MENTIA

Trust — Sécurité, conformité, transparence

Page publique — destinée à la landing /trust Dernière mise à jour : 11 mai 2026

MENTIA est un service B2B français qui mesure la visibilité de votre entreprise dans les IA génératives (ChatGPT, Claude, Gemini, Perplexity, Mistral). Cette page liste, en clair, où tournent nos serveurs, qui sont nos sous-traitants, et comment nous protégeons vos données.

Éditeur du service

MENTIA est un service édité par la société :

| Champ | Valeur | |---|---| | Dénomination | WORKWAVE | | Forme juridique | SAS — Société par Actions Simplifiée | | Siège social | 3 rue des Rosiers, 86110 CRAON, France | | SIREN | 943 055 830 | | SIRET | 943 055 830 00013 | | TVA intracommunautaire | FR27 943 055 830 | | NAF/APE | 58.29C — Édition de logiciels applicatifs | | Marque parente | https://workwave.fr | | Service MENTIA | https://getmentia.fr | | Email | contact@getmentia.fr | | Directeur de la publication | Willy Gauvrit, président |

MENTIA est une marque commerciale détenue par WORKWAVE SAS.

En une ligne

Hébergement européen par défaut (Frankfurt). Données chiffrées en transit (TLS 1.3) et au repos. Aucun cookie de tracking. Aucune revente de données. Aucun entraînement d'IA tierce sur vos données.

Hébergement et localisation des données

| Composant | Fournisseur | Région | |---|---|---| | Application web (frontend + API) | Vercel | EU — Frankfurt (fra1) configuré par défaut | | Base de données | Supabase / AWS RDS | EU — Frankfurt (eu-central-1) | | Stockage de fichiers | Supabase Storage | EU — Frankfurt | | Email transactionnel | À activer (Resend ou équivalent SCC) | À documenter avant production | | Email pro (contact@getmentia.fr) | Hostinger Mail | EU — Lituanie | | Code source | GitHub | USA — Microsoft Cloud, encadré SCC + EU Data Boundary |

Note d'honnêteté : Vercel exécute la majorité des fonctions dans la région que nous choisissons (Frankfurt). Certaines fonctions edge globales peuvent transiter par d'autres régions pour des raisons de latence — ce trafic ne stocke pas durablement vos données.

Sous-traitants

Nous publions la liste complète de nos sous-traitants ("data processors" au sens du RGPD article 28). Chaque ajout fait l'objet d'une mise à jour de cette page au moins 30 jours avant activation.

Infrastructure

| Sous-traitant | Service | Pays / région | Certifications | Base juridique du transfert | DPA | |---|---|---|---|---|---| | Vercel | Hébergement web et fonctions serverless | USA (siège) — exécution Frankfurt | SOC 2 Type II, ISO 27001, GDPR-ready | Standard Contractual Clauses 2021/914 | vercel.com/legal/dpa | | Supabase | Postgres managé + Auth + Storage | EU Frankfurt (eu-central-1) | SOC 2 Type II, HIPAA-ready | Hébergement EU — pas de transfert | supabase.com/legal/dpa | | Hostinger | DNS du domaine + email pro | EU (Lituanie) | ISO 27001 | Hébergement EU | hostinger.com/legal/data-processing-agreement | | GitHub (Microsoft) | Hébergement du code source (pas de données utilisateur) | USA — EU Data Boundary | SOC 2, ISO 27001, FedRAMP | SCC + Microsoft EU Data Boundary | github.com/customer-terms/dpa |

Modèles de langage (LLM Providers)

Le cœur du service MENTIA consiste à interroger plusieurs IA pour mesurer votre visibilité. Les prompts envoyés ne contiennent aucune donnée personnelle utilisateur (ni email, ni mot de passe, ni identité) — seulement le nom de marque, le domaine, et la question publique à tester.

| Sous-traitant | Service | Pays | Certifications | Transferts | DPA | |---|---|---|---|---|---| | Mistral AI | LLM français | France (Paris) | ISO 27001 | Hébergement EU — pas de transfert | mistral.ai/terms | | OpenAI | ChatGPT — tracking visibilité | USA | SOC 2 Type II | SCC + opt-out training (API enterprise) | openai.com/policies/data-processing-addendum | | Anthropic | Claude — tracking visibilité | USA | SOC 2 Type II | SCC + zero-retention API | anthropic.com/legal/dpa | | Google | Gemini — tracking visibilité | USA | SOC 2, ISO 27001, ISO 27018 | SCC | cloud.google.com/terms/data-processing-addendum | | Perplexity | Tracking visibilité | USA | SOC 2 (en cours) | SCC | perplexity.ai/hub/legal/dpa |

Outils de service (paiement, support, monitoring)

| Sous-traitant | Service | Pays | Statut | |---|---|---|---| | Stripe (à activer) | Paiement | EU (Irlande) + USA pour traitement carte | Sous SCC + PCI DSS — DPA disponible | | Resend (à activer V1) | Emails transactionnels | USA — region EU prévue | Sous SCC | | Sentry (à activer V1) | Monitoring d'erreurs | USA — region EU disponible | Sous SCC, region EU à activer |

Transferts internationaux

Certaines de vos données techniques transitent par des prestataires aux États-Unis (les LLMs notamment). Conformément à l'arrêt Schrems II (CJUE, juillet 2020) et aux décisions ultérieures :

  • Tous nos transferts hors UE sont encadrés par les Standard Contractual Clauses (SCC) version 2021/914 approuvées par la Commission européenne le 4 juin 2021.
  • Pour les LLMs américains qui le proposent, nous utilisons les options opt-out d'entraînement et zero-retention quand elles sont disponibles via API (OpenAI, Anthropic, Mistral).
  • Aucune donnée d'identification personnelle (email, nom, mot de passe) n'est envoyée aux LLMs — uniquement les prompts de tracking, qui contiennent le nom de la marque cliente et des questions publiques.

