← Retour à l'accueil Sécurité & confidentialité

Transparent. Technique. Vérifiable.

Nos outils traitent souvent des données d'ingénierie sensibles. Nous avons écrit précisément où ces données vivent, combien de temps elles restent et ce que nous faisons techniquement pour qu'elles ne tombent pas en de mauvaises mains. Cette page fournit des informations de transparence sur le traitement, alignées sur le RGPD et l'EU AI Act — elle ne remplace pas la déclaration de confidentialité formelle, mais la complète par le contexte technique du flux de données.

Mis à jour : 20 mai 2026

Notre propre infrastructure serveur en Allemagne

Notre propre infrastructure serveur (site landing, MCSA, bientôt riskforge) tourne sur un serveur Hetzner Cloud dans le centre de données de Gunzenhausen, en Bavière — juridiction allemande, sans hyperscaler. Certains sous-traitants (p.ex. Anthropic pour le futur chatbot, Resend pour l'envoi de mails) sont situés aux États-Unis et sont divulgués de manière transparente dans les blocs par outil ci-dessous.

Détails techniques sur l'infrastructure

Hetzner Online GmbH, centre de données de Gunzenhausen (DE).
MCSA tourne comme son propre stack Docker-Compose avec son propre réseau (`mcsa-web_default`).
Instance Postgres dédiée par outil. Aucun volume partagé, aucun secret partagé.
Reverse-proxy Nginx termine le TLS par sous-domaine (Let's Encrypt, renouvellement automatique).
Les containers se lient uniquement à 127.0.0.1 — accessibles depuis Internet exclusivement via Nginx.

Ce qui arrive à vos données — par outil

Chaque outil a ses propres flux de données. Nous les décrivons individuellement, car les généralisations deviennent rapidement inexactes ici.

MCSA — Minimal Cut-Set Analyzer

Live

MCSA prend des fichiers texte FtaDSL (jusqu'à 10 Mo) et en calcule des arbres de défaillances et des minimal cut-sets. Tout le chemin de traitement tourne dans la RAM du serveur — à aucun moment votre saisie n'est persistée sur disque.

1. Votre navigateur poste l'upload via HTTPS vers `mcsa.appliedfusa.de`.
2. Nginx tamponne la requête en RAM (buffer de 12 Mo, aucun disk-spill).
3. FastAPI écrit le fichier dans un répertoire temporaire — placé dans un container tmpfs (RAM disk, 512 Mo).
4. Le binaire natif C++17 `mcsa` parse et analyse l'architecture.
5. Le ZIP de résultat est construit en mémoire et streamé directement vers votre navigateur.
6. Le répertoire temporaire réside sur tmpfs (RAM). Après la fin de la réponse, un bloc `finally` le nettoie activement dans le cas normal ; en cas d'arrêt brutal du conteneur (p.ex. OOM kill), le noyau écarte de toute façon le contenu de tmpfs à la fin du conteneur — aucun spill sur disque possible.

Persistance: Aucune. La base d'audit ne stocke que des métadonnées : votre email de connexion, l'IP client et un timestamp. Ni les noms de fichiers, ni les contenus, ni les résultats d'analyse ne quittent la RAM vers le disque.
Rétention: IP + timestamp sont supprimés automatiquement de la base au plus tard après 7 jours (job de cleanup horaire). Le même délai s'applique aux tokens magic-link expirés.
Utilisation d'IA: Aucune. Tous les calculs tournent dans le binaire natif C++ sur notre serveur. Aucun modèle externe, aucune API LLM, aucune analyse tierce.

Safety-Case Generator

Beta — côté client

Un entretien structuré vous guide à travers les exigences fondamentales de l'ISO 26262. La beta actuelle tourne entièrement dans votre navigateur — votre saisie ne quitte jamais votre appareil. L'export Markdown est livré directement comme téléchargement de fichier. L'entretien est actuellement en allemand.

Aujourd'hui (Beta): Assistant vanilla HTML/CSS/JS dans le navigateur. Aucune requête serveur, aucun stockage, aucun cookie, aucune analytique. La fermeture de l'onglet écarte tout l'état.
Flux de données aujourd'hui: Votre saisie reste dans la mémoire du navigateur (RAM). Le rapport Markdown est assemblé côté client et téléchargé sous forme de Blob — il ne nous parvient jamais.
Utilisation d'IA aujourd'hui: Aucune. La structure Markdown est assemblée de façon déterministe à partir de votre saisie.
Prévu (version complète): Binaire natif sur notre VPS, architecturalement sur le même schéma que MCSA. Projets persistables, exports multilingues, intégration des sorties d'analyse MCSA (cut-sets, KPI) comme références d'evidence.
Structure (version complète): Suit la Goal Structuring Notation (GSN). Bibliothèque de templates par norme (ISO 26262, IEC 61508, IEC 62304).
Optionnel ultérieurement: Une fonction optionnelle de polish de texte (par ex. lissage stylistique) pourrait, dans une version ultérieure, utiliser un service LLM. Si elle arrive, strictement opt-in par requête — et jamais pour de l'argumentation safety-relevante.

fmea — Support outillé pour FMEA

Bêta en préparation

fmea est un support outillé pour la création de FMEA : à partir d'un modèle d'architecture annoté de modes de défaillance, la table FMEA est dérivée mécaniquement. Le profil de flux de données est très proche de MCSA (mêmes valeurs par défaut de stack, même VPS, même logique tmpfs), avec des spécificités fmea.

