Foire aux questions sur la sécurité de vos documents

Doctrine vous propose désormais des services impliquant le téléversement et le stockage de vos documents. Cette FAQ répond à l'ensemble de vos questions sur la sécurité de vos documents.

La fonctionnalité Document Analyzer fait l’objet d’une FAQ dédiée consultable au lien suivant : https://www.doctrine.fr/document-analyzer/faq.

Pourquoi ces innovations ?

Avec Doctrine, vous aviez l’habitude de sécuriser votre raisonnement et de minimiser l’aléa juridique pour vos clients et vos entreprises en recherchant et en trouvant des informations juridiques adaptées à vos dossiers et en étant notifiés des dernières évolutions.

Désormais, notamment grâce à l’intelligence artificielle générative, nous vous permettons également de gagner du temps sur des tâches de recherche, d’extraction, d’analyse dans vos documents de travail, de simulation de rupture de contrat de travail (Jobexit) et de gestion des pièces (Flow), pour vous permettre d’être plus efficaces et productifs et de vous consacrer aux tâches à grande valeur ajoutée.

À retenir

❌ Ce que nous ne faisons pas

Nous n’entraînons pas nos algorithmes et modèles d’intelligence artificielle sur vos données. Vos données restent les vôtres et ne se retrouveront pas dans les résultats de nos traitements.

Nous ne vendons pas vos données à des tiers. Notre modèle économique n'est pas basé sur l'utilisation des données que vous importez dans Doctrine.

Nous n'associons pas les documents importés à votre identité : les documents sont chiffrés, stockés séparément de vos données et de manière pseudonymisée.

Nos salariés n'ont pas accès aux fichiers que vous importez, sauf temporairement en cas d’erreur et pour comprendre l’utilisation du produit. Vous pouvez à tout moment vous opposer à ces accès par email à dpo@doctrine.fr.

✅ Ce que nous faisons

Toutes les données stockées le sont en Europe, sur des serveurs AWS situés à Francfort, réputés comme étant les plus sécurisés au monde. AWS est certifié ISO/IEC 27001:2022, 27017:2015, 27018:2019, 27701:2019, 22301:2019, 20000-1:2018, 9001:2015 et CSA STAR CCM v4.0.

Nous avons bénéficié de l’accompagnement renforcé de la CNIL pour le développement de cette fonctionnalité, afin d’assurer la plus grande confidentialité sur notre IA générative juridique.

Nous sommes certifiés ISO 27001 pour tout le site doctrine.fr (à l'exclusion de Jobexit). Vous pouvez retrouver tous nos engagements de sécurité sur notre centre de confiance : https://trust.doctrine.com.

Nous chiffrons les fichiers et les transferts de données avec les meilleurs algorithmes. Même si le serveur contenant vos données était piraté, on ne pourrait pas identifier leur origine et contenu, a fortiori parce que nous stockons toutes les informations de manière pseudonymisée.

Nous réalisons un contrôle d’accès strict à deux niveaux : en interne, auprès des collaborateurs conformément au principe du Moindre privilège et sur la plateforme, au niveau des utilisateurs grâce à la technologie AWS CloudFront.

Nous nous appuyons sur les recommandations des instances représentatives des avocats, comme le Guide de l'avocat numérique de l'Ordre du barreau de Paris et le Guide de sécurité de l'information pour les avocats du CNB.

Nous nous appuyons également sur les recommandations de l’agence nationale de la sécurité des systèmes d’information, comme l’État de la menace contre les cabinets d’avocat (télécharger le guide).

Nous avons nommé un Data Protection Officer qui veille au quotidien à la conformité du traitement des données personnelles. Il est impliqué dans tous les projets de l'entreprise.

Comment ça marche ?

Les services de Doctrine consiste à automatiser des tâches à faible valeur ajoutée pour vous permettre de vous concentrer sur la réflexion, l’analyse et la stratégie juridique.

