We use cookies

We use strictly necessary cookies to run Rush Studio, plus optional analytics cookies (Google Analytics) to understand how the product is used. You choose what we’re allowed to load. See our Privacy Policy.

Rush Studio
Vue d'ensemble
Toutes les fonctionnalitésL'ensemble de la boîte à outils, sur une seule page
Ce qui nous distingue
Sept atouts que vous ne trouverez pas greffés sur un TMS hérité.
Voir toutes les fonctionnalités →
Analyses approfondies
Brand voiceLe ton et la terminologie que l'IA respecte
AutomationsLocalisez à chaque PR
Qualité IAÉvaluée et signalée avant révision
Repérez les mises en page casséesAperçu dans l'interface réelle
Risque de mise en page en amontDétectez les débordements avant de traduire
ResonanceAnticipez la réaction de chaque marché
Quality AutopilotUne qualité IA qui se pilote toute seule
LanguesIntégrationsTarifs
Vue d'ensemble
Accès anticipéFaites partie de nos premières équipes
Lancement en 2027
Rejoignez l'accès anticipé et contribuez à façonner Rush Studio.
Obtenir un accès anticipé →
Par rôle
Rédacteurs techniquesUne documentation traduite à chaque PR
Équipes marketingDes campagnes déployées sur chaque marché
Responsables de localisationPilotez tout le processus depuis un seul écran
Chefs de produitChaînes d'interface, textes in-app, notes de version
Design opsVos maquettes Figma en 22 langues
BlogContact
  • English
  • Español
  • Français
  • Deutsch
Se connecterS'inscrire
Confiance · Sécurité

Comment nous protégeons vos données

Dernière mise à jour20 mai 2026·Des questions ?

Rush Studio est conçu pour le travail de traduction, ce qui signifie que vos fichiers quittent vos systèmes pour résider, brièvement, dans les nôtres. Cette page est le complément technique de notre politique de confidentialité et de notre DPA — ce que nous faisons concrètement, au niveau des octets et des infrastructures.

SOC 2Type II
ISO 27001En cours
RGPDConforme
HIPAABAA disponible
Testé en intrusionChaque année
Hébergé dans l'UEFrancfort · Dublin
01

Chiffrement de bout en bout

TLS 1.3 en transit sur chaque requête. AES-256-GCM au repos pour chaque octet que nous stockons — y compris les sauvegardes, les instantanés et la mémoire de traduction.

02

Hébergé sur AWS dans l'UE

Principal à Francfort (eu-central-1), répliqué à Dublin (eu-west-1). Vos données ne traversent pas l'Atlantique pour leur stockage.

03

2FA obligatoire

TOTP, WebAuthn et passkeys pour chaque compte. SSO avec SAML / OIDC et provisionnement SCIM sur les forfaits Scale.

04

Audité et contrôlé

SOC 2 Type II en règle, tests d'intrusion annuels par des tiers, exercices internes de red team trimestriels.

Sur cette page
01Vue d'ensemble02Infrastructure et hébergement03Chiffrement04Authentification et 2FA05Contrôles d'accès06Gestion des vulnérabilités07Réponse aux incidents08Sauvegardes et reprise après sinistre09Personnel et opérations10Traitement des données11Conformité et certifications12Divulgation responsable13Contact
À consulter également
→ Politique de confidentialité→ RGPD et DPA→ Conditions d'utilisation→ Nous contacter
01

Vue d'ensemble

Le travail de traduction implique que vos fichiers quittent vos systèmes pour résider, brièvement, dans les nôtres. Nous prenons cela au sérieux. Cette page est le complément technique de notre politique de confidentialité et de notre DPA — ce que nous faisons concrètement, au niveau des octets et des infrastructures, pour protéger votre contenu.

S'il vous manque un élément ici ou si vous en avez besoin sous NDA (rapports de tests d'intrusion, lettre d'attestation SOC 2, schémas réseau), écrivez à legal@rush-studio.com.

Résumé en deux lignes : Rush Studio fonctionne sur AWS dans des régions de l'UE, chiffre tout en transit et au repos, exige une authentification multifacteur sur chaque compte et est certifié SOC 2 Type II avec des tests d'intrusion annuels réalisés par des tiers.
02

Infrastructure et hébergement

Rush Studio est hébergé exclusivement sur Amazon Web Services (AWS). La production s'exécute à Frankfurt (eu-central-1) avec réplication et secours à chaud à Dublin (eu-west-1). Nous n'exploitons aucune infrastructure de production aux États-Unis.

