Protégé par l'architecture.
Pas par des promesses.
Toutes les plateformes d'IA disent protéger vos données. La plupart l'entendent comme une case à cocher et un paragraphe dans leur politique de confidentialité. Nous, nous avons bâti autre chose.
Pourquoi c'est important
Un tribunal américain peut contraindre votre fournisseur d'IA à divulguer vos données, sans vous en aviser, sans aviser vos clients, sans aviser un tribunal canadien. C'est le CLOUD Act, et toutes les grandes plateformes d'IA y sont assujetties parce qu'elles sont toutes américaines. OpenAI, Anthropic et Google compris.
Certaines entraînent leurs modèles sur vos conversations par défaut. Certaines vous montrent des publicités. D'autres font la promotion croisée de leurs services.
Le Canada a bâti sa loi sur la vie privée différemment. La LPRPDE exige un consentement valable, la transparence sur l'utilisation des données et des cadres juridiques qui protègent la personne, pas la plateforme. Les gouvernements étrangers ne peuvent pas silencieusement contraindre une entreprise canadienne à remettre vos données.
Mais rien de tout cela ne compte à moins que l'entreprise qui détient vos données ne soit une entreprise détenue et exploitée à 100 % par des Canadiens, assujettie au seul droit canadien. La résidence des données seule n'est pas la protection qu'on a tous crue qu'elle était. Même si une entreprise américaine stocke vos données au Canada, un mandat américain peut quand même la contraindre à les remettre sans jamais vous en aviser, ni aviser les tribunaux canadiens.
Les noms, adresses et identifiants effacés avant de quitter le Canada.
Le Bouclier de confidentialité détecte et caviarde les noms, adresses, numéros de téléphone et identifiants dans vos messages avant qu'ils n'atteignent un fournisseur d'IA étranger. L'IA travaille avec des espaces réservés. Quand la réponse revient, nos serveurs remettent les vrais renseignements à leur place. Vous obtenez la réponse complète. Le fournisseur d'IA n'obtient rien.
C'est optionnel. Activez-le quand vous en avez besoin.
Une IA qui fonctionne entièrement au Canada.
Pour le travail où la politique organisationnelle ou la réglementation exige que les données ne quittent pas votre contrôle, nos modèles hébergés au Canada traitent tout sur des serveurs que nous contrôlons. Vos données ne franchissent jamais la frontière et ne sont jamais vues par un tiers. Aucun fournisseur d'IA étranger n'intervient à un quelconque moment dans la conversation.
Quand on vous demandera où sont passées les données, la réponse est :
Elles ne sont jamais parties.
Chaque conversation, scellée avec des clés canadiennes.
Vos données sont chiffrées au moyen de clés détenues par une entreprise canadienne, sur du matériel que nous possédons et exploitons nous-mêmes. Non loué auprès d'un tiers. Non hébergé en colocation dans un centre de données à propriété étrangère. Aucun tiers n'y a d'accès physique ni opérationnel. Le fournisseur infonuagique qui stocke vos données n'a aucun chemin vers ces clés. Ce n'est pas du chiffrement de disque géré par l'hébergeur. C'est du chiffrement appliqué par notre application avant même que vos données ne soient écrites sur le stockage.
Le fournisseur infonuagique n'a pas accès à ces clés. Elles ne sont jamais écrites sur disque et ne quittent jamais la mémoire chiffrée de nos serveurs. Une brèche, une assignation, un administrateur d'infrastructure compromis. Peu importe la menace, notre fournisseur infonuagique ne peut remettre que du texte chiffré inutilisable.
On ne peut pas lire ce qu'on ne peut pas déchiffrer.
C'est automatique. Chaque conversation. Chaque modèle. Chaque palier.
Le compromis que nous avons fait
Les clés qui empêchent la divulgation étrangère de vos données sont les mêmes clés qui permettent à Rideau AI de les lire. Nous gardons ces clés exclusivement au Canada, sur du matériel que nous possédons et exploitons, avec une copie de sauvegarde sur du matériel canadien distinct que nous possédons et exploitons également. Nous n'en stockons pas de copies ailleurs ni auprès d'un tiers, parce que cela compromettrait toute la garantie.
Si vous ne deviez nous accorder qu'une seule confiance, c'est ici que vous devriez la placer. Toutes les autres affirmations de confidentialité que nous faisons reposent sur le fait que ces clés demeurent hors de portée étrangère.
Ce choix a une conséquence honnête : si à la fois notre infrastructure de clés et sa copie de sauvegarde devaient tomber en panne en même temps, ou si notre fournisseur infonuagique devait perdre ou saisir le stockage contenant vos données chiffrées, nous pourrions être incapables de les récupérer. Les deux sont peu probables. Les deux sont inhérents au fait de garder vos données hors de portée étrangère.
Rideau AI est un espace de travail, pas un coffre-fort. Vous y apportez de l'information, vous l'utilisez et vous emportez les résultats ailleurs. La majorité de ce qui transite par la plateforme existe sous une forme ou une autre à l'endroit d'où vous l'avez apporté. Nous rendons l'exportation triviale : JSON et Markdown, en tout temps, sans billet de soutien. Le travail que vous faites ici peut repartir comme il est arrivé. Nous ne pensons pas que vous devriez traiter aucun service infonuagique comme la seule copie de quoi que ce soit d'important, et Rideau AI ne fait pas exception.
Une dernière chose que les évaluateurs techniques demandent souvent :
Le fournisseur infonuagique gère le chiffrement réseau. Ne voit-il pas les données avant de les acheminer vers votre serveur ?
Le chiffrement TLS standard protège vos données entre votre navigateur et la périphérie du fournisseur infonuagique. Mais c'est là que ça s'arrête. Le fournisseur infonuagique déchiffre le trafic à son pare-feu, l'inspecte, l'achemine, puis le chiffre à nouveau avant de l'envoyer à nos serveurs. Pendant ce bref moment, vos données sont en clair sur une infrastructure que nous ne contrôlons pas.
Nous y avons pensé, nous aussi.
Nous ajoutons une seconde couche de chiffrement à l'intérieur de TLS. Vos données sont chiffrées dans votre navigateur et ne sont déchiffrées qu'en mémoire sur notre serveur Web. Le pare-feu du fournisseur infonuagique voit du texte chiffré. Il peut l'acheminer, mais ne peut pas le lire.