Rankio est la seule plateforme GEO construite en Europe, hébergée en France, et RGPD-native par conception. La résidence des données est dans l'Union européenne. Un DPA signé est disponible sur tous les plans, y compris Basic. Les sous-traitants sont documentés et UE-first. Les exigences de l'AI Act sont traitées comme une bonne pratique. Pour les marques françaises et européennes — en particulier les industries régulées — c'est la différence entre un outil que les achats valident et un outil qui se fait bloquer.
La version courte : hébergement UE (France principal, PRA UE). DPA signé sur tous les plans. Liste de sous-traitants transparente. Clauses Contractuelles Types pour tout transfert hors UE. AI Act-ready. Tarifs en EUR. Construit et opéré sous le droit européen. Aucune donnée ne sort de l'UE sans garanties contractuelles explicites et documentées.
Pourquoi la conformité RGPD compte pour une plateforme GEO
Une plateforme GEO se trouve entre vos données marketing et des modèles IA externes. Elle exécute vos requêtes via des LLM, analyse les réponses, stocke l'historique des citations et produit des analytics. Chaque étape touche des données qui — selon ce que vous y mettez — peuvent inclure des identifiants, des références clients, du contexte produit interne et parfois des données personnelles. Le RGPD s'applique dès lors qu'une de ces informations est une donnée personnelle d'une personne située dans l'UE, quel que soit le pays d'hébergement de la plateforme.
Pour les achats des entreprises françaises et européennes, la question pratique n'est pas « est-ce que votre plateforme est conforme » mais « pouvez-vous le prouver, contractuellement, en moins de deux semaines de revue juridique ». Les outils américains répondent en général par une longue négociation, une liste de sous-traitants hors UE et un avenant DPA. Rankio répond avec un DPA d'une page, une cartographie sous-traitants UE-first et des tarifs en EUR — tout ça disponible avant la démo.
Les 7 principes du RGPD, appliqués à Rankio
| Principe RGPD | Comment Rankio l'applique |
|---|---|
| Licéité, loyauté, transparence | Chaque activité de traitement est documentée dans notre DPA public avec la base légale (exécution du contrat pour les données client, intérêt légitime pour les logs de sécurité) |
| Limitation des finalités | Les prompts clients et mots-clés de marque sont traités uniquement pour calculer les scores de visibilité et les benchmarks concurrents — pas pour du marketing, pas pour entraîner des modèles, pas pour la revente |
| Minimisation des données | Rankio n'exige ni ne collecte de données personnelles de vos clients — vos prompts contiennent votre marque et votre mot-clé, pas votre CRM. Lorsque des données personnelles apparaissent dans des prompts saisis par l'utilisateur, nous recommandons la pseudonymisation et nous documentons la recommandation |
| Exactitude | Les données de visibilité sont horodatées à chaque mesure. Les enregistrements erronés ou obsolètes peuvent être corrigés sur demande et nous publions les mises à jour de méthodologie qui affectent les scores historiques |
| Limitation de la conservation | Conservation par défaut de 24 mois pour l'historique des citations, avec une rétention plus courte configurable par espace de travail. La suppression du compte déclenche un effacement complet sous 30 jours, exports plus tôt sur demande |
| Intégrité & confidentialité | TLS 1.3 partout, AES-256 au repos, contrôle d'accès basé sur les rôles avec journaux d'audit, secrets dans un coffre-fort dédié, incidents de sécurité notifiés sous 72 heures après détection |
| Responsabilité | Un DPO (Délégué à la Protection des Données) désigné, cette page publique de conformité, un registre des activités de traitement à jour, un plan de réponse aux incidents testé, et une revue de sécurité tierce annuelle |
Où vivent vos données
Infrastructure principale : France (région parisienne). Reprise d'activité : un second État membre de l'UE. Sauvegardes : chiffrées, résidence UE uniquement. Aucune donnée de production n'est stockée hors UE.
Les sous-traitants sont listés dans le DPA avec la localisation, la finalité et la garantie appliquée. Lorsque la fonction peut être assurée par un fournisseur basé en UE, nous le choisissons. Lorsque la fonction nécessite un fournisseur hors UE (typiquement les API LLM qui n'ont pas d'endpoints en région UE), nous appliquons les Clauses Contractuelles Types et un avenant de traitement qui interdit l'entraînement sur les données soumises et limite la rétention.
Quand Rankio interroge un LLM : la requête contient le nom de marque et le ou les mots-clés que vous avez configurés. Nous n'incluons pas d'identifiants client, de données de compte, ni de données personnelles de vos utilisateurs finaux sauf si vous les mettez explicitement dans le prompt. Nous enregistrons la réponse du LLM et les citations qu'il a produites. Cette donnée est stockée sur l'infrastructure UE et soumise au paramètre de rétention de votre compte.
AI Act européen — notre posture
Rankio n'est pas un système d'IA à haut risque au sens de la classification de l'AI Act. Nous ne déployons pas d'IA pour prendre des décisions automatisées sur des personnes, nous ne scorons pas des individus, nous n'affectons pas l'accès à des services essentiels. L'IA que nous opérons mesure la visibilité de marque dans des assistants IA tiers et produit des analytics.
Cela dit, nous traitons les exigences de transparence de l'AI Act comme une bonne pratique. Nous documentons quels modèles IA nous utilisons et pour quoi. Nous publions la méthodologie derrière les scores de visibilité. Nous signalons quand un contenu est généré par IA dans la plateforme. Et nous mettons à jour notre posture de conformité à mesure que les spécifications d'application de l'AI Act évoluent. La section Trust de notre site enregistre les changements.
Comment Rankio se compare sur la conformité
| Dimension conformité | Rankio | Plateforme GEO américaine typique |
|---|---|---|
| Siège social | France 🇫🇷 (UE) | USA |
| Hébergement production | UE uniquement (France principal) | USA principal, UE optionnel en tier enterprise |
| Devise tarifaire | EUR € | USD $ |
| Disponibilité du DPA | Standard, sur tous les plans y compris Basic | Souvent réservé au mid-tier ou enterprise ; négociation requise |
| Transparence sous-traitants | Liste publique avec localisation et finalité | Généralement disponible sur demande |
| Clauses Contractuelles Types | Intégrées au DPA | Avenant, souvent négocié |
| Couverture Le Chat (Mistral) | Native ✅ | Généralement non supportée |
| Support du français | UI, prompts et contenu FR-natif | EN uniquement ou traduit machine |
| Procurement-friendly pour FR & industries régulées UE | Oui — conçu pour | Demande généralement des avenants juridiques significatifs |
Certifications & engagements de confiance
- DPO désigné joignable à dpo@rankio.studio
- DPA signé disponible sur tous les plans — pas de gating au tier enterprise
- Revue de sécurité tierce annuelle — résultats résumés dans la section Trust
- SOC 2 Type II — en cours, objectif de finalisation 2026
- ISO 27001 — sur la roadmap 2026-2027
- Engagement de notification de violation sous 72 heures conformément à l'article 33 du RGPD
- Pseudonymisation et chiffrement au repos et en transit (AES-256, TLS 1.3)
- Liste publique des sous-traitants mise à jour à chaque ajout — les clients sont notifiés avant activation
Questions fréquentes
Le choix conforme pour les marques européennes
Parlons de vos exigences achats — DPA, liste sous-traitants, revue sécurité. Nous répondons en jours, pas en semaines.