Vous pouvez consulter notre Registre Article 30 (sur demande pour la version interne complète) pour le détail des bases juridiques de chaque transfert.

Sécurité technique

| Couche | Mesure | |---|---| | Transport | TLS 1.3 sur tous les endpoints (HSTS activé) | | Mots de passe | Hash bcrypt avec salt — jamais stockés en clair | | Base de données | Row Level Security (RLS) Postgres — chaque client est isolé au niveau des requêtes | | Sessions | JWT signés Supabase Auth — tokens à courte durée + refresh tokens | | Sauvegardes | Quotidiennes, chiffrées, rétention 7 jours côté Supabase Pro | | Accès admin | 2FA obligatoire sur tous les comptes Vercel, Supabase, GitHub, Hostinger | | Secrets | Variables d'environnement chiffrées (Vercel Env Vars), jamais commitées | | Code | Code review systématique avant merge sur main ; Dependabot actif | | Logs sécurité | Tentatives de login monitoring, alertes sur accès suspects |

Ce que nous ne faisons pas (engagements explicites)

  • Aucune revente de vos données à des tiers
  • Aucun entraînement d'IA sur vos prompts ou contenus
  • Aucun cookie de tracking publicitaire (pas de Google Analytics, pas de pixels Meta)
  • Aucune publicité ciblée servie depuis MENTIA

Cookies

MENTIA n'utilise que des cookies strictement nécessaires au fonctionnement :

  • Cookie de session (sb-* Supabase Auth) — vous garde connecté
  • Cookie CSRF — sécurité contre les attaques cross-site

Conformément aux lignes directrices CNIL 2020, ces cookies sont exemptés du recueil de consentement. Aucun cookie analytique ou publicitaire n'est posé.

Si nous installons un outil d'analytics (Plausible, Vercel Analytics) à l'avenir, nous ajouterons un bandeau de consentement RGPD-conforme et mettrons à jour cette page.

DPA pour clients enterprise

Pour les clients ayant besoin d'un Data Processing Agreement signé (en général : grands comptes, agences manipulant des données de leurs propres clients), nous fournissons un DPA standard MENTIA sur simple demande à contact@getmentia.fr.

Le DPA reprend les obligations de l'article 28 du RGPD : mesures techniques et organisationnelles, sous-traitants ultérieurs autorisés, droits des personnes concernées, notification de violation, audits, restitution/suppression en fin de contrat.

Voir notre modèle de DPA.

Vos droits — accès, suppression, export

Vous pouvez à tout moment :

  • Exporter vos données : un export complet (JSON) sera disponible dans votre dashboard à partir de la V1 publique. En attendant, écrivez à contact@getmentia.fr — nous traitons sous 7 jours.
  • Supprimer votre compte : option disponible dans Paramètres > Compte > Supprimer. Suppression complète sous 30 jours, sauf factures (10 ans, obligation légale).
  • Demander vos droits RGPD (accès, rectification, opposition, portabilité, limitation) : contact@getmentia.fr avec preuve d'identité.

Voir notre politique de confidentialité pour le détail.

Statut des audits et certifications

| Sujet | État au 9 mai 2026 | Échéance | |---|---|---| | Politique de confidentialité publiée | V1.0 rédigée | Mise en ligne sur /privacy à la sortie publique V1 | | Registre Article 30 | V1.0 interne | Mis à jour à chaque nouveau traitement | | DPA standard disponible | V1.0 prêt | Disponible sur demande dès maintenant | | Trust page publique | V1.0 (cette page) | À déployer sur /trust à la sortie publique | | Pentest externe | Prévu | Avant V1.0 production publique | | Certification SOC 2 | Non visée à court terme (coût + ressources) | Réévaluation à 100 k€ MRR | | Certification ISO 27001 | Non visée à court terme | Réévaluation à 100 k€ MRR | | HDS (Hébergement Données Santé) | Non applicable (vertical hors santé) | — |

Nous préférons être honnêtes sur ce qu'on n'a pas encore plutôt que de revendiquer des certifications coûteuses qu'un solo founder ne peut pas obtenir en phase MVP. Les certifications clé (SOC 2, ISO 27001) sont l'objectif explicite à mesure que MENTIA grandit.

Contact

Pour toute question sécurité, conformité ou demande RGPD :

  • Email : contact@getmentia.fr
  • Objet : "Trust — [Sujet]"

Pour signaler une vulnérabilité de sécurité de manière responsable :

  • Email : contact@getmentia.fr
  • Objet : "Security Disclosure"
  • Nous nous engageons à répondre sous 48h et à ne pas poursuivre la personne qui signale de bonne foi.

Cette page est maintenue à jour à chaque évolution de la stack ou de la liste de sous-traitants. Date de dernière mise à jour : 9 mai 2026.

Tu as besoin d'un DPA pour ta compliance ?

Notre modèle de DPA est disponible sur simple demande pour les comptes Business+. Conforme article 28 RGPD, 12 articles standards.