L'application repose sur des charges de travail conteneurisées derrière un VPC doté de sous-réseaux privés pour tous les services à état. L'entrée publique est restreinte à notre edge (Cloudflare) et à l'AWS ALB, tous deux dotés de règles WAF et de limitation de débit.

CoucheImplémentationRégion
CalculAWS ECS Fargate, définitions de tâches isolées par locataireeu-central-1
Base de données applicativeAurora PostgreSQL Serverless v2, chiffrée avec KMSeu-central-1 (multi-AZ)
Stockage d'objetsS3 avec SSE-KMS, versioning, Object Lock pour les sauvegardeseu-central-1 + eu-west-1
Index de rechercheOpenSearch sur des sous-réseaux privés, sans entrée publiqueeu-central-1
SecretsAWS Secrets Manager + KMS, rotation trimestrielleeu-central-1
Edge / WAFCloudflare en amont de tout le trafic publicMondial
JournalisationCentralisée dans CloudWatch + S3, conservée 13 moiseu-central-1

AWS est contractuellement un sous-traitant ultérieur et est certifié SOC 1/2/3, ISO 27001/27017/27018, PCI DSS et conforme au cadre EU-US Data Privacy Framework. Consultez la liste complète des sous-traitants ultérieurs.

03

Chiffrement

En transit. Chaque connexion à Rush Studio — web, API, intégrations, service à service en interne — utilise TLS 1.3 avec des chiffrements modernes. TLS 1.0 / 1.1 sont désactivés au niveau de l'edge. HSTS est préchargé avec max-age=63072000; includeSubDomains; preload.

Au repos. Chaque octet que nous conservons est chiffré avec AES-256-GCM via AWS KMS. Cela inclut la base de données applicative, le stockage d'objets S3, les index de recherche, les sauvegardes, les archives de journaux et les exports de mémoire de traduction. Le contenu de chaque locataire est séparé logiquement et rattaché à une clé maître client propre à chaque environnement.

Gestion des clés. Les clés maîtres résident dans AWS KMS avec rotation annuelle automatique. Les secrets applicatifs (jetons d'API, secrets client OAuth, identifiants d'intégration) sont stockés dans AWS Secrets Manager, soumis à une rotation trimestrielle et ne sont jamais écrits dans les journaux ni dans le contrôle de version.

Mots de passe. Jamais stockés. Nous les hachons avec bcrypt à un facteur de coût de 12 ; c'est le hachage qui est comparé, le texte en clair est supprimé dès la fin de l'authentification.

04

Authentification et 2FA

Nous exigeons une authentification multifacteur. Sur chaque compte. Aucune exception pour les utilisateurs gratuits, payants ou en période d'essai. Lors de votre première connexion, vous serez guidé dans l'activation d'un deuxième facteur avant de pouvoir accéder à un espace de travail.

Passkeys

Recommandé

Les passkeys reposant sur WebAuthn se synchronisent entre vos appareils via iCloud Keychain, Google Password Manager ou 1Password. Résistantes au phishing par conception.

Clés matérielles

FIDO2

YubiKey, Titan ou tout authentificateur compatible FIDO2 / U2F. Obligatoire sur les comptes admin du forfait Scale.

Applications d'authentification

TOTP

Codes TOTP à 30 secondes via 1Password, Authy, Google Authenticator ou tout client RFC 6238.

SMS

Solution de secours uniquement

Disponible comme méthode de secours. Nous ne le recommandons pas comme méthode principale — les SMS sont vulnérables aux attaques par échange de carte SIM.

Récupération. Lorsque vous activez une méthode 2FA, nous émettons dix codes de récupération à usage unique. Conservez-les en lieu sûr — c'est le seul moyen de récupérer l'accès au compte si vous perdez votre authentificateur. Les codes utilisés sont invalidés immédiatement ; le lot peut être régénéré à tout moment, ce qui invalide le lot précédent.