Ce qui est téléversé: Fichiers de modèle — architecture système textuelle (fonctions, entrées/sorties, connexions) plus annotations de modes de défaillance par port et par fonction (mappings OIM et IOM). Pas de données binaires, pas de pièces jointes de modèle en v0.1/v0.2.
Pendant l'exécution: Téléversement et artefacts intermédiaires sur tmpfs dans le conteneur (RAM, max 512 Mio), non persistants.
Après l'exécution: Finally-cleanup par requête — tous les fichiers temporaires sont supprimés à la fin de la réponse.
Persistant dans Postgres: Métadonnées uniquement — données de compte utilisateur (e-mail, statut du plan), jetons d'authentification, journal des téléversements (horodatage, hash du fichier, identifiant utilisateur). Le contenu du fichier téléversé n'est pas persisté.
Contenu du modèle: Non stocké. Téléverser le même fichier deux fois donne deux traitements frais et indépendants.
Sous-traitants: Hetzner Online GmbH (Falkenstein, DE) pour l'hébergement VPS · Resend (USA, DPA) pour l'envoi des magic-links, actif uniquement à partir de v0.2 · Let's Encrypt / ISRG pour les certificats TLS.
Planifié (v0.3+): Si des modèles Simulink sont un jour pris en charge directement, l'extraction se fera localement chez l'utilisateur — le serveur ne verra que le fichier de modèle résultant, jamais le modèle original.
Utilisation d'IA: Aucune. La substance est déterministe, sans sous-traitant LLM/IA.

csa26 — contrôle pré-audit MISRA-C:2012

Live · v1.0.1

csa26 est distribué comme GitHub Action et s'exécute sur le CI runner de votre repo GitHub. Votre code source ne quitte pas votre repository — l'analyse se déroule dans un conteneur que GitHub démarre dans votre compte à chaque push. Applied FuSa n'a aucun accès à votre code, aucune télémétrie sur vos findings, aucun log de vos builds.

Stack autonome: Entièrement autonome. csa26 n'embarque aucun analyseur statique tiers. Le lexer, le préprocesseur, le parser, le système de symboles/types et le moteur de règles sont l'IP Apache-2.0 d'Applied FuSa et entièrement traçables dans le repository public.
Sous-traitants: GitHub (Microsoft) — fournit le CI runner et l'hébergement du container registry pour l'image de l'action csa26. Traitement de données selon les conditions de votre contrat GitHub. Aucun autre sous-traitant.
Stockage de données: Applied FuSa ne stocke aucune donnée sur les exécutions de csa26. Toutes les données générées (findings, rapports SARIF, annotations) restent entièrement dans votre repository GitHub sous votre contrôle.
Note pré-audit: csa26 est un outil pré-audit et ne remplace pas l'évaluation formelle de conformité par rapport à MISRA-C:2012. Il signale d'éventuelles violations de règles ; la certification formelle de conformité reste de la responsabilité de votre safety manager.
Sous-ensemble de règles: csa26 v1 couvre un sous-ensemble délibérément sélectionné de 20 règles MISRA-C:2012 prioritaires pour la FuSa (voir README dans le repository). Une vérification complète de conformité MISRA n'a jamais été promise et n'est à la portée d'aucun outil de cette classe.
Utilisation d'IA: Aucune. Lexer, parser et moteur de règles travaillent de manière déterministe.

riskforge chatbot — guided DSL interview

Live

The riskforge chatbot is the first platform pillar that uses an LLM. A Claude Sonnet 4.6 model runs a structured interview that builds up an FtaDSL file step by step (raw architecture → +OIM/TLE → +IOM/S/O/D). Important separation: the LLM is the interview leader and notation translator — the actual FTA/FMEA analysis substance is then computed by the deterministic engines mcsa and fmea. This separation is an architecture decision for audit-fitness.

