Sécurité & traitement des données

Dernière mise à jour — 31 mai 2026

Séparation intelligence et stockage

Historis est une couche de stockage, pas une IA. Il ne lit pas votre boîte mail, ne résume rien et n'infère rien par lui-même.

Votre agent IA (Claude, ChatGPT, Cursor…) décide quoi écrire via MCP ; Historis ne fait que persister les événements structurés qu'il envoie. Nous ne voyons jamais les emails ou documents bruts — uniquement l'événement structuré que votre agent a choisi de stocker.

Authentification

L'accès web utilise Supabase Auth. L'accès agent et MCP utilise OAuth 2.1 avec PKCE — aucune clé d'API n'est jamais collée dans un prompt.

Les tokens sont limités par utilisateur et par organisation. Les tokens d'API personnels sont révocables à tout moment depuis vos paramètres.

Isolation multi-tenant

Chaque enregistrement est rattaché à une organisation, et l'API applique ce périmètre à chaque requête. Le Row-Level Security (RLS) de PostgreSQL ajoute une défense en profondeur par-dessus.

Un utilisateur ne peut lire ou écrire que les données de sa propre organisation.

Données en transit et au repos

Tout le trafic est chiffré via HTTPS/TLS. Les données sont stockées dans PostgreSQL (Supabase), hébergé dans l'UE, avec des sauvegardes automatiques.

Ce que nous stockons

Uniquement ce que vous ou votre agent créez explicitement :

  • Événements — le texte que vous, ou votre IA, écrivez
  • Personnes et organisations avec lesquelles vous interagissez
  • Tags et dates de relance

Nous n'ingérons pas vos emails, le contenu de votre agenda ni vos fichiers. Nous ne vendons pas de données et n'entraînons aucun modèle d'IA sur vos données.

Vos données, votre contrôle

Exportez vos données à tout moment (JSON) et supprimez votre compte et toutes les données associées depuis vos paramètres.

Les données sont hébergées dans l'UE. Pour le détail de la protection des données et la liste complète des sous-traitants, voir notre Politique de Confidentialité.

Infrastructure

Frontend sur Vercel, API et serveur MCP sur Railway, base de données, auth et stockage sur Supabase (UE). La disponibilité est surveillée, et les incidents sont traités et documentés.

Contact

Questions de sécurité ou divulgation responsable : security@historis.app