Nos principes d'exploitation
L'IA juridique se situe à l'intersection de trois régimes exigeants de protection de la vie privée : le secret professionnel, les règles de déontologie et le droit moderne de la protection des données. Nous concevons chaque partie de notre plateforme — le site public, l'AI Suite, le Sovereign Suite et nos missions de conseil — pour respecter les trois. Nous publions ce que nous faisons, certifions ce que nous affirmons, et vous disons quand nous travaillons vers un objectif plutôt que déjà atteint.
Comment nous protégeons vos données
Chiffrement
En transit : TLS 1.3 pour tout le trafic client/serveur.
Au repos : AES-256 pour toutes les données stockées, y compris l'historique des conversations, les soumissions et les documents téléversés.
Au niveau des champs : Les champs sensibles (jetons d'authentification, clés API) sont chiffrés au niveau applicatif au-delà du chiffrement de stockage.
Résidence des données
Le SaaS hébergé de Lawra fonctionne sur Google Cloud (Firebase) avec une capacité multi-régions pour les clients qui exigent une résidence spécifique. Les déploiements Sovereign Suite s'exécutent dans votre infrastructure — votre résidence, votre périmètre.
Contrôles d'accès
Accès basé sur les rôles avec journalisation d'audit sur chaque action administrative. Identités gérées par le client prises en charge. Sovereign Suite s'intègre au SSO existant de votre cabinet et à vos systèmes de cloisonnement de l'information.
Pistes d'audit
Chaque requête, chaque production IA, chaque document cité — journalisé avec l'utilisateur, le dossier, l'horodatage. Les demandes de discovery, les enquêtes du barreau et les investigations internes ne doivent pas nécessiter de rétrofit de la traçabilité. Les journaux sont conservés selon la politique du client et exportables à la demande.
Préservation du privilège
Isolation des données par dossier : les documents et conversations d'un dossier n'entrent jamais dans les requêtes d'un autre. Les productions couvertes par le secret professionnel sont signalées et séparées. Les mentions d'utilisation de l'IA sont configurables par juridiction.
Gestion des incidents
Procédures de gestion des incidents définies avec des rôles nommés, des modèles de communication et des engagements de notification client. Exercices de simulation trimestriels. Tests de pénétration sur une cadence annuelle avec des résumés disponibles sous NDA.
Certifications & Conformité
Où nous en sommes aujourd'hui, où nous allons, et un calendrier transparent. Nous ne revendiquons pas des certifications que nous ne détenons pas.
| Norme | Statut | Notes |
|---|---|---|
| SOC 2 Type II | 🟡 En cours (cible T4 2026) | Audit des contrôles internes en cours avec un auditeur des Big Four. Rapport de type I attendu mi-2026 ; type II à suivre. |
| ISO 27001 | 🟡 Feuille de route (cible 2027) | Documentation du système de management de la sécurité de l'information en cours de développement. Phase de mise en œuvre planifiée conjointement au SOC 2. |
| ISO 42001 | 🟡 Feuille de route (cible 2027) | Norme Système de Management de l'IA (AIMS). Lawra fait partie des premiers adoptants qui suivent cette certification émergente. |
| GDPR | 🟢 Conforme | Accords de traitement des données disponibles. Les personnes concernées dans l'UE peuvent exercer leurs droits via privacy@lawra.io. Registre des traitements tenu à jour. |
| LGPD | 🟢 Conforme | Essentiel pour les clients brésiliens et latinoaméricains au sens large. DPO désigné. Processus de traitement des demandes des personnes concernées opérationnel. |
| HIPAA | 🟡 Disponible sur demande (Sovereign Suite uniquement) | BAA disponible pour les clients du secteur de la santé déployant Sovereign Suite dans des environnements conformes HIPAA. |
Fournisseurs de modèles IA — Notre position
L'AI Suite hébergée de Lawra utilise Google Firebase AI (Gemini 2.5 Flash) pour les outils publics. Nous avons choisi cette configuration spécifiquement parce que les conditions de Firebase AI de Google comprennent un engagement contractuel selon lequel les données des clients ne sont pas utilisées pour entraîner les modèles fondamentaux de Google.
Pour les déploiements Sovereign Suite, vous apportez vos propres clés API au fournisseur de modèles de votre choix — Anthropic Claude (niveau entreprise avec engagements de non-formation), OpenAI (entreprise avec ZDR), Google Gemini, ou des modèles open-weight fonctionnant entièrement dans votre réseau (Llama, Mistral, Qwen, DeepSeek, Gemma) sur votre propre infrastructure GPU.
Nous ne vendons, ne louons ni ne réutilisons aucune donnée transitant par Lawra. Nous ne disposons pas d'un pipeline interne d'entraînement de modèles utilisant les données clients. Chaque modèle utilisé est tiers ou open-weight, avec des conditions contractuelles spécifiques au fournisseur consultables sur demande.
Questions, demandes d'audit ou divulgations
Pour les questionnaires de sécurité, demandes d'audit, conditions spécifiques aux clients ou divulgations de vulnérabilités, contactez security@lawra.io. Les engagements Sovereign Suite comprennent une revue de sécurité dans le cadre du cadrage standard. Nous répondons à tous les questionnaires de sécurité entreprise dans un délai de cinq jours ouvrés.
Commentaires
Chargement des commentaires...