Quatre piliers concrets, pas du marketing : EU only, aucun prompt collecté, audit signé vérifiable hors ligne, et méthodologie publique datée. Aucun fait n'est sourcé sans preuve cliquable ci-dessous.
Toutes les routes carbon-llm.com tournent sur Cloudflare Workers (colos EU servis en priorité). Les données métier (events, tenants, comptes) sont dans Supabase Postgres EU (Frankfurt). Aucun transfert vers un sous-traitant hors EU.
Liste complète des sous-traitants + DPAL'API /track accepte model + prompt_tokens + completion_tokens + tenant_id. Aucun prompt content, aucune réponse de modèle, aucune donnée utilisateur final ne transite par carbon-llm. RGPD by design : il n'y a rien à anonymiser parce qu'il n'y a rien à collecter.
Spec API détailléeChaque export de période est signé avec une clé HMAC propre à votre tenant (rotable depuis le dashboard). Votre commissaire aux comptes vérifie l'intégrité du fichier et recalcule le total en local — sans appeler notre API. Si carbon-llm disparaît demain, votre rapport reste vérifiable.
Voir un bundle exempleTous les coefficients d'émission viennent de sources publiques nommées et datées (Stanford AI Index 2026, ADEME, Carbone 4 × Mistral, papiers académiques cités). On distingue confidence='measured' vs 'estimated_paper' vs 'estimated_index'. Pas de chiffre sans source.
Méthodologie complèteCe qu'on s'engage à faire pour les comptes Pro et Compliance — formellement, pas de la promesse marketing.
Modèle de Data Processing Agreement disponible publiquement (basé sur les Clauses Contractuelles Types EU). Pour les modifications spécifiques (annexe, sous-traitance), on revient sous 24 h ouvrées.
Si votre commissaire aux comptes refuse le bundle d'audit ou le format ESRS E1-6, on rembourse intégralement sur simple email à hello@carbon-llm. Pas de bataille, pas de questions piégées — on fait évoluer le produit pour le cas suivant à la place.
Le statut de chaque endpoint critique est exposé publiquement avec historique 90 jours. Les incidents sont décrits avec post-mortem rapide.
Audit SOC 2 Type II planifié pour T4 2026 avec un cabinet partenaire EU. La roadmap est publique — on annonce les étapes (pre-audit, observation period, certification) au fur et à mesure.
Les events sont conservés 24 mois (rétention par défaut, modifiable par contrat Compliance). Les exports demandés sont supprimés après 90 jours du dashboard. Demande RGPD de suppression : exécutée sous 30 jours.
Chaque action sur le compte (rotation de clé, export, modification de coefficient) est loggée avec timestamp, IP et user-agent dans une table append-only consultable depuis /dashboard/security. Audit trail SOC 2-ready.
Plutôt que de cacher nos limites, on les liste — c'est ce qu'un audit sérieux va chercher de toute façon.
On répond aux questionnaires de sécurité (CAIQ, SIG, custom) sous 5 jours ouvrés pour les comptes Compliance. Pour les questions techniques rapides, l'équipe revient en moins de 24 h.