Aller au contenu

La sécurité, c'est notre première fonctionnalité.

Vos documents bancaires, vos pièces d'identité, vos baux signés. Tout ce qui rend votre patrimoine traçable mérite mieux qu'un Drive partagé. Voici précisément comment nous les protégeons.

Cycle de vie d'un document sensible.

De l'upload à l'effacement, chaque étape est instrumentée et auditée.

  1. Upload

    Le document arrive depuis votre navigateur ou WhatsApp.

  2. Chiffrement AES-256-GCM

    Chiffré au repos avec la clé maître, avant écriture sur disque.

  3. Stockage

    Disques européens, sauvegardes Allemagne, journaux d'accès.

  4. TTL 6 mois ou conservation

    Effacement auto après 6 mois, sauf justification explicite de votre part.

  5. Effacement

    Suppression définitive, audit log conservé 12 mois.

Cycle de vie d'un document sensible chez Butleo.

Huit garanties, sans détour.

Chiffrement AES-256-GCM.

Tous vos documents sensibles (CNI, RIB, baux signés, quittances, états des lieux) sont chiffrés au repos avec l'algorithme AES-256-GCM, le même standard que celui utilisé par les banques pour protéger les données client.

Le chiffrement s'applique avant écriture sur disque. Personne, pas même un administrateur Butleo avec accès au serveur, ne peut lire un fichier sans la clé. La clé maître vit en variable d'environnement, jamais en base de données, et nous interdit l'accès en lecture aux documents chiffrés.

Pour les modules les plus exposés (bundles partagés à un tiers, magic links locataires), nous générons des tokens de partage hachés en SHA-256 64 caractères, jamais stockés en clair. Si votre base de données fuite, les tokens fuités ne permettent d'accéder à rien.

L'implémentation utilise la bibliothèque `crypto` native de Node.js, sans dépendance tierce sur la cryptographie. Moins de surface d'attaque, audit code plus simple.

Authentification renforcée.

La double authentification est incluse dans tous les plans, dès le plan gratuit. Vous pouvez l'activer par TOTP (application Google Authenticator, Authy, 1Password) ou par code reçu par email à chaque connexion sensible.

Vos appareils de confiance sont gérables à tout moment depuis vos paramètres. Vous voyez la liste, le navigateur, la dernière activité, et vous pouvez révoquer un appareil en un clic. La session associée est tuée immédiatement.

Quand vous changez votre mot de passe, toutes les autres sessions actives sont révoquées par défaut. Si quelqu'un avait volé votre cookie, il perd l'accès à la seconde où vous changez votre mot de passe.

Le rate limiting prévient les attaques par force brute. Trois tentatives ratées suspendent les essais une heure, sur le compte ET sur l'IP, sans aucune action de votre part.

Conforme RGPD nativement.

Vos documents sensibles (CNI, passeports, justificatifs personnels) s'effacent automatiquement de nos serveurs après 6 mois, en application directe du principe RGPD de minimisation des données. Vous n'avez rien à faire.

Vous gardez la main : si vous avez besoin de conserver une CNI au-delà de 6 mois (par exemple pour un contentieux en cours), vous le justifiez en deux clics et la rétention est étendue jusqu'à votre prochaine décision.

L'effacement total de votre compte se fait en un clic depuis vos paramètres. Suppression définitive en 30 jours, après une période de récupération courte qui vous protège contre les mauvaises manipulations. Vous recevez un récapitulatif avant la destruction effective.

Toute opération sensible (consultation d'un document, suppression, partage) est tracée dans un audit log append-only conservé 12 mois. Append-only : personne ne peut effacer une ligne, même pas nous. C'est la garantie d'auditabilité pour vos AIPD et celles de vos comptes professionnels.

France first, France only.

Butleo est exclusivement français par construction. Les adresses de vos biens sont validées par l'API officielle data.gouv.fr, l'API Adresse de l'État. Aucune base de données privée, aucune sous-traitance américaine pour quelque chose d'aussi simple qu'une adresse postale.

Le code de l'application interdit la création d'un bien à l'étranger. Quatre validateurs successifs vérifient le code postal, le code pays, le code INSEE et les coordonnées GPS. Pas de contournement possible.

