Local-First — « ne voit jamais votre code »

Pourquoi le scanner POSITRONIA tourne sur votre machine, ce qui reste local (le code) et ce qui monte au cloud (les livrables, depuis la carte) — avec génération hors-ligne possible.

Dernière mise à jour :

La promesse

« Le seul scanner conformité IA qui ne voit jamais votre code source. »

POSITRONIA n'est pas une application web sur laquelle vous uploadez votre code. C'est une application de bureau (desktop) qui scanne sur votre machine. Le code source ne quitte jamais votre poste : il n'y a aucun upload de code.

Ce qui reste local, ce qui monte

C'est un Local-First stratifié : la promesse souveraine porte sur le code, pas sur « rien au cloud ».

Reste chez vous (100 % local)

  • votre code source — analysé sur place par le moteur de scan ;
  • vos agents IA, vos workflows, vos données sensibles pendant l'analyse.

Monte dans l'Espace Client EU (depuis la carte, pas le code)

  • la carte de votre système IA (métadonnées, pas le code) ;
  • les livrables générés à partir de cette carte : AIPD pré-remplie, registre des traitements (Art. 30), fiche Art. 50, fiche violation 72 h ;
  • les rapports finaux, scellés cryptographiquement (intégrité SHA-256 chaînée
    • signature Ed25519).

Le point clé : les livrables sont produits depuis la carte — un ensemble de métadonnées — et non depuis le code. Ce qui monte est donc une représentation de votre exposition réglementaire, pas votre propriété intellectuelle.

Génération hors-ligne possible

Pour les environnements les plus sensibles (banque, santé, défense, cabinets juridiques), la génération des livrables peut se faire 100 % hors-ligne côté desktop. Couplée à un token d'activation offline (30 jours), l'application fonctionne en environnement air-gappé total — un cas que les scanners SaaS cloud ne savent pas adresser.

Pourquoi cette architecture

  • Souveraineté par construction : aucune donnée de code ne transite par nos serveurs. Le risque de fuite de votre code chez nous est nul — par conception.
  • Conformité simplifiée : pas de sous-traitance de vos données de code, donc pas de DPA lourd (RGPD Art. 28) à signer pour le scan.
  • Preuve dans la durée : chaque rapport est horodaté et scellé ; la régularité de vos scans devient elle-même une preuve de votre travail continu de mise en conformité, accessible en un clic à votre DPO, avocat ou à une autorité de contrôle.

Honnêteté de profondeur : nous parlons de chiffrement au repos (AES-256-GCM), d'anonymisation locale et de scellement (Ed25519). Nous ne revendiquons pas de « serveur aveugle » ni de « zero-knowledge » : ce serait inexact en l'état, et un vendeur de conformité se doit d'être exemplaire.

Pour la frontière entre ce que nous produisons et ce que signe un expert, voir Documenter ≠ certifier.