SÉCURITÉ & CONFORMITÉ

Pendant que les autres mettent un drapeau européen sur un serveur de Virginia, on a mis nos serveurs à Paris.

Wavydream est une SARL-S luxembourgeoise, hébergée en France, conforme RGPD parce que c'est par là qu'on a commencé à coder, pas l'inverse. Voici les détails que votre DPO va vouloir voir.

Recevoir le dossier conformité Voir les sub-processors

Codé au Luxembourg. Hébergé à Paris. Aucune filiale US.

TL;DR — DPO PRESSÉ

L'essentiel en cinq lignes.

  • 01 Hébergement Paris (eu-central-1, 100 % UE).
  • 02 SARL-S luxembourgeoise, soumise au GDPR et droit UE.
  • 03 Sub-processors listés et notifiés (publiés sur cette page).
  • 04 DPA personnalisable disponible (Enterprise).
  • 05 Consent ledger versionné côté serveur.
SECTION 1 — HÉBERGEMENT & SOUVERAINETÉ

Toutes vos données restent en Union Européenne.

  • Hébergeur principal Région eu-central-1 (Paris)
  • Région secondaire Aucune. Pas de réplication transatlantique. Pas de fallback US.
  • Édition logicielle Wavydream SARL-S, société de droit luxembourgeois
  • Filiales hors UE Aucune filiale, aucun bureau hors UE.

Cela signifie : votre carte, votre profil, vos leads, vos analytics, votre audit log — tout est stocké sur des serveurs physiques en région parisienne. Aucune autorité non-européenne ne peut y accéder par voie légale directe.

SECTION 2 — SOCIÉTÉ & GOUVERNANCE

Une société européenne. Une seule.

  • Raison sociale Wavydream SARL-S — Grand-Duché de Luxembourg
  • Forme juridique Société à Responsabilité Limitée Simplifiée (SARL-S) — registre officiel consultable au LBR (Luxembourg Business Registers)
  • Date de constitution Avril 2026
  • Cadre juridique applicable RGPD (UE 2016/679) et législation luxembourgeoise
  • Référent données Joignable à contact@wavydream.com
SECTION 3 — SOUS-TRAITANTS

Vos données passent par les acteurs suivants. Aucun autre.

Sous-traitant Rôle Localisation des données
Supabase Base de données, API, authentification Paris (eu-central-1)
Resend Envoi d'emails transactionnels (magic link, notifications, invitations) UE
Vercel Hébergement frontend (assets publics) — aucune donnée personnelle traitée CDN multi-régions, données UE
Anthropic Génération de bio (AI Bio Writer, Pro+) Traitement transitoire, données non stockées

Engagement contractuel : tout ajout ou changement de sous-traitant est notifié par email à vos DPO 30 jours avant mise en production. Vous pouvez vous opposer ou résilier sans préavis.

La liste publique versionnée sera mise en ligne en Q3 2026. D'ici là, demandez-la à contact@wavydream.com — réponse sous 48 h.

SECTION 4 — RGPD & DROITS

Les droits que vous (ou vos utilisateurs finaux) pouvez exercer.

  • Droit d'accès

    Export complet des données en JSON ou CSV.

  • Droit à la rectification

    Modification depuis le compte ou sur demande.

  • Droit à l'effacement

    Suppression définitive avec 30 jours de grâce.

  • Droit à la portabilité

    Export structuré pour migration vers un concurrent.

  • Droit d'opposition

    Opt-out marketing révocable à tout moment.

Implémentation actuelle : export et suppression sur demande à contact@wavydream.com, traités sous 30 jours conformément au RGPD.

Implémentation automatisée : Q3 2026 via les endpoints /api/me/data-export et /api/me/data-delete.

Consent ledger granulaire : trois consentements séparés (marketing / commercial / newsletter), versionnés et timestampés, révocables d'un clic depuis chaque email. Disponible Q3 2026.

SECTION 5 — DPA

Le contrat Article 28 RGPD qui régit nos traitements pour votre compte.

  • Statut actuel DPA en finalisation avec notre conseil juridique luxembourgeois — disponibilité Q3 2026
  • Appels d'offres en cours Modèle simplifié disponible immédiatement, signable électroniquement, sur demande à contact@wavydream.com [DPA à demander à contact@wavydream.com]
  • Version Q3 2026 DPA personnalisé à votre logo et signataire, généré à l'inscription
  • Sub-processors annexés Liste à jour, mise à jour notifiée 30 jours à l'avance
Recevoir le modèle simplifié par email →
SECTION 6 — STACK TECHNIQUE

Les détails pour votre RSSI.

Authentification

Email + magic link aujourd'hui. SSO SAML/OIDC sur le plan Enterprise dès Q4 2026.

Chiffrement

TLS 1.3 en transit. Données au repos chiffrées (AES-256) par notre hébergeur. Aucune donnée sensible en clair sur nos serveurs.

Webhooks sortants

Signés HMAC-SHA256 pour les intégrations CRM (événement lead.created). Validation côté client recommandée.

Audit log

Toute action manager (lecture sensible, modification de droits, retrait de carte) loggée avec timestamp, acteur, IP, payload JSON. Filtrable, exportable en CSV, conservé 12 mois.

Row-level security (RLS)

Renforcement DB en Q3 2026 — un employé ne peut plus modifier les champs verrouillés au niveau entreprise, même via API directe.

Rate limiting

En cours de déploiement (Q3 2026). 60 req/min par IP sur les endpoints /api/companies/*. Webhooks sortants throttled à 1 000/min par entreprise.

Sauvegardes

Snapshots PostgreSQL horaires, conservés 7 jours. Sauvegarde quotidienne conservée 30 jours.

Reprise sur incident

RTO : 4 h. RPO : 1 h.

Disponibilité

SLA 99,9 % contractualisé sur le plan Enterprise. Best-effort sur les plans self-service.

Notification incident

Tout incident affectant des données personnelles est notifié aux DPO clients sous 72 h conformément à l'article 33 du RGPD.

RECEVOIR LE DOSSIER

Repartez avec ce que vos achats vont demander.

  • La liste des sub-processors versionnée
  • Le DPA simplifié signable électroniquement
  • Notre roadmap conformité détaillée (Phase B et Phase C)
  • Les détails techniques d'hébergement et de chiffrement

Vos informations partent à contact@wavydream.com. Aucune réplication hors UE. Aucun envoi à un tiers.

Wavydream SARL-S — société luxembourgeoise. Hébergement à Paris (eu-central-1). Aucune réplication hors UE.

Voir aussi : L'offre Entreprises À propos Tarifs