Sécurité & infrastructure
Quels modèles IA. Où sont stockées les données. Comment elles sont chiffrées. Combien de temps elles restent. Ce qui se passe si vous partez. On répond à tout, ici, sans filtre commercial.
Les modèles
Savi route automatiquement le bon modèle selon la complexité du ticket. Vous savez exactement quel modèle a répondu : chaque message contient son empreinte dans les logs.
claude-haiku-4-5-20251001
Génère 80% des réponses. Rapide, précis, peu coûteux.
Utilisé pour
claude-sonnet-4-6
Prend le relais sur les tickets complexes. Raisonnement profond, ton plus nuancé.
Utilisé pour
Pas d'entraînement sur vos données.Savi utilise l'API Anthropic en mode no-training : vos conversations ne sortent jamais de votre tenant et ne servent jamais à entraîner quoi que ce soit. Garanti contractuellement dans le DPA.
L'infrastructure
Chaque brique de la stack est documentée. Si une question vous bloque en interne (DSI, juriste, DPO), cette page existe pour y répondre sans aller-retour.
Frontend widget
<50 KB JS · HTTP/3
Le widget de chat chargé sur votre Shopify. Servi depuis le datacenter le plus proche du client final.
API backend
Node 22 · TLS 1.3
Routage tickets, orchestration LLM, gestion OAuth Shopify. Aucun appel cross-région.
Base de données
AES-256 at-rest · Point-in-time recovery 7j
Conversations, tickets, config tenant, logs d'audit. Row-level security isolée par boutique.
Vector store
HNSW index · embeddings Cohere embed-multilingual-v3
Recherche sémantique sur votre base de connaissances (FAQ, politiques, catalogue).
Queue & jobs
Retry exponentiel · dead-letter visible
Orchestration des tâches async : import historique, sync Shopify, relances email.
LLM calls
No-training flag · TLS 1.3
Appels Haiku 4.5 / Sonnet 4.6. Prompts loggés localement, jamais chez Anthropic.
Sécurité au quotidien
AES-256
Base de données Supabase et backups chiffrés par défaut. Clés gérées côté AWS KMS (région eu-central-1). Aucune donnée n'est lisible sans la clé tenant.
TLS 1.3
Toutes les connexions widget ↔ API ↔ DB ↔ Anthropic passent en TLS 1.3 minimum. Aucun fallback SSL 3 / TLS 1.0/1.1. HSTS activé sur les domaines Savi.
RLS Postgres
Chaque boutique Shopify = un org_id. Row-level security strict : aucune requête ne peut retourner les données d'un autre tenant, même en cas de bug applicatif.
OAuth 2.0
Shopify OAuth 2.0 avec scopes minimaux (read_orders, read_customers, write_draft_orders). Rotation automatique des tokens. Révocation immédiate côté Shopify admin.
Zero par défaut
Aucun employé Savi n'a accès à vos conversations sauf demande explicite de votre part (ticket de support). Tous les accès sont loggés et visibles dans votre dashboard.
100% des actions
Chaque action IA, chaque édition humaine, chaque login est tracé avec timestamp, user_id, IP hashée. Logs conservés 12 mois puis purgés automatiquement.
Vercel Env + Doppler
Zéro secret dans le code. Rotation des clés Anthropic et Supabase tous les 90 jours. Alerte en cas d'exposition (GitGuardian sur nos repos).
Sentry + OpenTelemetry
Erreurs, latence p95/p99, santé des queues, quotas API. On voit les incidents avant vous, et on communique quand ça arrive.
Cycle de vie des données
Le message client arrive via Shopify, email, WhatsApp ou Instagram DM. Chiffré en transit TLS 1.3, stocké immédiatement en DB Postgres (Francfort, AES-256 at-rest).
Claude Haiku 4.5 génère un draft en ~900 ms. Le prompt est loggé dans votre tenant, jamais partagé avec Anthropic pour training. L'embedding de recherche reste dans pgvector.
Les tickets fermés restent 90 jours (configurable 30 / 90 / 180). Utilisé pour analytics, training interne de votre base de connaissances et audit. Rien ne quitte l'UE.
Sur demande RGPD (client final ou admin boutique), les données sont purgées en <48h. Confirmation signée envoyée par email. Backups purgés dans le cycle suivant (max 7j).
Vous pouvez exporter tout votre historique en JSON à tout moment depuis le dashboard. Export signé HMAC pour vérifier l'intégrité. Aucun vendor lock-in.
Annulation immédiate depuis le dashboard. Vos données restent accessibles en lecture seule 30 jours pour export puis sont purgées définitivement. Aucun clawback.
Conformité AI Act
Le règlement européen IA entre en vigueur le 2 août 2026. Savi est construit depuis le jour 1 avec ses obligations bakées dans le produit, pas rajoutées en patch juridique.
Les 6 articles ci-contre sont les plus impactants pour un SAV IA. On les couvre tous.
Chaque réponse automatique signale explicitement qu'elle est générée par une IA. Le client final voit un badge « Répondu par Savi · IA » sur chaque message.
Pour chaque ticket, vous voyez : quel modèle a répondu (Haiku 4.5 ou Sonnet 4.6), quel contexte a été récupéré (FAQ source, commande Shopify), et le prompt exact envoyé au LLM.
Les drafts IA ne partent JAMAIS automatiquement. Un humain (vous ou votre équipe) valide chaque réponse avant envoi. Zéro exception. Zéro auto-send sauvage.
Audit mensuel automatique de votre base de connaissances : détection de doublons, réponses obsolètes, contradictions. Vous recevez un rapport PDF avant qu'un client tombe sur l'erreur.
Chaque appel LLM est logué 12 mois : prompt complet, réponse, modèle, latence, coût. Vous pouvez exporter ces logs sur demande pour un audit DGCCRF ou CNIL.
Savi refuse automatiquement de traiter certains cas sensibles (données médicales, fraude, litiges juridiques) et escalade à un humain. Liste des cas bloqués dans le DPA.
Documents téléchargeables
Pas besoin de nous demander un NDA ou d'attendre qu'un commercial vous envoie un PDF. Tout est téléchargeable, ici, maintenant.
PDF · 8 pages · FR/EN
Contrat de sous-traitance RGPD pré-signé Savi. À signer par votre DPO et à joindre à votre registre de traitements.
Télécharger le DPAPage publique · FR
Ce qu'on collecte, pourquoi, combien de temps, avec qui on partage. Écrit en français simple, pas en jargon juridique.
Lire la politiqueTableau live
Liste exhaustive de nos sous-traitants (Vercel, Supabase, Anthropic, Inngest, Cohere) avec localisation, certifications et DPA associés.
Voir le registrePage publique · FR
Le contrat de service Savi. Annulation 1-clic, SLA, gestion des incidents, responsabilités de chaque partie.
Lire les CGUVotre DSI a d'autres questions ?
On partage l'écran, on ouvre le dashboard, on vous montre un tenant réel. Si vous avez un doute sur une spec, on cherche la réponse devant vous. Pas de commercial. Pas de sales deck.