Protection des données et confidentialité

Objectif

Ce document explique quelles données Visual Expert AI traite, comment les données circulent dans le système, où elles sont stockées et combien de temps elles sont conservées. Il apporte une transparence sur les pratiques de gestion des données de Visual Expert afin de soutenir vos évaluations de confidentialité et de conformité.

Pour des informations complémentaires, veuillez consulter :

• Sécurité et durcissement administratif : posture de chiffrement, modèle d'isolation, politiques d'accès et gestion des vulnérabilités
• Architecture et réseau : points de terminaison, règles de trafic sortant et prérequis de connectivité

Principes fondamentaux de Visual Expert

Périmètre contrôlé par l'utilisateur

Visual Expert analyse uniquement les éléments source que vous sélectionnez explicitement pour l'analyse. Cela inclut les fichiers source, les définitions d'objets de base de données (procédures, fonctions, vues), les requêtes SQL et le code applicatif. Visual Expert ne scanne pas automatiquement ni n'analyse le code que vous n'avez pas sélectionné.

Aucun traitement de données de production

Visual Expert traite la structure du code et les métadonnées (définitions d'objets, schémas, syntaxe du code), mais n'accède pas aux données de production, aux enregistrements métier ni aux données d'exécution de vos bases de données ou applications.

Opérations en lecture seule

Visual Expert fonctionne en mode lecture seule et ne modifie pas votre code source, vos schémas de base de données ni aucun autre élément de votre environnement.

Ce que VE AI envoie au modèle

Données transmises au service IA

Lorsque vous utilisez les fonctionnalités Visual Expert AI, les données suivantes sont transmises :

• Votre requête : la question spécifique que vous déclenchez via l'interface utilisateur Visual Expert
• Un extrait de code minimal : uniquement le fragment de code strictement nécessaire pour répondre à votre question (tel qu'une procédure, une fonction, une requête ou une définition d'objet spécifique)

Données non transmises au service IA

• Référentiels de code source complets ou dumps de bases de données
• Code ou objets de base de données non directement pertinents pour votre demande d'analyse en cours
• Données de production, enregistrements métier ou données d'exécution

« Contexte de projet » et amélioration des résultats futurs

Qu'est-ce que le contexte de projet ?

Le contexte de projet est une couche de connaissance que Visual Expert constitue et maintient pour chaque projet client. Il est composé d'extraits de code, de résultats IA et de représentations dérivées (telles que des résumés, des annotations ou des patterns d'analyse) générés lors de votre utilisation des fonctionnalités VE AI.

Finalité du contexte de projet

Le contexte de projet vise à améliorer la précision, la pertinence et la cohérence des réponses IA au fil du temps, dans le cadre de votre environnement de projet spécifique. En conservant des informations sur les analyses précédentes, Visual Expert AI peut fournir des réponses plus contextuellement appropriées, tenant compte de la structure, des conventions de nommage et des patterns de codage de votre application.

Où est stocké le contexte de projet ?

• Votre tenant VE Cloud : les données sont stockées dans votre environnement tenant dédié et isolé dans VE Cloud (hébergé sur Microsoft Azure par Novalys)
• OpenAI : OpenAI peut conserver les données de contexte de projet pour améliorer la qualité et la pertinence des réponses IA dans le cadre de votre projet VE spécifique, mais ne peut pas les utiliser à d'autres fins, comme l'entraînement de modèles IA.

Accès au contexte de projet

Les données de contexte de projet ne sont pas accessibles aux autres clients Visual Expert ni aux tiers. L'accès est restreint aux utilisateurs au sein de votre projet Visual Expert (selon le provisionnement de vos comptes).

Suppression du contexte de projet

Vous pouvez demander la suppression des données de contexte de projet à tout moment en contactant le support Novalys. Les procédures et délais de suppression sont décrits dans la section Rétention et suppression ci-dessous.

Pour des informations détaillées sur le chiffrement, l'isolation et les contrôles d'accès, veuillez consulter le document Sécurité et durcissement administratif.

Flux de données (en bref)

Voici comment les données circulent dans le système Visual Expert AI :

1. Client VE vers VE Cloud : lorsque vous déclenchez une requête IA depuis un client Visual Expert (bureau ou web), votre requête et un extrait de code réduit sont transmis à VE Cloud via une connexion TLS chiffrée.
2. VE Cloud vers OpenAI : VE Cloud formate votre requête et appelle l'API OpenAI pour obtenir une réponse générée par l'IA.
3. Retour de la réponse : la réponse IA est transmise depuis OpenAI vers VE Cloud, puis de VE Cloud vers votre client VE, via des connexions chiffrées.
4. Affichage et stockage : le résultat IA s'affiche dans l'interface de votre client Visual Expert. Vous pouvez sauvegarder le résultat localement ou le supprimer. Des données de contexte de projet peuvent être conservées dans VE Cloud et chez OpenAI comme décrit ci-dessus.