Authentification unique. Sur le forfait Scale, le SSO SAML 2.0 et OIDC est disponible avec n'importe quel fournisseur d'identité (Okta, Azure AD / Entra ID, Google Workspace, OneLogin, JumpCloud, Auth0). Le provisionnement et le déprovisionnement des utilisateurs via SCIM 2.0 sont inclus.

Politique de session. Les sessions expirent après 30 jours d'inactivité (configurable jusqu'à 8 heures sur Scale). Les administrateurs peuvent forcer une déconnexion sur tous les appareils à tout moment.

05

Contrôles d'accès

Dans le produit. Les espaces de travail utilisent un contrôle d'accès basé sur les rôles, avec cinq rôles intégrés (Propriétaire, Admin, Manager, Linguiste, Relecteur) et des dérogations granulaires par projet. Chaque action touchant au contenu client est consignée dans un journal d'audit, exportable en JSON.

Au sein de Rush Studio. L'accès à la production est limité aux ingénieurs d'astreinte qui en ont besoin (actuellement six personnes). Cet accès requiert :

  • Une session SSO active avec MFA par clé matérielle.
  • Une approbation juste-à-temps d'un second ingénieur pour toute lecture de la base de données.
  • Une justification consignée dans notre canal de journalisation des accès, visible par tous les employés.

Nous n'avons pas de « compte admin » générique capable de lire le contenu client. Tout accès à la production est identifiable, limité dans le temps et revu chaque trimestre.

06

Gestion des vulnérabilités

Nous suivons un programme à quatre volets :

  • Analyse des dépendances — Snyk et GitHub Dependabot s'exécutent sur chaque pull request et chaque nuit sur l'ensemble des dépôts. Les CVE critiques sont corrigées sous 24 heures.
  • Analyse statique — Des règles Semgrep adaptées à notre stack s'exécutent en CI ; les découvertes à sévérité élevée bloquent la fusion.
  • Analyse dynamique — Un DAST authentifié s'exécute chaque semaine sur un miroir de préproduction de la production.
  • Test d'intrusion par un tiers — Chaque année, par un cabinet externe accrédité CREST. Le dernier rapport est disponible sous NDA via legal@rush-studio.com.

Les découvertes sont triées sous un jour ouvré, associées à un score de sévérité CVSS et suivies dans un backlog visible par les employés, assorti de SLA (Critique : 24 h, Élevé : 7 j, Moyen : 30 j, Faible : 90 j).

07

Réponse aux incidents

Une rotation d'astreinte est assurée 24/7 avec un SLA de réponse de 15 minutes pour les alertes de sécurité. Pour les incidents confirmés impliquant des données client, nous informons les clients concernés sous 72 heures après en avoir eu connaissance — généralement bien plus tôt — conformément aux engagements de notre DPA.

La notification précise la nature de l'incident, les catégories de données affectées, les conséquences probables et les mesures d'atténuation prises ou prévues. Un examen post-incident, accompagné d'une chronologie écrite et des actions correctives, est publié à l'attention des clients concernés dans un délai de 14 jours.

Les événements opérationnels en direct — dégradations, pannes, incidents suspectés — sont publiés en temps réel sur status.rush.studio.

08

Sauvegardes et reprise après sinistre

Sauvegardes. La base de données applicative est sauvegardée en continu vers S3 par récupération à un instant précis, conservée pendant 30 jours. Le stockage d'objets utilise le versioning ainsi que des instantanés hebdomadaires conservés 90 jours. Toutes les sauvegardes sont chiffrées avec des clés KMS distinctes et stockées entre régions.

Objectifs. RPO (objectif de point de récupération) : 5 minutes. RTO (objectif de temps de récupération) : 4 heures. Nous testons ces objectifs chaque trimestre au moyen d'exercices de restauration complète dans un environnement isolé.

Fréquence des exercices de reprise après sinistre. Trimestrielle. Le dernier exercice (T1 2026) a restauré l'intégralité de la base de données de production dans un compte vierge en 1 h 47, bien en deçà du RTO.

09

Personnel et opérations

Chaque employé :

  • Passe une vérification des antécédents avant sa date d'entrée en fonction (selon ce que permet la juridiction).
  • Signe un accord de confidentialité couvrant les données client dès le premier jour.
  • Suit une formation obligatoire à la sécurité à l'embauche, puis chaque année.
  • Utilise un ordinateur portable géré par l'entreprise, avec chiffrement intégral du disque, MDM et agent EDR (CrowdStrike).
  • Fait revoir ses accès chaque trimestre. Les accès sont révoqués dans l'heure suivant le départ.
10

Traitement des données

Minimisation des données. Nous ne collectons que ce qui est nécessaire à la fourniture du service — voir la politique de confidentialité pour le détail.