Vos données vivent en Europe : nos bases applicatives sont hébergées en France, nos sauvegardes en Allemagne, notre monitoring d'erreurs en Allemagne également. Aucune donnée personnelle ne quitte l'Union européenne, jamais.

Aucun sous-traitant américain pour les données personnelles. Pas d'AWS US, pas de GCP US, pas de Cloudflare US sur les flux sensibles. Cette contrainte technique a un coût en complexité mais elle vous protège du Cloud Act.

Cloisonnement strict.

Léo ne partage jamais les conversations entre vos locataires et vous. Quand votre locataire écrit à Léo, vous voyez la conversation côté propriétaire en lecture seule, mais Léo, lui, ne mélange jamais les contextes : il ne parlera pas à Sophie de ce que Pierre lui a dit la semaine d'avant.

Le cloisonnement remonte aussi entre propriétaires. Si vous gérez vos biens en famille avec un co-propriétaire, vos conversations IA personnelles restent privées. Seules les conversations explicitement liées à un bien partagé sont visibles par les co-propriétaires de ce bien.

Côté permissions, chaque utilisateur a un rôle précis (owner, co-owner, professionnel, locataire) et un périmètre par bien. Un gestionnaire pro accède au budget mais ne peut pas révoquer les accès. Un locataire voit son bail mais ne voit jamais le budget. Le moteur de permissions est testé sur 200 cas de figure.

Liens partagés contrôlés.

Quand vous partagez un dossier de documents à votre banquier, votre notaire ou votre comptable, le lien généré est cryptographiquement signé. Personne ne peut deviner un lien valide en énumérant les identifiants : il faut que vous l'envoyiez explicitement.

Chaque ouverture du lien est tracée : qui a consulté quel document, à quelle heure, depuis quelle adresse IP. Vous voyez le journal d'accès en direct dans votre interface, sans avoir à le demander.

Vous pouvez révoquer un lien à tout moment, en un clic. La personne qui essaie d'y accéder ensuite voit un message clair : ce partage n'est plus accessible. Pas d'erreur 404 sèche, pas de doute sur l'origine de la révocation.

Les fichiers PDF et images téléchargés via un lien partagé sont automatiquement filigranés avec le nom et l'email du destinataire, ainsi que l'horaire d'accès. Si un document fuite, vous savez d'où il vient.

Communication verrouillée en français.

Vos locataires reçoivent toujours du français, quoi qu'il arrive. Un message WhatsApp envoyé à votre locataire, un email transactionnel, une notification de quittance : tout est en français, par construction du code.

Cette règle est imposée par le code source : les services qui envoient des messages aux locataires (MessagingService, LeoAgent, ContractorOutreachService) sont scellés en français via des docblocks et un test automatisé qui fait planter le build si quelqu'un essaie d'ajouter une option de langue.

Vous, propriétaire, pouvez utiliser l'interface en français ou en anglais selon votre préférence. Mais vos locataires, vos artisans et vos contacts restent en français quoi qu'il arrive. Cette contrainte est délibérée : nous ciblons le marché français, nous parlons français.

Modèle propre.

Pas de publicité dans Butleo, jamais. Pas de bandeau, pas de pop-up, pas de "produit recommandé", pas de partenariat affiché. L'interface ne vend rien d'autre que Butleo lui-même.

Pas de revente de données. Vos données restent vos données. Nous ne les revendons à aucun tiers, ni anonymisées, ni agrégées, ni sous quelque forme que ce soit. Le modèle économique repose uniquement sur les abonnements payants.

Pas de tracking tiers. Pas de Google Analytics, pas de Facebook Pixel, pas de Hotjar. Le monitoring d'erreurs (Sentry) est hébergé en Allemagne et ne reçoit jamais de données personnelles identifiables. Le seul outil d'analyse côté propriétaire est Google Analytics 4 sur la PWA, anonymisé et désactivable depuis vos paramètres.

Vous payez Butleo, c'est tout. Pas de pricing freemium piégé qui devient inutilisable au-delà de 3 actions. Le plan gratuit est gratuit pour de vrai et utile pour de vrai sur un seul bien.

Vos AIPD, notre transparence.

AIPD et DPA fournis sur demande aux comptes professionnels. Écrivez àsupport@butleo.fravec votre numéro de SIRET, nous vous répondons sous 48 heures ouvrées.