Flow Litigate

Vous uploadez un dossier ou des pièces sur Flow Litigate, qui accepte la plupart des formats de fichiers usuels (PDFs, images, documents, emails). Flow Litigate va vous permettre de scinder d’éventuels fichiers comprenant plusieurs documents, comme par exemple dans le cas de dossiers de pièces scannées.
Si certains de vos documents ne sont pas au format texte, nous les transformons en texte (océrisation) via l'API de Google Cloud Vision. Les documents sont transférés de manière chiffrée et ne sont pas conservés par notre prestataire.
Une fois scindés et océrisés, vos documents sont alors analysés par nos services, qui utilisent notamment des modèles d’intelligence artificielle hébergés en Europe (pour l’instant, les modèles GPT d’OpenAI, fournis par Microsoft Azure sur des serveurs européens). Vos données ne sont jamais envoyées hors de l’Union européenne. Elles sont immédiatement supprimées des serveurs Azure où elles transitent. Grâce à ces modèles d’IA générative, nous renommons vos documents, nous les résumons et nous en extrayons les dates pour que vous puissiez facilement vous imprégner de votre affaire.
Les résultats de ces opérations d’analyse sont alors disponibles en ligne sur votre interface Flow Litigate, où vous pouvez ensuite générer un résumé des faits et des suggestions de contre-arguments.

Flow Counsel

Flow Counsel vous permet de créer un clausier personnel : il vous suffit de téléverser vos contrats sur le plateforme afin d’en extraire automatiquement les clauses contenues dans ces documents.
Flow Counsel vous permet également d’analyser un contrat, clause par clause, permettant d’évaluer certains risques juridiques associés et d’identifier d’éventuelles incohérences de fond ou de forme.
Pour cela, vos contrats sont analysés par nos services, qui utilisent notamment des modèles d’intelligence artificielle hébergés en Europe (les modèles GPT d’OpenAI, fournis par Microsoft Azure et Gemini par Google Cloud sur des serveurs européens). Vos données ne sont jamais envoyées hors de l’Union européenne. Elles sont immédiatement supprimées des serveurs Azure et Google où elles transitent.
Les résultats de ces opérations d’analyse sont alors disponibles en ligne sur votre interface Doctrine Flow Counsel. Vous pouvez les consulter ou les supprimer à tout moment à travers votre historique.

Jobexit

Jobexit propre des simulations de rupture de contrat sur la base de règles légales

Si vous décidez de procéder à une collecte automatique des données, vous uploadez un bulletin de salaire sur Jobexit qui accepte la plupart des formats de fichiers usuels (PDFs, images png. ou jpg.).
Afin d’identifier et d’extraire les données strictement nécessaires à la simulation, nous avons recours à notre prestataire d’océrisation Mindee. Les documents sont transférés de manière chiffrée et ne sont pas conservés par notre prestataire.
Les documents sont automatiquement supprimés 24 heures après la fin des opérations d’analyse (océrisation des fiches de paie), sauf si vous avez expressément consenti à leur conservation et leur réutilisation à des fins d’amélioration.
Vous pouvez alors procéder à une estimation automatique des indemnités, des risques et des allocations liés à cette rupture.

Les autres fonctionnalités de traitement de documents

Doctrine vous permet de téléverser des documents sur la plateforme aux fins d’effectuer des opérations de traitement, comme l’extraction d’informations à partir d’un grand nombre de documents pour les analyser selon votre grille de lecture ou poser vos questions en langage naturel afin d’obtenir une réponse structurée, sourcée et vérifiable avec les références de vos documents (Chatbot Documents).

Vous uploadez un ou plusieurs documents sur Doctrine qui accepte la plupart des formats de fichiers usuels.
Si certains de vos documents ne sont pas au format texte, nous les transformons en texte (océrisation) via l'API de Google Cloud Vision. Les documents sont transférés de manière chiffrée et ne sont pas conservés par notre prestataire.
Une fois océrisés, vos documents sont alors analysés par nos services, qui utilisent notamment des modèles d’intelligence artificielle hébergés en Europe (pour l’instant, les modèles GPT d’OpenAI, fournis par Microsoft Azure sur des serveurs européens et les modèles de Gemini, fournis par Google Cloud également sur des serveurs européens). Vos données ne sont jamais envoyées hors de l’Union européenne. Elles sont immédiatement supprimées des serveurs Azure ou Google où elles transitent.
Les résultats de ces opérations d’analyse sont alors disponibles en ligne sur votre interface Doctrine. Vous pouvez les consulter ou les supprimer à tout moment à travers votre historique.

