AlphaNoomi est en cours de développement. Cette version est une alpha — merci de votre indulgence.
N
Noomi

Sécurité & RGPD

Dernière mise à jour : février 2026

La sécurité de vos données est au cœur de la conception de Noomi. Nous avons bâti notre architecture sur le principe du « privacy by design » : chaque fonctionnalité est conçue dès l'origine pour protéger vos informations.

1. Architecture

Contrairement aux assistants généralistes, notre système fonctionne sur un index privé, isolé et supprimable à tout moment :

  • Fichiers restent chez les fournisseurs : vos documents originaux restent chez Google, votre banque, etc. Nous ne les ré-hébergeons pas.
  • Index stocké en base isolée : seuls les extraits textuels (chunks) et vecteurs d'indexation sont stockés pour améliorer la recherche.
  • Embeddings non réversibles : les vecteurs ne permettent pas de reconstruire le document original.
  • Connexions OAuth révocables : vous pouvez couper l'accès à tout moment.

2. Mesures de sécurité

  • HTTPS : toutes les communications sont chiffrées.
  • RLS Supabase : isolation stricte des données par utilisateur (Row Level Security).
  • Logs d'accès : journalisation des accès aux données sensibles.
  • Suppression complète possible : vous pouvez demander l'effacement total de votre index à tout moment.

3. Chiffrement des données

  • En transit : toutes les communications sont chiffrées via TLS 1.3. Les connexions non chiffrées sont automatiquement rejetées.
  • Au repos : les données sensibles sont chiffrées en base de données (AES-256). Les mots de passe sont hashés avec des algorithmes de hachage modernes (bcrypt).
  • Tokens OAuth : les jetons d'accès aux services tiers (Google, banques) sont chiffrés et ne sont jamais exposés côté client.

4. Authentification et accès

L'accès à votre compte Noomi est protégé par une authentification par email et mot de passe. Les sessions sont gérées via des tokens JWT sécurisés avec expiration automatique. Chaque requête est vérifiée et autorisée individuellement.

5. Connexions bancaires (DSP2)

Pour le module Finances, Noomi utilise des agrégateurs bancaires agréés par l'Autorité de Contrôle Prudentiel et de Résolution (ACPR) :

  • Powens et Bridge : agréés en tant que prestataires de services d'information sur les comptes (AISP) au titre de la directive DSP2.
  • Noomi n'a jamais accès à vos identifiants bancaires. L'authentification s'effectue directement auprès de votre banque via les interfaces sécurisées de l'agrégateur.
  • L'accès est en lecture seule — aucune opération bancaire (virement, paiement) ne peut être initiée depuis Noomi.

6. Connexions Google (OAuth 2.0)

Les connexions à vos services Google sont réalisées via le protocole standard OAuth 2.0, avec des scopes (permissions) limités au strict nécessaire :

  • Gmail : lecture des messages uniquement (aucun envoi, aucune suppression).
  • Google Drive : accès aux fichiers que vous choisissez de partager.
  • Google Calendar : lecture et création d'événements pour les suggestions de planning.

Vous pouvez révoquer l'accès de Noomi à tout moment depuis votre profil ou directement depuis les paramètres de sécurité de votre compte Google.

7. Conformité RGPD

Noomi est conçu dans le strict respect du Règlement Général sur la Protection des Données (RGPD). Nous appliquons les principes fondamentaux suivants :

Minimisation

Seules les données nécessaires aux fonctionnalités activées sont collectées.

Limitation des finalités

Vos données sont utilisées exclusivement pour vous fournir le service demandé.

Transparence

Vous savez exactement quelles données sont collectées et pourquoi.

Privacy by design

La protection des données est intégrée dès la conception de chaque fonctionnalité.

8. Droits des utilisateurs

Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de portabilité, de limitation du traitement et d'opposition.

Ces droits sont exercables directement depuis votre profil Noomi (export de données, suppression de compte, révocation des connexions) ou en nous contactant à privacy@noomi.app. Nous nous engageons à répondre dans un délai de 30 jours.

9. Notification des violations

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans un délai de 72 heures et à vous informer dans les meilleurs délais. Notre module Privacy vous alerte également de toute fuite de données détectée vous concernant sur des bases de données publiques.

10. Sous-traitants et hébergement

Sous-traitantServiceLocalisation
SupabaseBase de données, authentificationUE
PowensAgrégation bancaireFrance
Bridge (Bankin')Agrégation bancaireFrance
GoogleOAuth, APIs (Gmail, Drive, Calendar)UE / International

11. Délégué à la Protection des Données

Notre DPO est joignable à l'adresse dpo@noomi.app. Vous pouvez le contacter pour toute question relative à la protection de vos données ou pour exercer vos droits. En cas de litige, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr.