Annexe · Fiche de référence

Vos données restent
vos données.

Où circulent vos informations, qui les conserve, et comment Claude Code répond au RGPD et à la nLPD suisse. Une page, deux volets : la sécurité, puis la conformité.

Volet 1 · Sécurité des données

Où vont vos données, qui les garde.

Claude Code s'exécute sur votre machine. Pour raisonner, il échange avec le modèle — c'est le seul flux qui sort. Voici ce qui part, et ce qui reste chez vous.

Exécution locale

L'outil tourne sur votre poste. Seul l'échange avec le modèle transite par le réseau — chiffré.

Aucun entraînement

Sur un plan professionnel (Team, Enterprise, API, Bedrock, Vertex), Anthropic n'entraîne aucun modèle sur votre code ni vos prompts. C'est contractuel.

Chiffrement

En transit : TLS 1.2+. Au repos : AES-256. Clés gérées par vous possibles via Bedrock (KMS) ou Vertex (CMEK).

Conservation limitée

30 jours par défaut. Zéro avec l'option ZDR (zéro rétention), disponible sur Claude for Enterprise.

Vos fichiers restent locaux

Les historiques de session sont stockés sur votre machine (~/.claude), pas dans le nuage.

Surveillance active

Anthropic détecte et bloque les usages abusifs de sa plateforme — comme lors des tentatives de détournement rendues publiques.

Trois niveaux de confinement

1 · Standard

Le socle

  • Pas d'entraînement
  • Rétention 30 jours
  • Contrat de traitement signé
  • Chiffré de bout en bout
2 · Souveraineté

Dans votre cloud

  • Via Amazon Bedrock ou Google Vertex
  • Votre région : Francfort (UE)
  • Aucun transfert hors d'Europe
  • Aucune donnée technique remontée
3 · Verrouillé

Exigence maximale

  • Zéro rétention (ZDR)
  • Rien stocké côté serveur
  • Aucun trafic non essentiel
  • Finance, santé, données critiques
Bedrock Francfort ? Amazon Bedrock permet d'utiliser Claude à l'intérieur de votre propre compte AWS. « Francfort » désigne la région européenne eu-central-1. Résultat : vos données sont traitées et conservées en Europe, sans jamais traverser l'Atlantique.

Mise en place, tutoriels officiels Anthropic : Claude Code sur Amazon Bedrock · Claude Code sur Google Vertex AI.

Volet 2 · Conformité

RGPD, nLPD & souveraineté.

Utiliser un outil américain sur des données européennes est parfaitement légal, à condition d'un cadre contractuel. Ce cadre est en place, par défaut.

Le DPA

Le contrat de traitement des données fait d'Anthropic votre sous-traitant : il agit sous vos règles, ne revend rien, vous alerte en cas d'incident. C'est l'exigence de l'article 28 RGPD et de la nLPD. Inclus dans les termes commerciaux.

Transferts encadrés

Clauses contractuelles types (SCC) et, depuis le 15.09.2024, le Swiss-US Data Privacy Framework qui sécurise les échanges Suisse ↔ États-Unis.

Résidence européenne

Option de résidence UE, ou déploiement via Bedrock Francfort : les données ne quittent pas l'Europe. Le transfert transatlantique disparaît.

Le Cloud Act, franchement

Il s'applique à tout fournisseur américain — ceux que vous utilisez déjà. On le neutralise : données en Europe (Bedrock) et / ou zéro rétention — il n'y a alors rien à réquisitionner.

Vos données ne servent pas de « proie »

Les affaires de « distillation » médiatisées concernent des concurrents copiant les capacités du modèle : ils envoient leurs propres requêtes. Aucune conversation d'un autre client n'est exposée.

Réversibilité

Vous pouvez exporter et supprimer vos données. Via Bedrock ou Vertex, tout reste dans votre compte cloud : vous gardez la main.

Certifications, auditées par des tiers

SOC 2 Type II ISO 27001:2022 ISO 42001:2023 · IA HIPAA-ready · BAA
À retenir Par défaut, vos données ne servent pas à entraîner l'IA, sont conservées 30 jours, et sont couvertes par un contrat de traitement conforme. Pour une exigence plus forte, vous choisissez elles vont et combien de temps elles restent.