Sécurité et confiance
Veesie montre comment les assistants IA comme ChatGPT, Gemini et Perplexity parlent de votre marque. Pour cela, vous confiez à Veesie vos données de marque, et parfois votre Google Analytics. Sur cette page, vous lisez précisément comment Veesie protège ces données : chiffrées, dans l'UE, et accessibles uniquement à vous.
Toujours chiffré
Les champs sensibles, comme vos tokens Google, sont chiffrés avec AES-256-GCM. Toutes les connexions passent par HTTPS avec HSTS.
Hébergement UE
Votre compte, vos marques et vos résultats se trouvent dans une base de données PostgreSQL à Francfort. Aucune donnée centrale en dehors de l'UE.
Accès IA en lecture seule
La connexion à Google Analytics est exclusivement en lecture seule. Veesie ne peut jamais modifier ni supprimer vos statistiques.
Isolation stricte
Chaque client ne voit que ses propres données, doublement imposé au niveau de la base de données (RLS) et dans l'application.
1. Vos données et le monitoring IA
Pour mesurer comment l'IA perçoit votre marque, Veesie envoie vos prompts (questions sur votre marque, votre secteur et vos concurrents) à des fournisseurs IA comme OpenAI, Anthropic, Google et Perplexity. Nous conservons leurs réponses dans notre base de données UE.
- Les prompts portent sur des marques et des thèmes, pas sur des personnes. Ils ne contiennent normalement pas de données à caractère personnel.
- Les réponses, scores et analyses qui en découlent sont stockés dans l'UE.
- Veesie n'utilise jamais vos données pour entraîner des modèles ni pour la publicité.
2. Chiffrement
En transit (in transit)
Tout le trafic vers veesie.com passe par HTTPS. Nous envoyons un en-tête Strict-Transport-Security (HSTS) d'une durée de deux ans et figurons sur la liste de préchargement HSTS, afin que les navigateurs ne se connectent jamais sans chiffrement.
Au repos (at rest)
Les champs sensibles de notre base de données, comme vos tokens d'accès et de rafraîchissement Google Analytics et d'éventuelles URL de webhook, sont chiffrés avec AES-256-GCM (chiffrement authentifié). Si les données chiffrées sont altérées, le déchiffrement échoue automatiquement. La clé est conservée séparément de la base de données en tant que secret Cloudflare Worker.
3. La connexion à Google Analytics
De nombreux clients connectent leur Google Analytics 4 à Veesie pour voir les données de trafic à côté de leur visibilité IA. Cette connexion est volontairement minimale :
- Lecture seule : nous demandons exclusivement le scope
analytics.readonly. Veesie peut lire votre Analytics, jamais le modifier, le supprimer ni le partager. - Protégé contre le CSRF : le flux OAuth utilise un état signé par HMAC, lié à votre session et expirant après dix minutes. Personne ne peut forcer la connexion en votre nom.
- Chiffré : les tokens que Google renvoie sont stockés chiffrés (voir Chiffrement).
- Déconnectable : vous révoquez l'accès à tout moment, tant dans Veesie que directement dans votre compte Google.
4. Accès et authentification
- La connexion passe par Supabase Auth. Les mots de passe sont stockés sous forme de hash, jamais en clair.
- Les pages d'inscription et de contact sont protégées contre les bots avec Cloudflare Turnstile.
- Pendant l'early access, l'inscription se fait sur invitation (code d'invitation).
- Les environnements d'administration internes fonctionnent derrière Cloudflare Zero Trust Access et ne sont pas accessibles publiquement. L'URL directe workers.dev est désactivée, afin que cette sécurité ne puisse être contournée.
5. Infrastructure et isolation
- Hébergement : l'application fonctionne sur Cloudflare Workers, sur le réseau edge mondial de Cloudflare.
- Base de données : une base de données PostgreSQL chez Supabase à Francfort (UE).
