contact ou +33 9 84 25 52 61. Nous préférons cette réponse honnête à un tableau de faits vides.
Pouvons-nous garder notre propre marque et notre domaine ?
Oui. Obexal est multi-tenant et marque blanche : chaque tenant dispose de son branding, de ses domaines et d'un portail employé self-service, le tout au sein de la même plateforme hébergée dans l'UE. Voir la gestion des accès.
Placez votre couche d'identité sous juridiction européenne.
Le dossier sécurité couvre l'hébergement, le chiffrement, les sous-traitants et le statut des certifications, dits tels qu'ils sont.