Trust Center

Mise à jour : 12 juin 2026. Cette page documente les mécanismes par lesquels La Fusée tient ses engagements à l'échelle. Chaque point correspond à un dispositif réel et auditable de la plateforme — état temps réel sur /status, historique des évolutions sur /changelog.

1. Fiabilité asynchrone

  • Notifications temps réel: flux d'événements serveur (SSE) avec reprise — le Cockpit reflète l'état de production sans polling ; la perte d'un canal n'interrompt jamais un traitement (émissions best-effort découplées du chemin métier).
  • Webhooks idempotents: les confirmations de paiement sont vérifiées en double (signature HMAC + re-vérification API côté fournisseur) et rejouables sans double effet — une extension d'abonnement appliquée deux fois est structurellement impossible.
  • Verrous optimistes à TTL: les générations longues (sections d'Oracle) sont protégées par verrou daté — pas de double exécution concurrente, pas de verrou orphelin.
  • Disjoncteurs LLM : la passerelle IA surveille chaque fournisseur (circuit breaker), bascule automatiquement (Anthropic → OpenAI → local) et dégrade proprement.
  • Fallback déterministe intégral: la compilation de l'Oracle (35/35 sections) fonctionne sans aucun LLM — composition depuis les données réelles, provenance tracée. Un incident fournisseur IA ne bloque jamais une livraison.
  • Connecteurs externes honnêtes : sans credentials, un connecteur répond par un statut différé explicite — jamais un succès simulé.

2. Échelle industrielle

  • Gouvernance par intents: toute mutation métier transite par un bus unique, journalisé en chaîne d'empreintes (hash-chain) — ~480 types d'opérations cataloguées, chacune avec ses objectifs de latence/coût (SLO) déclarés.
  • Déterminisme massif : ~95 % des traitements (scoring /200, pricing par zone, gates, compilation, facturation API) sont des fonctions pures reproductibles — variance zéro, auditables ligne à ligne.
  • Anti-drift continu: plus de 1 900 tests automatisés dont des suites de gouvernance bloquantes (cohérence des 35 sections, cascade de tokens du design system, unicité des chemins d'écriture, interdiction des stubs silencieux) exécutées à chaque modification.
  • Décisions architecturales tracées : 90+ ADRs publics dans le dépôt de gouvernance — chaque choix structurant a son contexte, ses alternatives écartées et sa date.
  • Isolation tenant default-deny: l'architecture interdit par défaut toute fuite de données métier entre clients ; seuls des agrégats anonymisés (k ≥ 5) circulent, sous opt-in.

3. Sécurité

SurfaceMécanisme
TransportTLS 1.2+ partout (web, API, webhooks)
StockageChiffrement au repos AES-256 (PostgreSQL managé)
Mots de passebcrypt 12 rounds ; MFA TOTP exigible pour les administrateurs
Clés APIEmpreinte SHA-256 seule persistée — le secret n'est affiché qu'une fois
Secrets systèmeVariables d'environnement exclusivement — jamais en base (ADR-0075)
Credentials connecteursCoffre applicatif chiffré, géré en console, jamais exposé client
PaiementsAucune donnée carte chez UPgraders — prestataires certifiés (CinetPay, Stripe, PayPal)

4. Continuité et réversibilité

  • Sauvegardes automatiques de la base (fournisseur managé) + migrations de schéma versionnées appliquées au déploiement.
  • Réversibilité client : export du patrimoine en format ouvert à tout moment ; fenêtre de portabilité de 90 jours post-contrat ; aucune rétention en otage.
  • Le journal d'intents fournit la preuve d'exécution opposable (qui, quoi, quand) sans exposer de données personnelles en clair.

5. Conformité

RGPD / Convention de Malabo / cadres nationaux : voir le DPA (classes de données, non-entraînement des LLM, sous-traitants, violations) et la politique de confidentialité. Engagements de délais : SLA. Cadre contractuel : CGV · CGU.

6. Contact due diligence

Dossier de due diligence détaillé (architecture, registre des traitements, attestations fournisseurs) sur demande : trust@lafusee.upgraders.io.