Quelles garanties offrons nous quant à la confidentialité de vos documents ?

Nous mettons en œuvre des mesures techniques et organisationnelles correspondant au plus haut niveau de l’état de l’art en matière de cybersécurité. Ces mesures ont été développées en consultant le vade-mecum de la déontologie d’avocat du barreau de Paris ainsi que le Guide de l’avocat numérique et le Guide de sécurité de l’information pour les avocats du CNB et les Lignes directrices du Conseil des barreaux européens sur l’usage des services d’informatique en nuage par les avocats. Elles sont également conformes aux recommandations émises par l’ANSSI dans le cadre du rapport précité.

Avant toute chose, il convient de noter que l’ensemble des services proposés par Doctrine sont certifiés ISO 27001, à l’exception de Jobexit.

Nous avons bénéficié par ailleurs de l’accompagnement renforcé de la CNIL pour le développement de nos fonctionnalités d’IA générative juridique : https://www.cnil.fr/fr/accompagnement-renforce-la-cnil-guidera-quatre-entreprises-pendant-six-mois.

Nous sommes obligés de stocker vos documents pour vous fournir une fonctionnalité d’historique ou de gestion de vos dossiers. Ce stockage est effectué sur nos serveurs AWS situés à Francfort, dans l’Union européenne. Ces serveurs répondent aux plus hautes garanties de sécurité physique et logicielle : notre prestataire est certifié ISO/IEC 27001:2022, 27017:2015, 27018:2019, 27701:2019, 22301:2019, 20000-1:2018, 9001:2015 et CSA STAR CCM v4.0. Les fichiers et données sont stockées par utilisateur, de manière pseudonymisée : vos données ne sont pas rattachées à une organisation et il n’y a pas de lien direct entre votre identité et une donnée ou un fichier. Nous avons par ailleurs déployé un chiffrement systématique de chaque fichier stocké sur ces serveurs avec l’algorithme AES-256, l'un des algorithmes de chiffrement les plus robustes qui soient, et n’autorisons que les connexions sécurisées en HTTPS afin que les communications soient elles-mêmes chiffrées.

L’ensemble des mesures de sécurité de Doctrine sont consultables sur le trust center : https://trust.doctrine.com/.

Afin d’assurer une haute confidentialité des fichiers stockés, nous avons mis en place des mesures d’authentification renforcée afin de restreindre l’accès aux documents aux seuls utilisateurs authentifiés et autorisés par le biais de cookies purement techniques (CloudFront).

Vos documents ne sont envoyés qu’à deux autres prestataires, en sus de notre hébergeur AWS : Google Cloud (Gemini et Vision Europe), Microsoft Azure Europe (qui nous fournit les modèles d’IA générative d’OpenAI). Dans ces cas, le document n'est stocké que pour la durée nécessaire pour le retour de notre prestataire et n'est pas conservé par ce dernier : il est immédiatement supprimé. Nous avons par ailleurs donné comme instruction à Google et Microsoft de ne pas conserver les documents.

Nous garantissons qu'aucun salarié de Doctrine ne peut avoir accès aux fichiers et que ces derniers ne sont transmis à aucun tiers hormis nos sous-traitants sécurisés nécessaires pour la réalisation de cette prestation.

Par exception, nos développeurs et experts produit peuvent accéder aux fichiers et dossiers que vous nous transmettez et dont le traitement a abouti à une erreur, aux seules fins de correction de cette erreur, ou aux seules fins de comprendre l’usage et la pertinence du produit. Vos documents et données ne sont jamais utilisés pour entraîner nos algorithmes ou nos modèles d’intelligence artificielle. Vous pouvez nous notifier votre refus de ces accès par email à dpo@doctrine.fr. Dans tous les cas, l’utilisation du fichier est strictement limitée à ces personnes autorisées et à la correction d’erreurs et la compréhension de l’usage du produit.

Les documents sont traités conformément à notre politique de données personnelles, notre code de bonne conduite et notre code de conduite sur l’IA générative.