Sent to Anthropic: Full system prompt (~1500 tokens of methodology context, FtaDSL syntax reference, phase workflow); the complete running conversation history; the current DSL state as a code block in bot answers; validator output as a tag in the following user turn.
Not sent to Anthropic: User email address, IP address, cookie values, quota counters, logout events.
Sub-processors (Art. 28 GDPR): Anthropic PBC (USA) — LLM provider, DPA · Hetzner Online GmbH (Falkenstein, DE) · Resend (USA) — magic-link mail, DPA · Let's Encrypt / ISRG.
Third-country transfer (Chapter V GDPR): Anthropic (USA) and Resend (USA) process data outside the EU. Legal basis: EU Standard Contractual Clauses under Art. 46(2)(c) GDPR (2021/914), with Transfer Impact Assessment per EDPB Recommendation 01/2020.
Inference region (beta): API routing uses inference_geo: "global". No guaranteed EU region during beta. Migration to AWS Bedrock eu-central-1 (Frankfurt) is planned for the commercial launch (phase 3).
Data retention at Anthropic: Anthropic stores API inputs/outputs for up to 30 days for abuse monitoring (see Anthropic retention policy). Model training on user data is disabled (opt-out by default).
Data retention at Applied FuSa: Email addresses are persisted in a SQLite database (beta marketing list). Conversation history stays in browser state; the chatbot server is stateless. Magic-link tokens expire after 15 minutes.
Model and caching: Default model is Claude Sonnet 4.6, switchable via configuration. Prompt caching is enabled for the system prompt.
AI use and audit separation: The LLM only produces the DSL file. The FTA and FMEA analysis is computed by the deterministic engines mcsa and fmea.
Status: Code-complete, live activation pending.

Transparence IA (EU AI Act)

L'EU AI Act nous oblige à communiquer clairement où et comment l'IA est impliquée. Voici l'état honnête.

Aujourd'hui déterministe

Nos outils en production (MCSA live, csa26 live, Safety-Case Generator Beta) fonctionnent sans IA. L'assistant Safety-Case tourne côté client dans le navigateur ; MCSA et csa26 sont des programmes natifs — reproductibles et auditables. Le chatbot riskforge (en préparation) est le premier outil avec composante LLM.

Rôle au sens de l'EU AI Act (Art. 3)

Pour nos propres outils déterministes (MCSA, csa26, fmea, Safety-Case), Applied FuSa est le fournisseur (Art. 3(3)). Pour le chatbot riskforge, deux rôles se combinent : fournisseur du produit chatbot et déployeur (Art. 3(4)) du LLM fourni par Anthropic que nous intégrons dans notre système.

Classification du risque

Tous les outils actuellement live sont à risque minimal. Selon sa finalité actuelle, le chatbot riskforge relève du risque limité (Art. 50 AI Act). Selon la classification actuelle, aucun de nos outils n'est à haut risque au sens de l'Annexe III ou Art. 6 — voir l'analyse d'exclusion. Une re-classification est effectuée pour chaque outil prévu avant la mise en service.

Analyse d'exclusion (Annexe III)

L'Annexe III liste comme IA à haut risque p.ex. identification biométrique, gestion d'infrastructures critiques, décisions en matière d'éducation/emploi, application de la loi, migration. Nos outils sont des outils d'ingénierie pour des développeurs humains ; l'outil lui-même ne prend aucune décision pertinente pour la sécurité et n'est pas un composant de sécurité au sens de l'Annexe I.

Obligation de transparence Art. 50 (chatbot)

Le chatbot riskforge signale explicitement l'interaction IA dès le premier contact : la page de login mentionne « chatbot » dans le titre, l'UI de chat utilise un avatar de bot visuellement distinct, le flux de données vers l'API Anthropic est documenté de manière transparente dans le bloc par outil ci-dessus.

Maîtrise de l'IA (Art. 4, depuis le 02/02/2025)

Applied FuSa est une structure à une personne. Le développeur responsable dispose de compétences en méthodologie (FTA/FMEA), API LLM utilisées (Anthropic), protection des données (RGPD Art. 28, Art. 46, Recommandation EDPB 01/2020) et EU AI Act ; documenté en interne par les projets, la documentation méthodologique et les publications. Les utilisateurs externes utilisent les outils sous leur propre responsabilité.

Journalisation et supervision humaine

Pour le chatbot, nous ne consignons que des compteurs de quota et les connexions magic-link — l'intégralité du contenu de la conversation reste dans l'état du navigateur, pas sur nos serveurs. L'utilisateur décide quelle DSL produire et publier ; les moteurs d'analyse (mcsa, fmea) sont déterministes et vérifiables.

Matrice RGPD par outil

Vue d'ensemble compacte du traitement des données par outil selon les champs standard du RGPD. Description détaillée dans les blocs par outil ci-dessus.

