Aller au contenu
Informations légales

Centre de confiance

La sécurité et la continuité de service sont traitées comme des exigences de premier ordre. Cette page décrit factuellement les dispositifs en place — elle est mise à jour à chaque évolution significative.

Dernière mise à jour : 1er juillet 2026

1. Sécurité des accès

  • Double authentification (TOTP) obligatoire sur l'ensemble du back-office, avec codes de secours à usage unique.
  • Contrôle d'accès par rôle (moindre privilège) : chaque opérateur n'accède qu'aux modules de sa fonction ; les données financières sont réservées aux rôles habilités.
  • Révocation immédiate des sessions en cas de changement de mot de passe, de réinitialisation 2FA ou de désactivation d'un compte.
  • Journal d'audit horodaté des actions sensibles (connexions, accès refusés, modifications d'équipe et de configuration).

2. Protection des données

  • Chiffrement en transit (TLS 1.2/1.3) sur l'ensemble des services.
  • Chiffrement au repos (AES-256-GCM) des données sensibles : contrats, dossiers RH, coordonnées de règlement, secrets d'intégration.
  • Cloisonnement strict des espaces : un partenaire ou un client n'accède qu'à ses propres données (contrôle structurel côté serveur).
  • Assistants IA : aucune capacité d'action sur les données depuis les surfaces publiques ; les contenus tiers sont traités comme des données, jamais comme des instructions.

3. Continuité & sauvegardes

  • Sauvegardes chiffrées selon la règle 3-2-1 : trois copies, deux supports, un site distant (Union européenne).
  • Points de reprise : données critiques toutes les 6 heures, sauvegarde complète quotidienne.
  • Restauration TESTÉE en conditions réelles (dernier test : juillet 2026 — intégrité vérifiée à 100 %). Objectif de reprise : moins d'une heure.
  • Supervision continue (disponibilité, ressources, certificats) avec alerte immédiate de l'équipe.

4. Réponse aux incidents

  • Procédures d'incident documentées et testées (indisponibilité, restauration, compromission).
  • En cas de violation de données personnelles : notification à l'autorité de contrôle (CNIL) sous 72 heures et information des personnes concernées si le risque l'exige (RGPD art. 33-34).
  • Signalement de vulnérabilité : security.txt conforme RFC 9116 (lien ci-dessous) — les signalements de bonne foi sont les bienvenus.

5. Conformité

  • RGPD : registre des traitements, politique de confidentialité publique, DPA conforme à l'article 28 disponible ci-dessous.
  • Transferts hors UE : clauses contractuelles types de la Commission européenne (2021/914) lorsque nécessaires.
  • Facturation et comptabilité : moteur en partie double avec chaînage d'intégrité, préparation à la facturation électronique française (2026-2027).

6. Sous-traitants

Liste des sous-traitants ayant accès à des données dans le cadre du service. Tout ajout fait l'objet d'une mise à jour de cette page avec un préavis de 30 jours ; vous pouvez vous y opposer pour motif légitime.

  • HostingerHébergement applicatif (VPS) · Union européenne
  • IONOSSite de sauvegarde distant · Union européenne (Allemagne/France)
  • CloudflareCDN, DNS, protection, acheminement e-mail · UE/États-Unis (SCC)
  • StripePaiements · UE/États-Unis (SCC)
  • ResendE-mails transactionnels · États-Unis (SCC)
  • AnthropicAssistant IA (traitement de texte) · États-Unis (SCC)

7. Documents

Questions sécurité ou due diligence : security@pageoneboost.com — réponse sous 2 jours ouvrés.

Centre de confiance — sécurité & conformité · PageOneBoost