— Sécurité, fiabilité, confidentialité

La sécurité comme socle,
pas comme argument marketing.

Hébergement France, chiffrement AES-256, isolation stricte des données, DPIA RGPD rédigée. Tout est documenté ici, sans langue de bois — pour que vous puissiez décider en connaissance de cause.

Chiffrement AES-256Hébergement FranceRGPD · DPIA rédigé

Quatre piliers, pas un slogan.

Aucune promesse marketing creuse. Chaque mesure ci-dessous est en place, vérifiable, et documentée dans la DPIA.

Sécurité technique

Chiffrement de bout en bout, isolation stricte des données, double authentification optionnelle.

  • TLS 1.3 sur toutes les connexions
  • AES-256-GCM sur les données sensibles (NIR, IBAN, salaires)
  • Mots de passe hashés bcrypt + politique ≥12 caractères
  • MFA TOTP optionnelle (Google Authenticator, 1Password…)
  • Cookies HttpOnly · Secure · SameSite=Strict
  • Protection CSRF par double-submit cookie

Confidentialité

Vos données RH ne sortent jamais de l'Union Européenne. Aucune revente, aucun pistage publicitaire.

  • Serveurs en France (Paris) — Hostinger
  • Sous-traitants 100 % UE (Brevo, Mindee France, Let's Encrypt)
  • Aucun transfert hors UE, aucun Cloud Act applicable
  • Aucune revente de données, aucun pistage publicitaire
  • Umami self-hosted : analytics sans cookie, désactivé en zone authentifiée
  • Politique de confidentialité publique et détaillée

Fiabilité

Sauvegardes chiffrées quotidiennes, journalisation complète, infrastructure isolée par client.

  • Sauvegardes chiffrées quotidiennes (rotation 14 jours)
  • Journal d'audit horodaté de toutes les actions sensibles
  • Isolation multi-tenant via Row Level Security PostgreSQL (FORCE)
  • Limitation de débit + verrouillage après 5 tentatives échouées
  • Validation systématique des entrées (Joi sur 65 routes API)
  • Vérification des fichiers téléversés (magic-byte, anti-path traversal)

Continuité & portabilité

Vos données vous appartiennent. Export à tout moment, suppression sous 30 jours.

  • Export RGPD en 1 clic depuis Paramètres › Sécurité (ZIP : JSON + fichiers)
  • Suppression effective sous 30 jours après résiliation
  • Registre des traitements RGPD exportable en 1 clic
  • DPIA (analyse d'impact RGPD) rédigée et tenue à jour
  • Politique de rétention transparente par catégorie de donnée
  • DPO joignable directement pour exercer vos droits

Toutes les mesures, sans fard.

Issu directement du registre interne et de la DPIA. Statut "Actif" = en production aujourd'hui.

CatégorieMesureStatut
HébergementFrance (Paris) — Hostinger✅ Actif
Chiffrement transportTLS 1.3 (Let's Encrypt auto-renouvelé)✅ Actif
Chiffrement données sensiblesAES-256-GCM (NIR, IBAN, salaires)✅ Actif
Hash mots de passebcrypt + politique zxcvbn ≥3✅ Actif
CookiesHttpOnly · Secure · SameSite=Strict✅ Actif
Protection CSRFDouble-submit cookie✅ Actif
Refresh tokensRotation + détection de réutilisation✅ Actif
Isolation multi-tenantRow Level Security PostgreSQL FORCE✅ Actif
Validation des entréesJoi systématique (65 routes API)✅ Actif
UploadsVérification magic-byte + anti-path traversal✅ Actif
MFATOTP (Google Authenticator compatible)✅ Actif
Limitation de débit10 tentatives / 15 min sur l'authentification✅ Actif
Verrouillage anti-bruteforce5 échecs → blocage 15 min✅ Actif
Headers de sécuritéCSP strict · HSTS · helmet✅ Actif
SauvegardesQuotidiennes chiffrées, rotation 14 jours✅ Actif
Logs d'auditToutes actions sensibles horodatées (6 mois)✅ Actif
— Continuité de service

« Et si tu te fais renverser par un bus ? »

La question m'a été posée. Telle quelle. Et elle est légitime : un éditeur solo, c'est un risque de continuité réel pour vos données RH.

Voici ce qui est en place pour que vos données restent les vôtres, en toute circonstance :

  • Export complet de vos données en archive ZIP (JSON + fichiers) à tout moment depuis Paramètres › Sécurité — sans demande, sans délai.
  • Sauvegardes chiffrées hors-site, conservées 14 jours en rotation FIFO.
  • Politique de portabilité documentée dans les CGU : vous récupérez vos données, point.
  • Suppression effective sous 30 jours après résiliation, conformément à l'article 17 du RGPD.
  • DPO joignable directement (pas de bot, pas de formulaire à 8 niveaux).

Les vraies questions.

Celles qu'on m'a posées, pas celles d'un livre blanc marketing.

Pourquoi 5 €/salarié si la concurrence est à 30 €+ ? C'est sécurisé ?+

Le prix est bas parce que je n'ai pas 40 commerciaux ni de bureaux à payer, pas parce que la sécurité est bricolée. J'ai passé plusieurs mois sur les fondations (chiffrement, isolation, RGPD) avant le 1er client payant. Tous les éléments sont auditables sur cette page et dans la politique de confidentialité.

Où sont stockées mes données ?+

En France, datacenter Paris (Hostinger). Aucune donnée RH ne sort de l'Union Européenne. Aucun sous-traitant US, donc le Cloud Act ne s'applique pas.

Si vous fermez ou si vous avez un accident, je fais quoi ?+

Vos données vous appartiennent. À tout moment, depuis Paramètres › Sécurité, un compte admin télécharge une archive ZIP contenant l'intégralité de vos données (employés, contrats, paie, congés, entretiens, formations…) en JSON structuré, accompagnée des photos et documents. Les sauvegardes chiffrées sont conservées 14 jours en rotation. En cas de cessation, un délai contractuel de récupération est garanti avant suppression.

Êtes-vous certifié ISO 27001 / SOC 2 ?+

Non, et je préfère le dire clairement. Ces certifications coûtent 30 à 80 k€ et n'apportent pas grand-chose à une PME de 10–200 salariés. En revanche, l'infrastructure Hostinger sur laquelle je m'appuie est elle-même certifiée ISO 27001 / 27017 / 27018. Je documente publiquement chaque mesure de sécurité plutôt que de cacher derrière un logo.

Vendez-vous mes données ? Faites-vous du tracking publicitaire ?+

Non, jamais. Aucune donnée RH n'est revendue, partagée à des fins marketing, ou exploitée à l'extérieur du strict service. Pas de Google Analytics, pas de Meta Pixel, pas de TikTok Pixel. La mesure d'audience publique se fait via Umami auto-hébergé (sans cookie, sans transfert) et est désactivée dès que vous êtes connecté.

Comment exercer mes droits RGPD ?+

Directement via l'interface : export RGPD complet depuis Paramètres › Sécurité (admin), rectification depuis chaque fiche employé, demande de suppression par email à snoussiiadevconsulting@gmail.com. Réponse sous 30 jours maximum, conformément à l'article 12 du RGPD. Le registre des traitements est exportable en PDF depuis la page Conformité.

Une question technique ?

J'y réponds personnellement, sans intermédiaire. La transparence sur la sécurité, c'est le minimum qu'on vous doit.