Sécurité, transparence,
souveraineté française.

Vos données sont hébergées exclusivement chez OVHcloud, datacenters Roubaix (RBX) et Gravelines (GRA), tous deux situés en France métropolitaine.

Aucun transfert hors UE. Pas de CDN d'origine étrangère pour les données utilisateur. Les actifs statiques (CSS, JS, images) passent par un edge en France et Allemagne uniquement.

Hébergeur certifié ISO 27001, ISO 27701, HDS, et SOC 2. Reprise après sinistre testée trimestriellement.

En transit : TLS 1.3 (HSTS preload, certificats Let's Encrypt renouvelés automatiquement, OCSP stapling).

Au repos : AES-256-GCM sur les volumes disques. Clés gérées par HashiCorp Vault, rotation tous les 90 jours.

Mots de passe stockés avec Argon2id (paramètres OWASP 2026). Aucun mot de passe en clair, aucun en MD5/SHA1.

Une base de données PostgreSQL par client (pas de multi-tenant logique partagé). Pas de risque de fuite croisée par bug applicatif ou requête SQL malformée.

Backups journaliers chiffrés vers un second datacenter, rétention 30 jours.

Test de restauration mensuel automatisé.

Registre des traitements public (mis à jour à chaque release). Liste des sous-traitants (DPA disponible sur demande).

Droit d'accès, rectification, portabilité et effacement réalisables en un clic depuis votre espace administrateur. Effacement immédiat sur demande, ou conservé 30 jours pour annulation accidentelle.

DPO désigné, joignable à [email protected].

Authentification email/password avec 2FA TOTP (Google Authenticator, 1Password, Bitwarden…) ou WebAuthn (clé physique YubiKey, Touch ID, Windows Hello).

SSO Microsoft 365 / Google Workspace inclus.

Sessions limitées dans le temps, déconnexion automatique configurable, journal des connexions visible par l'administrateur.

Signature niveau "simple" eIDAS conforme. Horodatage qualifié via fournisseur tiers (Yousign Trust Service Provider).

Archivage probatoire 10 ans, valeur juridique reconnue dans toute l'UE.

Pour les actes nécessitant signature "avancée" ou "qualifiée", intégration Yousign Pro disponible en option (+19 €/mois).

SLA 99,9 %. Statut public en temps réel sur status.opsly.fr.

Monitoring externe Better Stack (10 points de check, dont 4 en France).

Post-mortem public publié sous 7 jours après tout incident affectant la disponibilité.

Toutes les actions sensibles (création/suppression de données, changement de mot de passe, export, accès admin) sont journalisées avec horodatage et IP.

Logs conservés 13 mois (conformité L 34-1 du Code des postes et communications).

Audit interne semestriel, pentest externe annuel par un prestataire indépendant.