Transparence observability
Zéro tracker tiers US. Zéro donnée quittant l’Europe.
Cette page liste l’intégralité des outils d’observation, d’analyse et de notification que M’hippco utilise pour faire fonctionner ce site. Chacun est self-hosté en France, sur notre propre serveur OVH. Aucun appel à Google Analytics, à Sentry cloud, à Slack, à Calendly. Aucune donnée n’atteint un serveur en dehors de l’Union européenne.
Inventaire complet (6 outils)
Umami
- Usage :
- Analyse de fréquentation anonyme. Compte pages vues, conversions, sources de trafic. Aucun cookie de suivi.
- Résidence des données :
- Self-host OVH (France).
- Traitement PII :
- data-do-not-track='true' honoré côté client (Umami SDK). HASH_SALT côté serveur pseudonymise les visiteur-IDs. Aucun email, aucune IP, aucun nom stocké.
- Licence :
- MIT.
- Source publique :
- https://github.com/umami-software/umami
GlitchTip
- Usage :
- Suivi des erreurs JavaScript + serveur. Compatible Sentry SDK. Permet de corriger un bug avant que vous le découvriez.
- Résidence des données :
- Self-host OVH (France). Les événements passent par un tunnel SSR (/api/v1/observability/glitchtip-tunnel) pour ne JAMAIS contacter glitchtip.* depuis votre navigateur.
- Traitement PII :
- Trois niveaux de scrubbing avant envoi : user.email/ip/username = undefined, extra.* matchant email/ip/domain/phone/iban/ssn/password/token/secret = '[SCRUBBED]', breadcrumbs.*.data.* idem.
- Licence :
- MIT.
- Source publique :
- https://glitchtip.com/
Cal.com
- Usage :
- Système de réservation pour les appels fondateur ↔ ambassadeurs. Utilisé exclusivement pour la qualification des intents 100k€.
- Résidence des données :
- Self-host OVH (France).
- Traitement PII :
- Les emails + noms saisis dans Cal.com restent dans Cal.com self-host (jamais transférés). Webhooks signés HMAC-SHA256, dedupe + replay-protection 12h cache.
- Licence :
- AGPL-3.0 — usage self-host lead-gen interne (voir LICENSE-NOTICE.md du repo).
- Source publique :
- https://github.com/calcom/cal.com
Ntfy
- Usage :
- Notifications push internes au fondateur (alertes erreurs + leads ambassadeurs + bookings Cal.com). Remplace Slack (qui est US).
- Résidence des données :
- Self-host OVH (France). Binaire Go ~30 MB RAM.
- Traitement PII :
- Topics avec suffixe aléatoire (anti-spam). Cycle 5' upgrade : ACL par topic. Archive parallèle Postgres 5 ans (GDPR Art. 30 audit trail).
- Licence :
- Apache-2.0.
- Source publique :
- https://ntfy.sh/
Mailjet (Send API)
- Usage :
- Délivrance des emails transactionnels (confirmation manifeste, accusé ambassadeur, rapport audit).
- Résidence des données :
- Mailjet SAS — Paris HQ, datacenters EU uniquement, zéro CLOUD Act US.
- Traitement PII :
- Aucun click tracking, aucun open tracking activés (NoTrackingDisclaim verbatim Cycle 2'.20). Emails contiennent List-Unsubscribe RFC 8058 + désinscription 1-clic RGPD Art. 7.3.
- Licence :
- Service tiers EU (Sub-processor — DPA signé).
- Source publique :
- https://www.mailjet.com/security-privacy/
Postgres + Caddy
- Usage :
- Bases de données + reverse-proxy. Aucun appel externe à des CDN, aucun chargement Google Fonts runtime (police self-host build-time via next/font/google).
- Résidence des données :
- Self-host OVH (France).
- Traitement PII :
- Emails utilisateur stockés en clair UNIQUEMENT pour la waitlist (double opt-in + droit à l'oubli Art. 17). Manifesto / ambassadors / audit : sha256Prefix12 irréversible.
- Licence :
- Postgres = PostgreSQL License (BSD-like). Caddy = Apache-2.0.
- Source publique :
- https://www.postgresql.org/
Règle gravée
Si M’hippco devait un jour intégrer un nouvel outil d’observation, cet outil DOIT être :
- self-hostable et self-hosté sur notre infrastructure OVH France ;
- ou opéré par une entité européenne avec DPA signé + zéro CLOUD Act ;
- et cette page mise à jour dans le même commit que l’intégration. Aucune exception.
Mahadillah · Fondateur M’hippco