Une sécurité active
Notre équipe interne couvre l'infrastructure, le produit et les opérations. Surveillance permanente, audits réguliers et plan de continuité testé chaque trimestre.
Conformité, chiffrement et souveraineté des données notariales avec Lexago
Sécurité
Lexago protège vos données clients avec une sécurité et une confidentialité dignes de votre profession. Hébergement France, audits indépendants, engagements contractuels opposables.
Notre principe directeur
La protection et la confidentialité des données de l’étude ne se négocient pas.
Six engagements
Une protection à la hauteur des enjeux.
Vous gardez la maîtrise totale de vos données : choix du périmètre de stockage, portabilité au départ…
Souveraineté des données
Vos données sont hébergées exclusivement en France, chez un hébergeur certifié HDS et SecNumCloud*. Vous gardez la maîtrise de la rétention, de l'export et de la suppression.
Aucun entraînement de modèle
Vos documents, requêtes et réponses ne sont jamais utilisés pour entraîner un modèle d'intelligence artificielle, le nôtre ou celui d'un tiers. Cet engagement est inscrit dans nos CGV.
Outils grands comptes
SSO, journaux d'audit exportables, restriction par adresse IP, gestion fine du cycle de vie des données et des accès — disponibles sur demande.
Engagements contractuels
Notre Avenant Sécurité contient des clauses opposables sur la protection, l'accès, les SLA d'incident et la continuité — alignées RGPD, eIDAS et ISO 27001.
Audits indépendants
Tests d'intrusion annuels par un PASSI qualifié ANSSI, audits de configuration cloud trimestriels et revue de code sécurité sur chaque livraison sensible.
* Processus de qualification SecNumCloud en cours.
Contrôles techniques
Chaque couche est renforcée.
Chiffrement matériel, authentification, journalisation, plan de continuité… chaque maillon a été choisi pour résister aux menaces visant le secteur juridique.
Chiffrement
Chiffrement AES-256, TLS 1.3. Les clés sont gérées dans un HSM certifié FIPS 140-2 niveau 3, avec rotation annuelle.
Cloisonnement
Séparation logique stricte par étude. Aucun partage de données entre tenants. Le principe du moindre privilège régit l'ensemble des accès internes.
Authentification
MFA obligatoire pour les administrateurs, SSO SAML pour les études, tokens à courte durée de vie pour les sessions, journalisation immuable.
Continuité
Sauvegardes chiffrées toutes les 4 heures, conservées 30 jours. RPO < 4 h, RTO < 4 h. Bascule vers un site de secours testée semestriellement.
Conformité
Les certifications et cadres réglementaires que votre profession exige.
Hébergement France
Données stockées et traitées exclusivement sur le territoire français, chez un hébergeur 100% français, certifié HDS.
RGPD & RGAA
Conformité native au règlement européen 2016/679. DPO certifié par le PECB, registre des traitements à jour, AIPD pour chaque traitement à risque.
eIDAS
Signature électronique conforme au règlement européen n° 910/2014, niveaux simple, avancé et qualifié en partenariat avec Yousign.
ISO 27001
Démarche de certification en cours : système de management de la sécurité de l'information aligné sur la norme ISO/IEC 27001:2022.
Questions fréquentes
Tout ce que les RSSI et les notaires nous demandent.
Qu'entend-on exactement par « données client » ?
Les données client comprennent l'ensemble des documents que vous téléversez, les requêtes que vous formulez, les réponses générées par la plateforme, et les métadonnées associées (auteur, horodatage, étude). Elles sont votre propriété pleine et entière, et nous ne les exploitons à aucune fin commerciale ni d'entraînement.
Comment mes données sont-elles protégées et où sont-elles stockées ?
Les données sont chiffrées au repos (AES-256) et en transit (TLS 1.3), stockées exclusivement en France chez un hébergeur certifié HDS et en cours de qualification SecNumCloud. Aucun transfert hors UE n'est réalisé sans votre instruction explicite et un cadre contractuel adéquat (CCT, garanties supplémentaires).
Qui peut accéder à mes données chez Lexago ?
Aucun collaborateur Lexago n'accède à vos données dans le cours normal des opérations. L'accès technique en production est limité à l'équipe d'astreinte sécurité, journalisé de manière immuable et soumis à votre approbation préalable lorsque cela est techniquement nécessaire (intervention sur incident).
Mes documents servent-ils à entraîner des modèles d'IA ?
Non. Nous garantissons contractuellement que vos documents, requêtes et réponses ne sont jamais utilisés pour entraîner un modèle — le nôtre, celui d'un fournisseur, ou celui d'un tiers. Lorsque nous faisons appel à un fournisseur d'IA, nous exigeons une clause de non-rétention (Zero Data Retention) auditable.
À quelle fréquence vos systèmes sont-ils audités ?
Test d'intrusion annuel par un prestataire d'audit qualifié ANSSI (PASSI), audit de configuration cloud trimestriel, revue de code sécurité sur chaque livraison sensible, et audit interne mensuel. Les rapports synthétiques sont disponibles sous accord de confidentialité auprès de l'équipe sécurité.
Comment se passe la notification en cas d'incident ?
Notre Avenant Sécurité prévoit une notification dans un délai de 24 heures suivant la détection d'un incident affectant vos données, avec une mise à jour toutes les 12 heures jusqu'à résolution. Le rapport d'incident détaillé vous est transmis sous 7 jours, conforme aux exigences RGPD article 33.
Que se passe-t-il à la fin de mon contrat ?
Vous disposez d'un délai de 30 jours pour exporter l'ensemble de vos données dans un format ouvert (JSON, PDF). Passé ce délai, vos données sont supprimées de façon cryptographique de nos systèmes de production, puis des sauvegardes selon le calendrier de rétention. Une attestation de destruction est émise sur demande.
Aller plus loin
Une question précise ? Parlez à notre équipe sécurité.
Avenant Sécurité, AIPD, rapport de pénétration, registre des traitements : nos équipes répondent sous 24 h ouvrées et signent les NDA habituels du secteur.