- Isolation multi-tenant : chaque organisation ne voit que ses propres données. C'est doublement imposé : avec Row Level Security au niveau de la base de données, et avec des contrôles de propriété dans chaque action serveur de l'application.
- Cloudflare et Supabase sont tous deux certifiés selon des normes internationales (dont SOC 2 et ISO 27001) pour leur infrastructure.
6. Sécurité applicative
Veesie fait l'objet d'un contrôle de sécurité interne continu. La base de code a subi plusieurs audits de sécurité par rapport aux directives OWASP pour les API et pour les applications LLM. Mesures concrètes, entre autres :
- En-têtes de sécurité HTTP : une Content-Security-Policy stricte, HSTS, X-Frame-Options (DENY), X-Content-Type-Options et une Permissions-Policy restrictive.
- Protection SSRF : les webhooks sortants ne peuvent viser que des adresses HTTPS publiques, les plages d'IP internes sont bloquées.
- Durcissement contre l'injection de prompt : les réponses IA stockées et les saisies utilisateur sont neutralisées avant d'être réinjectées dans un prompt IA.
- Protection contre l'injection de formule CSV dans les exports, comparaison des secrets résistante aux attaques temporelles, et requêtes de base de données paramétrées contre l'injection SQL.
Aucun service ne peut garantir une sécurité absolue, mais nous travaillons en continu à réduire les risques et à améliorer nos mesures.
7. Paiements
Les paiements passent par Stripe Checkout. Vos données de carte arrivent directement chez Stripe, un prestataire de paiement certifié PCI-DSS. Veesie ne voit ni ne conserve jamais vos données de carte ; nous conservons uniquement une référence vers votre client Stripe.
8. Sous-traitants
Pour fournir le service, nous travaillons avec un nombre limité de sous-traitants soigneusement sélectionnés :
| Sous-traitant | Fonction | Localisation |
|---|---|---|
| Supabase (Postgres + Auth) | Base de données, authentification | UE (Francfort) |
| Cloudflare (Workers) | Hébergement applicatif, traitement edge | Edge global, traitement dans la région UE la plus proche |
| Resend | E-mail transactionnel (notifications, rapports) | Région UE |
| Stripe | Traitement des paiements (uniquement en plan payant) | Irlande (UE) |
| Sentry | Surveillance des erreurs (error tracking) | UE (Francfort, Allemagne) |
| OpenAI, Anthropic, Google, Perplexity | Appels LLM (les prompts sont envoyés aux fournisseurs) | US / UE (selon le fournisseur), sur la base des CCT |
Les données centrales (compte, marques, résultats) se trouvent exclusivement dans l'UE. Le transfert vers des fournisseurs en dehors de l'UE se fait sur la base des Clauses Contractuelles Types (CCT). La liste complète et les explications figurent dans la politique de confidentialité.
9. RGPD et vos droits
Le responsable du traitement pour Veesie est Manon BV (agissant sous le nom ClickForest), établie à Bonheiden, Belgique, numéro d'entreprise BE 0549.803.522.
- Vous pouvez exporter l'intégralité de vos données au format JSON via Paramètres, Confidentialité.
- Vous pouvez supprimer vous-même votre compte et toutes les données associées via Paramètres, Supprimer le compte. La suppression est immédiate et se répercute en cascade sur toutes les données liées.
- L'ensemble de vos droits RGPD (accès, rectification, effacement, limitation, portabilité, opposition) sont décrits en détail dans notre politique de confidentialité.
10. Signaler une vulnérabilité
Vous pensez avoir trouvé un problème de sécurité ? Faites-le-nous savoir via hello@veesie.com. Nous examinons chaque signalement et vous tenons informé. Nous vous demandons de ne pas rendre publiques les vulnérabilités avant que nous ayons pu les résoudre ensemble (responsible disclosure).
Dernière mise à jour : 13 juin 2026. Retour vers veesie.com