MailBoss lit-il tous mes mails ?

MailBoss traite chaque mail entrant pour le classer. Le corps du mail n'est pas stocké après analyse : seules les métadonnées et la classification sont conservées. L'hébergement est en France (OVH Roubaix).

Peut-il répondre à ma place ?

MailBoss répond automatiquement uniquement sur des catégories safe que tu définis (accusés de réception, confirmations RDV, redirections). Pour tout le reste, il prépare un brouillon que tu valides avant envoi.

Sécurité & confiance

Tes mails sont sensibles. On est construits pour ça.

MailBoss est conçu et hébergé en France, avec une architecture pensée pour la confidentialité absolue. Voici le détail de ce qu'on protège, comment, et ce qu'on ne stocke jamais.

Hébergé en France

AES-256 au repos

TLS 1.3 transit

DPA sur demande

0 corps stocké

Architecture

Tout est en France. Rien n'est laissé au hasard.

Les choix techniques que nous avons faits découlent d'une seule question : où sont tes données, à chaque instant ?

Infrastructure OVH Roubaix

Bases de données et services applicatifs hébergés dans les data centers OVH de Roubaix (France). Redondance multi-AZ, sauvegardes chiffrées quotidiennes à Strasbourg. Zéro transfert des données sensibles hors Union européenne.

TLS 1.3 + HSTS

Toutes les communications client-serveur sont chiffrées TLS 1.3 avec HSTS préchargé. Certificats Let's Encrypt auto-renouvelés. HTTP/2 + HTTP/3 pour la performance.

AES-256-GCM sur les tokens OAuth

Les tokens d'accès Gmail et Microsoft Graph sont chiffrés au repos avec AES-256-GCM. La clé maître est stockée dans un KMS isolé du cluster applicatif. Rotation trimestrielle.

pgvector + Postgres + Redis

Postgres 16 avec extension pgvector pour les embeddings. Redis pour les files d'attente et les caches courts. Les deux sont dans un réseau privé, inaccessibles depuis Internet.

Privacy by design

Ce qu'on ne stocke jamais pèse autant que ce qu'on chiffre.

Zéro stockage du corps des mails

Le contenu de chaque mail est chargé en mémoire pour la classification, mis en cache Redis 15 minutes maximum pendant le traitement, puis détruit. Seuls l'expéditeur, le sujet, la date, les labels et le résultat de la classification sont persistés.

OAuth 2.0 uniquement

Aucun mot de passe Google ou Microsoft n'est jamais vu ni stocké par MailBoss. L'authentification passe intégralement par OAuth 2.0. Les scopes demandés sont minimaux (lire, classer, répondre) et révocables à tout moment depuis ton compte Google ou Microsoft.

JWT courts + refresh chiffrés

Les sessions utilisateur utilisent des JWT courts (60 minutes) signés HS256. Les refresh tokens sont chiffrés, rotés à chaque usage, invalidés en cas d'anomalie comportementale.

Opt-out entraînement IA

Par défaut, tes mails ne servent jamais à entraîner les modèles Anthropic, OpenAI, Google ou Voyage AI. Ces sous-traitants traitent le contenu pour classer, puis l'effacent. DPA signé avec clause d'interdiction d'entraînement.

Pratiques opérationnelles

Un SaaS qui traite tes mails, ça se pilote sérieusement.

Revue de code de sécurité systématique (4-eyes principle)
Tests de charge et de pénétration avant chaque release majeure
Monitoring erreurs Sentry + alerting 24/7 pour les incidents critiques
Sauvegardes chiffrées AES-256, testées en restauration tous les trimestres
Journalisation complète des accès admin, conservée 12 mois
Revue annuelle de tous les sous-traitants (DPA, conformité, alternatives)

Conformité RGPD

Au-dessus du minimum réglementaire.

Nous ne nous contentons pas de cocher les cases du RGPD. Nous documentons, nous signons, nous archivons.

DPA (Data Processing Agreement)

Document contractuel de traitement des données disponible sur simple demande pour tous les plans, fourni automatiquement aux clients Pro et Premium. Version renforcée avec clauses de sous-traitance souveraine disponible pour les clients Enterprise.

Sous-traitants IA listés et contractualisés

Chaque sous-traitant — Anthropic, OpenAI, Google, Voyage AI, Microsoft, Stripe, Resend, PostHog, Sentry — fait l'objet d'un DPA signé avec clauses contractuelles types (SCC 2021/915) quand applicable. La liste est publique sur notre page Confidentialité.

Droits RGPD exerçables en 24h

Droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition. La demande s'exerce par email à privacy@mailboss.app. Délai de réponse : 24h ouvrées pour l'effacement, 30 jours pour les autres droits.

Compatibilité CNIL

Notre documentation de conformité peut être transmise sur demande aux services juridiques et DPO externes. Nous travaillons avec un conseil en protection des données français.

Responsible disclosure

Tu as trouvé une faille ? On veut en parler sérieusement. Écris-nous à security@mailboss.app, idéalement chiffré (clé GPG à venir). On s'engage à répondre sous 5 jours ouvrés avec un plan de traitement.

Contact sécurité

security@mailboss.app

Réponse sous 5 jours ouvrés, plan d'action sous 10 jours.

Programme bug bounty

En préparation. Reconnaissance publique des contributeurs et récompenses à partir du premier trimestre 2027.

Pour ton DPO

Besoin du DPA complet ?

Envoie-nous un mail avec ton nom, ton entreprise et le plan envisagé. On te renvoie la version PDF signée sous 48h ouvrées.

Demander le DPA Politique de confidentialité