Qualead est conçu pour des établissements exigeants. Cette page centralise toutes les informations dont votre DSI a besoin pour évaluer la solution.
Architecture des flux
Qualead ne stocke jamais le contenu brut de vos emails au-delà du traitement immédiat. Voici le flux complet, de la réception à la réponse.
Email reçu
Qualead reçoit une notification Microsoft Graph (webhook). Le contenu de l'email est lu via l'API Microsoft — aucune copie permanente.
Analyse IA
Le texte est envoyé à l'API Claude (Anthropic) pour extraction des informations du brief. Anthropic ne conserve pas les données API pour l'entraînement.
Vérification agenda
Qualead interroge vos calendriers Microsoft Graph pour vérifier les disponibilités. Lecture seule — aucune écriture sur votre agenda.
Brouillon & dashboard
Un brouillon est créé dans votre Outlook (écriture uniquement sur les brouillons). Le brief qualifié est stocké dans Supabase EU, chiffré, cloisonné par établissement.
Mesures de sécurité
Hébergement 100 % Europe
Base de données Supabase hébergée sur AWS eu-west-3 (Paris). Aucune donnée client ne quitte l'Union Européenne. Supabase est certifié SOC 2 Type II et ISO 27001.
Authentification OAuth 2.0 Microsoft
La connexion à Outlook utilise exclusivement le protocole OAuth 2.0 de Microsoft. Qualead ne stocke jamais votre mot de passe. Les tokens d'accès sont chiffrés avec AES-256 avant écriture en base.
Chiffrement des données sensibles
Les tokens Microsoft (access token, refresh token) sont chiffrés avec une clé AES-256 propre à chaque environnement avant tout stockage. Les clés de chiffrement ne sont jamais dans la base de données.
Isolation stricte des données
Chaque établissement dispose d'un espace de données isolé. Row Level Security (RLS) PostgreSQL est activé sur toutes les tables — il est techniquement impossible pour un compte d'accéder aux données d'un autre.
IA & confidentialité des données
Qualead utilise l'API Claude d'Anthropic. Selon la politique d'utilisation de l'API Anthropic, les données transmises via l'API ne sont pas utilisées pour entraîner les modèles. Aucun contenu d'email n'est conservé par Anthropic.
Aucun envoi automatique
Qualead ne peut jamais envoyer un email à la place de votre équipe. Chaque réponse générée est déposée en tant que brouillon dans Outlook. L'envoi est toujours manuel, validé par un collaborateur humain.
Microsoft Graph API
Voici exactement les permissions que Qualead demande lors de la connexion à Microsoft 365, et pourquoi chacune est nécessaire.
Mail.ReadDétecter les demandes de privatisation entrantes et lire leur contenu pour l'analyse IA.
Mail.ReadWriteCréer le brouillon de réponse dans votre Outlook. Limité aux brouillons — Qualead ne modifie jamais vos emails envoyés ou reçus.
Calendars.ReadVérifier les disponibilités de vos espaces sur les calendriers connectés. Lecture seule — aucune création ou modification d'événement.
User.ReadRécupérer l'adresse email et l'identifiant Microsoft de l'utilisateur connecté pour l'associer à votre compte Qualead.
Qualead ne demande aucun accès à vos contacts, vos fichiers OneDrive, Teams, ou tout autre service Microsoft 365.
Conformité
Responsable de traitement
Ellevate — éditeur de Qualead. Contact DPO disponible sur demande à qualead@ellevate.fr.
Base légale du traitement
Intérêt légitime (Article 6.1.f RGPD) pour le traitement des demandes événementielles professionnelles entrantes. Contrat (Article 6.1.b) pour les données du compte utilisateur.
Durée de conservation
Les briefs et leads sont conservés tant que le compte est actif. Suppression sur demande sous 30 jours. Les logs techniques sont conservés 90 jours.
Sous-traitants
Supabase (hébergement EU), Anthropic API (traitement IA — API uniquement, pas de conservation), Microsoft Azure (OAuth), Vercel (déploiement).
Droits des personnes
Accès, rectification, suppression, portabilité exercables par email à qualead@ellevate.fr. Réponse garantie sous 30 jours calendaires.
Registre Article 30
Un registre de traitement conforme à l'Article 30 du RGPD est tenu à jour et disponible sur demande pour validation par votre DPO ou DSI.
Nous répondons à toute demande de questionnaire sécurité, d'audit, ou de validation technique. Envoyez-nous vos questions directement.