Trust Center
Mise à jour : 12 juin 2026. Cette page documente les mécanismes par lesquels La Fusée tient ses engagements à l'échelle. Chaque point correspond à un dispositif réel et auditable de la plateforme — état temps réel sur /status, historique des évolutions sur /changelog.
1. Fiabilité asynchrone
- Notifications temps réel: flux d'événements serveur (SSE) avec reprise — le Cockpit reflète l'état de production sans polling ; la perte d'un canal n'interrompt jamais un traitement (émissions best-effort découplées du chemin métier).
- Webhooks idempotents: les confirmations de paiement sont vérifiées en double (signature HMAC + re-vérification API côté fournisseur) et rejouables sans double effet — une extension d'abonnement appliquée deux fois est structurellement impossible.
- Verrous optimistes à TTL: les générations longues (sections d'Oracle) sont protégées par verrou daté — pas de double exécution concurrente, pas de verrou orphelin.
- Disjoncteurs LLM : la passerelle IA surveille chaque fournisseur (circuit breaker), bascule automatiquement (Anthropic → OpenAI → local) et dégrade proprement.
- Fallback déterministe intégral: la compilation de l'Oracle (35/35 sections) fonctionne sans aucun LLM — composition depuis les données réelles, provenance tracée. Un incident fournisseur IA ne bloque jamais une livraison.
- Connecteurs externes honnêtes : sans credentials, un connecteur répond par un statut différé explicite — jamais un succès simulé.
2. Échelle industrielle
- Gouvernance par intents: toute mutation métier transite par un bus unique, journalisé en chaîne d'empreintes (hash-chain) — ~480 types d'opérations cataloguées, chacune avec ses objectifs de latence/coût (SLO) déclarés.
- Déterminisme massif : ~95 % des traitements (scoring /200, pricing par zone, gates, compilation, facturation API) sont des fonctions pures reproductibles — variance zéro, auditables ligne à ligne.
- Anti-drift continu: plus de 1 900 tests automatisés dont des suites de gouvernance bloquantes (cohérence des 35 sections, cascade de tokens du design system, unicité des chemins d'écriture, interdiction des stubs silencieux) exécutées à chaque modification.
- Décisions architecturales tracées : 90+ ADRs publics dans le dépôt de gouvernance — chaque choix structurant a son contexte, ses alternatives écartées et sa date.
- Isolation tenant default-deny: l'architecture interdit par défaut toute fuite de données métier entre clients ; seuls des agrégats anonymisés (k ≥ 5) circulent, sous opt-in.
3. Sécurité
| Surface | Mécanisme |
|---|---|
| Transport | TLS 1.2+ partout (web, API, webhooks) |
| Stockage | Chiffrement au repos AES-256 (PostgreSQL managé) |
| Mots de passe | bcrypt 12 rounds ; MFA TOTP exigible pour les administrateurs |
| Clés API | Empreinte SHA-256 seule persistée — le secret n'est affiché qu'une fois |
| Secrets système | Variables d'environnement exclusivement — jamais en base (ADR-0075) |
| Credentials connecteurs | Coffre applicatif chiffré, géré en console, jamais exposé client |
| Paiements | Aucune donnée carte chez UPgraders — prestataires certifiés (CinetPay, Stripe, PayPal) |
4. Continuité et réversibilité
- Sauvegardes automatiques de la base (fournisseur managé) + migrations de schéma versionnées appliquées au déploiement.
- Réversibilité client : export du patrimoine en format ouvert à tout moment ; fenêtre de portabilité de 90 jours post-contrat ; aucune rétention en otage.
- Le journal d'intents fournit la preuve d'exécution opposable (qui, quoi, quand) sans exposer de données personnelles en clair.
5. Conformité
RGPD / Convention de Malabo / cadres nationaux : voir le DPA (classes de données, non-entraînement des LLM, sous-traitants, violations) et la politique de confidentialité. Engagements de délais : SLA. Cadre contractuel : CGV · CGU.
6. Contact due diligence
Dossier de due diligence détaillé (architecture, registre des traitements, attestations fournisseurs) sur demande : trust@lafusee.upgraders.io.