Rétention et suppression

VE Cloud (tenant client)

• Durée de rétention : les éléments de contexte de projet (extraits de code, résultats IA et représentations dérivées) sont conservés dans votre tenant VE Cloud aussi longtemps qu'ils sont nécessaires pour assurer le fonctionnement de VE AI et améliorer la qualité de l'analyse pour votre projet.
• Procédure de suppression : toutes les données de contexte de projet stockées dans VE Cloud sont supprimées dans les cas suivants :
  • Sur votre demande explicite au support Novalys
  • Automatiquement à la résiliation de votre accord de service Visual Expert
  Pour demander une suppression, contactez le support Novalys en précisant les données de contexte de projet que vous souhaitez supprimer.

OpenAI

• Durée de rétention : OpenAI ne conserve les données que le temps nécessaire et uniquement pour fournir les services IA à votre instance Visual Expert. Toute autre utilisation par OpenAI est strictement interdite par contrat (DPA signé avec Novalys).
• Délai de suppression : OpenAI supprime toutes les données conservées dans un délai maximum de 30 jours après réception de votre instruction de suppression (transmise par Novalys) ou à la résiliation de votre accord de service.

Bonnes pratiques pour les clients

• Soumettre des extraits minimaux : lorsque vous utilisez les fonctionnalités VE AI, soumettez uniquement l'extrait de code minimal nécessaire pour répondre à votre question d'analyse spécifique. Évitez d'inclure du code non pertinent ou un contexte plus large que nécessaire.
• Éviter d'inclure des secrets : n'incluez pas de secrets (mots de passe, clés API, tokens d'accès, certificats) dans les extraits de code soumis à VE AI. Si vous découvrez que des secrets ont été intégrés dans du code analysé, procédez immédiatement à leur rotation conformément à vos politiques de sécurité.
• Suivi de l'utilisation (optionnel) : si vos politiques internes de conformité ou d'audit le requièrent, vous pouvez suivre l'utilisation de Visual Expert AI via vos propres outils de surveillance réseau (journaux proxy, journaux pare-feu ou systèmes SIEM).

Pour les contrôles de sécurité détaillés (chiffrement au repos, isolation, gestion des identités et des accès, gestion des vulnérabilités), veuillez consulter le document Sécurité et durcissement administratif.

Pour les prérequis de connectivité et les détails de liste d'autorisation, veuillez consulter le document Architecture et réseau (Guide technique).

FAQ — Protection des données et confidentialité

C1. Qu'envoie exactement Visual Expert AI au modèle ?

VE AI transmet uniquement votre requête d'analyse et un extrait de code minimal strictement nécessaire pour répondre à cette requête.

C2. Qu'est-ce que le « contexte de projet » et pourquoi est-il conservé ?

Le contexte de projet est une couche de connaissance par tenant composée d'extraits de code, de résultats IA et de représentations dérivées. Il est conservé pour améliorer la précision et la pertinence des futures réponses IA dans le cadre de votre environnement de projet spécifique.

C4. Où est stocké le contexte de projet ?

Le contexte de projet est stocké dans votre tenant VE Cloud dédié et chez OpenAI pour améliorer la qualité de l'analyse au fil du temps.

C5. Qui peut accéder à notre contexte de projet ?

Le contexte de projet n'est pas accessible aux autres clients Visual Expert ni aux tiers. L'accès est isolé par tenant et par projet et limité à vos utilisateurs autorisés.

C6. Pouvons-nous demander la suppression du contexte de projet ?

Oui. Vous pouvez demander la suppression des données de contexte de projet dans VE Cloud et chez OpenAI à tout moment en contactant le support Novalys.

C7. Combien de temps OpenAI conserve-t-il nos données ?

OpenAI supprime les données dans un délai maximum de 30 jours après réception de votre instruction de suppression (transmise via Visual Expert) ou à la résiliation du service.

C8. Visual Expert analyse-t-il des données de production ou des enregistrements métier ?

Non. Visual Expert analyse la structure du code et les définitions d'objets. Il n'accède pas aux données de production ni aux enregistrements métier.

C9. Peut-on utiliser Visual Expert sans les fonctionnalités IA ?

Oui. Les fonctionnalités d'analyse statique de code de Visual Expert fonctionnent indépendamment de l'IA. Les fonctionnalités IA sont entièrement optionnelles et conçues pour apporter une analyse avancée au-delà des capacités de l'analyse statique.

C10. Quelles bonnes pratiques appliquer lors de la soumission d'extraits ?

Soumettez le plus petit extrait de code complet nécessaire à votre analyse et évitez d'inclure des secrets (mots de passe, clés, tokens) dans le code soumis.

Glossaire

• AES : Advanced Encryption Standard — algorithme de chiffrement symétrique pour la protection des données au repos
• API : Application Programming Interface — ensemble de protocoles de communication entre logiciels
• DPA : Data Processing Agreement — contrat légal encadrant le traitement des données entre parties
• TLS : Transport Layer Security — protocole cryptographique pour la communication sécurisée sur les réseaux

 

En savoir plus sur Visual Expert AI

• Visual Expert AI : Sécurité et durcissement administratif
• Visual Expert AI : Architecture et réseau 
• Visual Expert AI FAQ