Informations légales
Centre de confiance
La sécurité et la continuité de service sont traitées comme des exigences de premier ordre. Cette page décrit factuellement les dispositifs en place — elle est mise à jour à chaque évolution significative.
Dernière mise à jour : 1er juillet 2026
1. Sécurité des accès
- Double authentification (TOTP) obligatoire sur l'ensemble du back-office, avec codes de secours à usage unique.
- Contrôle d'accès par rôle (moindre privilège) : chaque opérateur n'accède qu'aux modules de sa fonction ; les données financières sont réservées aux rôles habilités.
- Révocation immédiate des sessions en cas de changement de mot de passe, de réinitialisation 2FA ou de désactivation d'un compte.
- Journal d'audit horodaté des actions sensibles (connexions, accès refusés, modifications d'équipe et de configuration).
2. Protection des données
- Chiffrement en transit (TLS 1.2/1.3) sur l'ensemble des services.
- Chiffrement au repos (AES-256-GCM) des données sensibles : contrats, dossiers RH, coordonnées de règlement, secrets d'intégration.
- Cloisonnement strict des espaces : un partenaire ou un client n'accède qu'à ses propres données (contrôle structurel côté serveur).
- Assistants IA : aucune capacité d'action sur les données depuis les surfaces publiques ; les contenus tiers sont traités comme des données, jamais comme des instructions.
3. Continuité & sauvegardes
- Sauvegardes chiffrées selon la règle 3-2-1 : trois copies, deux supports, un site distant (Union européenne).
- Points de reprise : données critiques toutes les 6 heures, sauvegarde complète quotidienne.
- Restauration TESTÉE en conditions réelles (dernier test : juillet 2026 — intégrité vérifiée à 100 %). Objectif de reprise : moins d'une heure.
- Supervision continue (disponibilité, ressources, certificats) avec alerte immédiate de l'équipe.
4. Réponse aux incidents
- Procédures d'incident documentées et testées (indisponibilité, restauration, compromission).
- En cas de violation de données personnelles : notification à l'autorité de contrôle (CNIL) sous 72 heures et information des personnes concernées si le risque l'exige (RGPD art. 33-34).
- Signalement de vulnérabilité : security.txt conforme RFC 9116 (lien ci-dessous) — les signalements de bonne foi sont les bienvenus.
5. Conformité
- RGPD : registre des traitements, politique de confidentialité publique, DPA conforme à l'article 28 disponible ci-dessous.
- Transferts hors UE : clauses contractuelles types de la Commission européenne (2021/914) lorsque nécessaires.
- Facturation et comptabilité : moteur en partie double avec chaînage d'intégrité, préparation à la facturation électronique française (2026-2027).
6. Sous-traitants
Liste des sous-traitants ayant accès à des données dans le cadre du service. Tout ajout fait l'objet d'une mise à jour de cette page avec un préavis de 30 jours ; vous pouvez vous y opposer pour motif légitime.
- Hostinger — Hébergement applicatif (VPS) · Union européenne
- IONOS — Site de sauvegarde distant · Union européenne (Allemagne/France)
- Cloudflare — CDN, DNS, protection, acheminement e-mail · UE/États-Unis (SCC)
- Stripe — Paiements · UE/États-Unis (SCC)
- Resend — E-mails transactionnels · États-Unis (SCC)
- Anthropic — Assistant IA (traitement de texte) · États-Unis (SCC)
7. Documents
- Accord de traitement des données (DPA, art. 28 RGPD)
- Engagements de niveau de service (SLA)
- security.txt (signalement de vulnérabilité)
Questions sécurité ou due diligence : security@pageoneboost.com — réponse sous 2 jours ouvrés.