Nous gérons la sécurité pour que votre équipe n'ait pas à le faire

Oui. Photoroom dispose d'une attestation SOC 2 Type 2 couvrant notre service API. Le rapport le plus récent (avril 2026) ainsi que les contrôles actuels sont disponibles dans le Trust Center. Si votre processus d'achat nécessite des preuves sur un autre périmètre, veuillez en informer l'équipe commerciale dès le début.

Oui, dans les deux cas. Nous appliquons les principes du RGPD, avec une liste documentée de sous-traitants, un processus défini de notification en cas de violation, et l'anonymisation des données personnelles avant tout entraînement de modèle. Un accord de traitement des données est disponible pour les clients Enterprise via votre équipe de compte.

Cela dépend de votre contrat.

• Contrats Enterprise : non par défaut. L'entraînement n'a lieu que si cela est explicitement convenu par écrit.

• Forfaits API en libre-service : oui par défaut, avec une option de refus contrôlée par le client dans les paramètres du compte.

• Tous les forfaits : les données d'entraînement et les données de production sont stockées séparément. L'accès aux données d'entraînement est limité aux membres de l'équipe ML, chaque accès étant enregistré.

Notre infrastructure fonctionne sur Google Cloud Platform et Amazon Web Services aux États-Unis. Les données en transit sont chiffrées avec TLS 1.2 ou supérieur (géré via Cloudflare). Les données au repos sont chiffrées au niveau de l’infrastructure par GCP et AWS. La résidence des données limitée à l’UE n’est pas disponible actuellement. Si la résidence régionale des données est une exigence contractuelle, veuillez en informer l’équipe commerciale dès le début.

Les images de l'API synchrones sont supprimées dès que la réponse est renvoyée. Les images de l'API asynchrones sont conservées brièvement pendant l'exécution de la tâche, puis supprimées. Les journaux opérationnels sont effacés après 15 jours. Les journaux d'accès à l'API sont conservés pendant un an afin de soutenir les enquêtes de sécurité et les demandes d'audit.

GCP et AWS pour l'hébergement et le stockage, Cloudflare pour le CDN, la sécurité et le DNS, Datadog pour la journalisation des événements et des paramètres de l'API, et Vercel pour l'hébergement. La liste actuelle est publiée dans le Centre de confiance.

Un incident a été enregistré (octobre 2024) : une interruption de service de 30 minutes. Aucune donnée client n’a été compromise. L’événement a été documenté et examiné conformément à notre procédure de gestion des incidents.

Oui. Les utilisateurs de l'application peuvent choisir de ne pas contribuer à l'amélioration du modèle via un bouton dans les paramètres du compte. Lorsque les données sont utilisées pour l'entraînement, les données personnelles sont d'abord anonymisées. Remarque : cela est distinct de l'engagement pris envers les clients de l'API, où le paramètre par défaut dépend du contrat (Enterprise : non par défaut ; en libre-service : possibilité de refus).