Outil	Finalité	Base légale	Données personnelles	Destinataires	Pays tiers	Conservation	Statut
Site landing	Livraison de contenu statique	Art. 6(1)(f)	Log serveur uniquement	Hetzner DE	—	14 jours log	Live
MCSA	Calcul FTA depuis FtaDSL	Art. 6(1)(b)	Email, IP, horodatage	Hetzner DE · Resend USA	USA (CCT Art. 46)	7 jours audit	Live
Safety-Case Generator	Assistant Safety-Case	Art. 6(1)(b) + (f)	Aucune donnée de contenu ; log serveur technique (IP, UA, URL)	Hetzner DE	—	Log serveur 14 jours ; aucun traitement de contenu	Beta
csa26	Pré-audit MISRA-C en CI	Art. 6(1)(b)	Aucune	GitHub	USA (contrat utilisateur)	s.o.	Live
fmea (en préparation)	Dérivation FMEA depuis DSL	Art. 6(1)(b)	comme MCSA	comme MCSA	comme MCSA	comme MCSA	Beta en préparation
riskforge chatbot (en préparation)	DSL guidée par entretien LLM	Art. 6(1)(b)	Email, note use-case optionnelle	Hetzner DE · Anthropic USA · Resend USA	USA (CCT Art. 46 + TIA)	BD email indéterminée · Anthropic 30j abuse log	Beta en préparation

Matrice EU AI Act par outil

Vue d'ensemble de l'usage IA, du rôle et de la classification par outil au sens de l'EU AI Act.

Outil	IA	Rôle	Classe de risque	Art. 50	Supervision humaine	Journalisation	Statut
MCSA	Non	Fournisseur	s.o.	s.o.	L'utilisateur examine le résultat	Audit log 7 jours	Live
Safety-Case Generator	Non	Fournisseur	s.o.	s.o.	L'utilisateur édite la sortie	Log serveur technique uniquement (14 jours)	Beta
csa26	Non	Fournisseur	s.o.	s.o.	L'utilisateur examine les findings	Pas de journalisation	Live
fmea	Non	Fournisseur	s.o.	s.o.	L'utilisateur examine la table	comme MCSA	Beta en préparation
riskforge chatbot	Oui (Claude Sonnet 4.6)	Fournisseur + déployeur	Risque limité (Art. 50)	Rempli (étiquetage UI)	L'utilisateur décide de la publication de la DSL	Quota + magic-link uniquement	Beta en préparation

Ce que nous faisons techniquement

Mesures techniques au niveau de l'infrastructure — peu glamour, mais importantes.

TLS 1.2+

Certificats Let's Encrypt, renouvellement automatique, HSTS activé.

Pas de swap

Le VPS n'a pas d'espace swap — la RAM ne peut pas être paginée vers le disque.

Core dumps désactivés

Désactivés au niveau système (`kernel.core_pattern=|/bin/false`). Aucune fuite RAM-vers-disque en cas de crash.

tmpfs des containers

Les répertoires temporaires des outils vivent dans des RAM disks (`noexec`), aucun fichier persistant.

Cookies de session

`httpOnly` + `Secure` + `SameSite=Lax`, signés avec `itsdangerous` (secret 32 octets).

Rate limits

Sur les endpoints d'authentification (5 requêtes par IP par heure dans MCSA).

Rotation des logs

Logs Docker : 10 Mo × 3 fichiers. Logs d'accès Nginx : 14 jours, puis supprimés.

Backups automatiques

Snapshots quotidiens du serveur via Hetzner Cloud, rétention 7 jours. Snapshots manuels golden-state pour la disaster recovery au-delà.

Aucun APM

Pas de Sentry, pas de Datadog, aucune stack trace externe. Les erreurs restent sur notre serveur.

Auth via magic-link

Aucun store de mots de passe. Tokens valables 15 minutes, à usage unique.

Versionné

Configurations Nginx et fichiers Compose vivent dans des dépôts git — auditables, reproductibles.

Vos droits

Vous bénéficiez de l'ensemble des droits prévus par le Règlement Général UE sur la Protection des Données — accès, rectification, effacement, limitation, portabilité, opposition. Pour la version juridiquement complète, voir notre politique de confidentialité (en allemand).

Art. 15 Droit d'accès
Art. 16 Droit de rectification
Art. 17 Droit à l'effacement
Art. 18 Droit à la limitation
Art. 20 Droit à la portabilité des données
Art. 21 Droit d'opposition

Des questions ? Une vulnérabilité trouvée ?

Écrivez-nous directement. Pour les signalements liés à la sécurité (par ex. vulnérabilités présumées, plaintes liées à la confidentialité), nous sommes reconnaissants pour un court email — nous répondons généralement dans la journée ouvrée.

info@appliedfusa.de

Cette page est mise à jour lorsque les faits changent (nouveaux outils, modifications d'infrastructure, intégration d'IA). L'horodatage de la dernière mise à jour figure en haut.