Centre de confiance

Centre de confiance

La transparence est au cœur de tout ce que nous faisons. Explorez nos pratiques de sécurité, notre état de conformité et les mesures que nous prenons pour protéger vos données.

Sécurité en un coup d'œil

Chiffrement des données

Toutes les données sont chiffrées en transit avec TLS 1.3 et au repos avec le chiffrement AES-256.

Infrastructure

Hébergé sur une infrastructure basée dans l'UE avec le CDN Bunny.net pour une performance mondiale et une protection DDoS.

Contrôle d'accès

Authentification multifacteur, contrôles d'accès basés sur les rôles et journaux d'audit complets.

Protection de la vie privée dès la conception

Collecte minimale de données, pas de cookies de suivi et architecture axée sur la confidentialité dès la conception.

Réponse aux incidents

Processus documenté de réponse aux incidents avec engagement de notification de violation sous 24 heures.

Surveillance continue

Analyse automatisée des vulnérabilités, audits de dépendances et évaluations de sécurité continues.

Conformité et réglementations

Nous nous engageons à respecter et à dépasser les exigences réglementaires. Vous trouverez ci-dessous notre état de conformité actuel.

Conforme

RGPD

Conformité totale au Règlement général sur la protection des données de l'UE, y compris la minimisation des données, la gestion du consentement et les droits des personnes concernées.

Conforme

Directive ePrivacy

Conforme aux exigences ePrivacy de l'UE. Nos analyses fonctionnent sans cookies de suivi.

Conforme

CCPA

Conformité au California Consumer Privacy Act avec des pratiques de données transparentes et des droits des utilisateurs.

Prévu

SOC 2 Type II

La certification d'audit SOC 2 Type II est prévue dans le cadre de notre feuille de route de sécurité.

Prévu

ISO 27001

La certification de gestion de la sécurité de l'information est prévue dans le cadre de notre feuille de route de conformité.

Sous-traitants

Nous croyons en une transparence totale concernant les services tiers que nous utilisons pour fournir notre plateforme. Tous les sous-traitants sont liés par des accords de traitement des données.

FournisseurObjectifLocalisationJuridictionDonnées traitées
ScalewayInfrastructure cloud (Kubernetes, PostgreSQL, MySQL, NATS, registre d'images)UE (france)UE uniquementToutes les données applicatives
Bunny.netCDN et DNSUE (slovénie)UE uniquementMétadonnées de requêtes, adresses IP
ProtonE-mail et espace de travailSuisseLPD (Suisse)Communications par e-mail
PaddleTraitement des paiements (merchant of record)Royaume-uniRoyaume-uni (pas de FISA)Données de facturation et de paiement
GitHubDépôts de codeÉtats-unisFISA Section 702 / Cloud ActCode source, données de développement
BillyComptabilitéUE (danemark)UE uniquementDonnées financières et de facturation
Simply.comRegistraire de domaines (domaines principaux)UE (danemark)UE uniquementDonnées d'enregistrement de domaines
CloudflareRegistraire de domaines (tLDs de marque)États-unisFISA Section 702 / Cloud ActDonnées d'enregistrement de domaines

Nous fournissons un préavis d'au moins 30 jours pour tout changement concernant nos sous-traitants, comme décrit dans notre Accord de traitement des données.

Notre approche de la souveraineté des données

Les fournisseurs basés aux États-Unis sont soumis à la Section 702 du FISA et au Cloud Act, qui peuvent contraindre à la divulgation de données quel que soit leur lieu de stockage. La localisation du serveur seule ne protège pas les données contre ces lois. FISA Cloud Act

Nous travaillons activement à minimiser notre dépendance envers les services soumis à la juridiction américaine. Notre infrastructure principale (hébergement, bases de données, CDN, DNS, messagerie et paiements) est exploitée exclusivement par des fournisseurs basés dans l'UE, hors de portée du FISA et du Cloud Act. Les seuls services soumis au droit américain que nous utilisons (GitHub, Cloudflare) gèrent le code source et les enregistrements de domaines, et non les données personnelles de nos clients.

Notre objectif à long terme est d'éliminer toutes les dépendances envers les fournisseurs soumis aux lois de surveillance extraterritoriales américaines.

Documents juridiques et politiques

Signaler un problème de sécurité

Nous prenons la sécurité au sérieux et apprécions la divulgation responsable. Si vous découvrez une vulnérabilité, veuillez nous contacter directement.

[email protected]

Glossaire

RGPD
Règlement général sur la protection des données : la loi globale de l'UE sur la protection des données régissant la collecte, le traitement et le stockage des données personnelles des résidents de l'UE.
Directive ePrivacy
Directive UE 2002/58/CE réglementant la vie privée dans les communications électroniques, couvrant les cookies, le suivi et la confidentialité des communications.
CCPA
California Consumer Privacy Act : une loi de l'État de Californie accordant aux résidents californiens des droits sur leurs données personnelles, notamment le droit de savoir, de supprimer et de refuser la vente de leurs données.
FISA Section 702
Foreign Intelligence Surveillance Act, Section 702 : autorise les agences de renseignement américaines à collecter, sans mandat, les communications de personnes non américaines situées en dehors des États-Unis, y compris les données détenues par des fournisseurs cloud américains.
Cloud Act
Clarifying Lawful Overseas Use of Data Act (2018) : une loi fédérale américaine qui permet aux forces de l'ordre américaines de contraindre les entreprises technologiques américaines à fournir des données stockées sur leurs serveurs, que ces données soient conservées aux États-Unis ou à l'étranger.
LPD (Suisse)
Loi fédérale sur la protection des données : la loi nationale suisse sur la protection des données, offrant un niveau de protection reconnu comme adéquat par l'UE. Les fournisseurs suisses ne sont pas soumis au FISA ni au Cloud Act.
DPA
Accord de traitement des données : un contrat juridiquement contraignant entre un responsable du traitement et un sous-traitant qui décrit comment les données personnelles seront traitées, requis en vertu du RGPD.
SOC 2
Service Organization Control 2 : une norme d'audit qui évalue les contrôles d'une organisation en matière de sécurité, de disponibilité, d'intégrité du traitement, de confidentialité et de vie privée.
ISO 27001
Une norme internationale pour les systèmes de management de la sécurité de l'information (SMSI), offrant une approche systématique de la gestion des informations sensibles de l'entreprise.
TLS 1.3
Transport Layer Security version 1.3 : le dernier protocole cryptographique qui chiffre les données en transit entre le navigateur d'un utilisateur et un serveur.
AES-256
Advanced Encryption Standard avec des clés de 256 bits : un algorithme de chiffrement symétrique largement reconnu utilisé pour protéger les données au repos.
Merchant of Record (MoR)
Une entité tierce qui gère le traitement des paiements, la conformité fiscale et la facturation pour le compte d'un vendeur, agissant comme le vendeur légal enregistré pour les transactions.

Des questions sur la sécurité ?

Notre équipe est prête à discuter de vos exigences en matière de sécurité et de conformité.