Vos données ne sont pas un produit. Elles sont notre responsabilité.

Nous aurions pu héberger Tokari aux États-Unis, comme une grande partie de la tech. Nous ne l'avons pas fait. Toutes vos données et celles de vos clients sont stockées à Paris, en France, sur des serveurs européens. Aucun transfert hors UE pour les données clients.

C'est plus contraignant, et c'est l'arbitrage que nous avons fait : dans une activité régulée comme la gestion de patrimoine, la souveraineté n'est pas un argument marketing, c'est un prérequis.

Chaque CGP n'accède qu'à ses propres clients, ses propres délégations, ses propres factures. Cette isolation n'est pas une consigne interne ou un règlement que nos équipes doivent suivre — elle est appliquée par la base de données elle-même. Même en cas de bug applicatif, un CGP ne peut techniquement pas voir les données d'un autre.

À l'intérieur de Tokari, seuls deux administrateurs identifiés disposent d'un accès privilégié, et chaque action sensible qu'ils effectuent laisse une trace immuable, impossible à modifier ou à supprimer, même par eux-mêmes.

Vos mots de passe ne sont jamais en clair, ni dans nos serveurs ni dans nos sauvegardes. Vos communications avec la plateforme sont chiffrées de bout en bout. Vos documents au repos sont chiffrés. Pas parce qu'une norme l'exige — parce que c'est le seul niveau acceptable pour des données patrimoniales.

Une plateforme régulée doit savoir traverser un mauvais jour : un disque qui lâche, un bug qui efface une table, une coupure d'un fournisseur. Notre base de données est sauvegardée intégralement chaque jour, et des exports complémentaires partent toutes les 6 heures vers un emplacement séparé. Si une donnée est effacée par erreur, elle reste récupérable — nous appliquons une « suppression douce » par défaut.

Aucun système n'est invulnérable. Le nôtre est conçu pour redémarrer vite, et pour ne perdre presque rien.

Le RGPD est notre point de départ, pas notre objectif. Vous restez maître de vos données et de celles de vos clients, à tout moment :

• Y accéder, en intégralité
• Les corriger
• Les exporter dans un format réutilisable
• Les faire supprimer
• Vous opposer à un traitement, ou en limiter la portée

Pour exercer ces droits, écrivez à support@tokari.fr avec « RGPD » en objet. La loi nous donne 30 jours pour répondre — nous le faisons presque toujours plus vite.

Aucun éditeur sérieux ne promet zéro incident. Ce que nous promettons, c'est la transparence et la vitesse. Si un événement de sécurité venait à toucher vos données, vous serez prévenu directement par e-mail, sans détour. Nous notifierons la CNIL sous 72 heures comme la loi l'impose, et nous vous dirons exactement ce qui s'est passé, ce qui a été touché, et ce que nous mettons en place pour qu'il ne se reproduise pas.

Pour signaler un problème ou une vulnérabilité, écrivez à support@tokari.fr avec « Sécurité » en objet. Nous accusons réception sous 48 heures ouvrées.

• Vendre vos données ou celles de vos clients, à qui que ce soit, pour quelque montant que ce soit.
• Les partager avec d'autres CGP du réseau, même agrégées, même anonymisées.
• Les utiliser à des fins publicitaires, ni pour vous, ni pour vos clients.
• Les utiliser pour entraîner nos modèles d'intelligence artificielle.
• Transférer vos données clients hors Union européenne.
• Stocker vos mots de passe en clair, où que ce soit, à quelque moment que ce soit.

Ces engagements ne sont pas conjoncturels. Ils définissent ce qu'est Tokari. S'ils changeaient un jour, vous seriez prévenus en amont, avec un délai pour quitter le service en récupérant l'intégralité de vos données.

Cette page est volontairement synthétique. Pour les investisseurs, partenaires ou régulateurs souhaitant le détail technique (architecture, contrôles, journal d'audit, plan de continuité, certificats DPA, liste nominative des sous-traitants), nous fournissons sur demande un dossier de sécurité complet.

support@tokari.fr — objet « Audit ».