Dossier de conformité
À l'attention des RSSI, DPO et services achats
Trust Pack CertPilot
Sécurité, conformité RGPD et engagements opérationnels
Ce document consolide les éléments des pages publiques « Mentions légales », « Politique de confidentialité », « DPA », « Sécurité & disponibilité » et « Cookies » de CertPilot. Il est mis à jour à chaque modification substantielle de l'une de ces pages.
Sommaire
- 1. Identité du sous-traitant
- 2. Chaîne de conformité de l'hébergement
- 3. Mesures techniques et organisationnelles (MTOS)
- 4. Sous-traitants ultérieurs
- 5. Conformité RGPD & rôles
- 6. Disponibilité, SLA & continuité
- 7. Notification des violations de données
- 8. Intelligence artificielle & non-réutilisation
- 9. Engagements de réponse & contact DPO
- 10. Roadmap conformité
1. Identité du sous-traitant
2. Chaîne de conformité de l'hébergement
CertPilot s'appuie sur une chaîne d'hébergement entièrement certifiée et localisée en Union Européenne pour l'ensemble des données applicatives.
| Niveau | Fournisseur | Localisation | Certifications |
|---|---|---|---|
| Plateforme applicative | Railway | Pays-Bas (europe-west4) — UE | SOC 2 Type II, SOC 3 |
| Infrastructure cloud | Google Cloud Platform | Région européenne | ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3 |
| Base de données | PostgreSQL dédiée (Railway) | Volume persistant — UE | Chiffrement au repos AES-256, sauvegardes quotidiennes |
Les rapports SOC 2 Type II / SOC 3 de Railway sont consultables sur trust.railway.com et communicables sur demande sous accord de confidentialité.
3. Mesures techniques et organisationnelles (MTOS)
| Domaine | Mesure |
|---|---|
| Chiffrement | TLS 1.2+ en transit (HTTPS, HSTS max-age 1 an), AES-256 au repos sur la base PostgreSQL et les volumes de fichiers. |
| Authentification | Mots de passe hachés bcrypt (coût 12). 2FA TOTP optionnelle pour les administrateurs. Tokens de réinitialisation à usage unique avec expiration 24h. Mots de passe temporaires générés via crypto.randomBytes. |
| Contrôle d'accès | Architecture multi-tenant stricte avec vérification de companyId à chaque requête API. RBAC à 3 niveaux (Administrateur, Manager, Lecteur). Sessions JWT signées avec expiration automatique. |
| Protection applicative | Headers de sécurité (X-Frame-Options DENY, CSP avec liste blanche explicite des sources, X-Content-Type-Options, X-XSS-Protection). Rate limiting anti-brute force (10 tentatives / 15 min). Validation d'email obligatoire à l'inscription. |
| Traçabilité | Audit trail complet horodaté (utilisateur, IP, action) sur toutes opérations sensibles. Export Excel à la demande. Conservation minimum 5 ans, sans purge automatique (besoins forensiques). |
| Sauvegardes & reprise | Sauvegardes PostgreSQL quotidiennes automatisées par Railway. Volume persistant indépendant pour les fichiers. Objectifs RTO 4h / RPO 24h. |
| Cycle de développement | Scan automatique des dépendances via Dependabot (notifications de CVE et propositions de correctifs). Tests unitaires et d'intégration à chaque déploiement. |
| Portabilité & réversibilité | Export total des données client à tout moment, formats Excel et PDF, sans dépendance propriétaire. Quitter CertPilot avec l'intégralité de ses données prend moins de 5 minutes. |
4. Sous-traitants ultérieurs
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Railway | Hébergement applicatif & base de données | Pays-Bas — UE | Intra-UE, SOC 2 Type II, SOC 3 |
| Brevo | Envoi d'emails transactionnels | France — UE | Intra-UE, ISO 27001 |
| Stripe | Traitement des paiements | États-Unis | Data Privacy Framework (DPF) + clauses contractuelles types (CCT), Art. 46 RGPD |
| api.qrserver.com | Génération de QR codes des passeports | Union Européenne | Intra-UE |
| cron-job.org | Déclenchement de tâches planifiées (alertes, anonymisation) | Allemagne — UE | Intra-UE, déclenchement HTTPS |
| Better Stack | Supervision de disponibilité & page d'état publique | République Tchèque — UE | Intra-UE, SOC 2 Type II |
Toute évolution significative de cette liste fait l'objet d'une notification au Client conformément à l'article 28(2) du RGPD.
5. Conformité RGPD & rôles
Pour les données traitées pour le compte du Client — CertPilot agit en qualité de sous-traitant au sens de l'article 28 du RGPD ; le Client (employeur) est responsable du traitement.
Pour les données traitées en propre (prospects, comptes utilisateurs, facturation, logs de sécurité) — CertPilot est responsable de traitement.
Un Accord de traitement des données (DPA) prêt à signer est disponible sur certpilot.eu/legal/dpa. Il intègre les clauses contractuelles types et les engagements spécifiques au Passeport de Prévention (décret n° 2025-748).
Droits des personnes en libre-service :les utilisateurs disposant d'un compte (Administrateur / Manager) peuvent exercer directement leurs droits d'accès, d'effacement et de portabilité depuis leur profil, sans intervention technique de CertPilot.
6. Disponibilité, SLA & continuité
Les vérifications de disponibilité sont assurées par un service tiers indépendant (BetterStack), depuis quatre régions (Europe, Amérique du Nord, Asie, Australie), à fréquence de 3 minutes.
7. Notification des violations de données
CertPilot s'engage à notifier le Client en cas de violation de données personnelles affectant ses données dans un délai maximum de 48 heuresà compter de la prise de connaissance de l'incident, conformément à l'article 33 du RGPD.
La notification précise au minimum :
- la nature de la violation ;
- les catégories et le volume approximatif de données concernées ;
- les conséquences probables ;
- les mesures prises ou envisagées pour y remédier et en limiter les effets.
La notification est adressée par email au DPO ou point de contact désigné par le Client, doublée d'un canal sécurisé sur demande.
8. Intelligence artificielle & non-réutilisation
Aucune donnée Client n'est utilisée pour entraîner, affiner ou évaluer des modèles d'intelligence artificielle, qu'ils soient internes à CertPilot ou opérés par des fournisseurs tiers.
Aucune donnée personnelle traitée pour le compte du Client n'est partagée avec un fournisseur d'IA générative dans le cadre du fonctionnement nominal du service. Toute évolution de ce périmètre nécessiterait un avenant écrit et l'accord préalable du Client.
9. Engagements de réponse & contact DPO
10. Roadmap conformité
CertPilot fait évoluer son dispositif de conformité au rythme de sa croissance commerciale. Les chantiers identifiés à ce jour :
- Test d'intrusion externepar prestataire qualifié à l'atteinte d'un seuil clientèle critique, rapport disponible aux clients Enterprise sous accord de confidentialité.
- Certification ISO 27001 envisagée à partir de 50 clients actifs.
- Page de signalement de vulnérabilité (PSIRT) pour permettre aux chercheurs sécurité externes de signaler en privé toute faille découverte.