Acheminement de la traduction par IA. Lorsqu'un segment est envoyé à un sous-traitant IA, nous ne transmettons que le texte du segment ainsi que les éventuels termes de glossaire configurés. Les métadonnées de compte, les noms de fichiers et le contexte du projet ne quittent jamais notre infrastructure. Tous les sous-traitants IA s'engagent contractuellement à ne pas s'entraîner sur vos données et à supprimer le contenu une fois la traduction renvoyée.

Isolation des locataires. Les données client sont séparées logiquement par identifiant de locataire, appliqué à chaque couche (base de données, recherche, stockage d'objets). L'export en masse, la suppression et l'accès au journal d'audit s'effectuent tous dans les limites du locataire.

Suppression. Lorsque vous supprimez un projet ou fermez votre compte, le contenu est purgé du stockage principal sous 24 heures et de toutes les sauvegardes sous 30 jours. Nous vous envoyons une confirmation écrite une fois la suppression terminée.

11

Conformité et certifications

En cours et acquises :

  • SOC 2 Type II — en règle, audité chaque année par un cabinet du Big Four. Rapport disponible sous NDA.
  • ISO 27001 — certification en cours ; prévue pour le T3 2026.
  • RGPD et RGPD britannique — conformité totale ; voir la page RGPD et DPA.
  • CCPA / CPRA — couvert par le même flux de droits des personnes concernées que le RGPD.
  • HIPAA — un Business Associate Agreement (BAA) est disponible pour les clients du secteur de la santé sur le forfait Scale. Écrivez à legal@rush-studio.com.
  • PCI DSS — nous ne voyons jamais les numéros de carte ; les paiements sont tokenisés via Stripe. La conformité PCI est hors périmètre par conception.

Pour les équipes achats menant une évaluation de sécurité fournisseur : nous tenons à jour des réponses préremplies pour SIG Lite, CAIQ v4 et l'EU Cloud CoC. Demandez la dernière copie.

12

Divulgation responsable

Nous ne proposons pas encore de programme public de bug bounty, mais nous accueillons volontiers les signalements de chercheurs en sécurité et récompensons les découvertes significatives.

Envoyez vos signalements à : legal@rush-studio.com, éventuellement chiffrés en PGP vers 0x4F7C 2A8B 3D1E 9F00.

Notre engagement. Si vous effectuez un signalement de bonne foi et que vous ne tentez pas d'accéder aux données d'autres clients, d'exfiltrer des données, de mener des attaques DoS ou d'utiliser l'ingénierie sociale : nous n'engagerons aucune poursuite judiciaire, nous accuserons réception sous un jour ouvré et nous vous tiendrons informé jusqu'à la résolution du problème. Les découvertes inédites confirmées reçoivent une récompense de 250 à 10 000 $ selon leur sévérité et leur impact.

13

Contact

Problèmes de sécurité : legal@rush-studio.com — surveillé 24/7, accusé de réception visé sous 4 heures ouvrées, un jour ouvré au maximum.

Confidentialité / DPO : Pedro Almeida, privacy@rush-studio.com.

Achats et évaluations fournisseurs : legal@rush-studio.com.

Adresse postale : Rush Studio Ltd., 12 Hatton Garden, London EC1N 8AT, United Kingdom.

●
Fin du document.

Si quelque chose vous semble ambigu ici, dites-le-nous — nous le reformulerons dans la prochaine révision.

Rush Studio

Un seul tableau de bord de traduction pour tout votre pipeline de localisation. De l'import à la livraison, en plus de 100 langues.

Produit
  • Tableau de bord
  • Fonctionnalités
  • Langues
  • Intégrations
  • Tarifs
Entreprise
  • À propos
  • Clients
  • Carrières
  • Contact
Ressources
  • Blog
  • Documentation
  • Journal des modifications
  • Sécurité
  • IA et données
  • État du service
© 2026 Rush Studio Ltd.Confidentialité · Conditions · DPA · IA et données