rankion.ai
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français 🇪🇸 Español
Art. 32 RGPD

Mesures techniques et organisationnelles

Comment nous protégeons les données sur le plan technique et organisationnel.

Avis de traduction — La version allemande de ce document (« Technisch-organisatorische Maßnahmen ») est l'original juridiquement contraignant et fait partie de notre DPA. Cette traduction est fournie à titre informatif uniquement. En cas de divergence entre cette traduction et la version allemande, le texte allemand prévaut. Voir la version allemande de référence.

Mesures techniques et organisationnelles (TOMs)

Description des mesures techniques et organisationnelles conformément à l'art. 32 RGPD. Les TOMs font partie de notre DPA.

Confidentialité

  • Contrôle d'accès physique : serveurs dans un centre de données Hetzner (Allemagne) avec contrôle d'accès physique, authentification multi-facteurs pour le personnel
  • Contrôle d'accès système : accès SSH uniquement par authentification basée sur certificats (ED25519), pas de mots de passe ; accès base de données du personnel journalisé
  • Contrôle de séparation : séparation des locataires au niveau base de données via team IDs, scoping automatique dans toutes les requêtes
  • Pseudonymisation : dans la mesure du possible (p. ex. analytics)

Intégrité

  • Contrôle des saisies : toutes les modifications de données sont auditées (Laravel auditing trail)
  • Contrôle des transferts : TLS 1.3 pour toutes les connexions, public-key pinning pour les endpoints API

Disponibilité et résilience

  • Contrôle de disponibilité : sauvegardes automatiques quotidiennes de la base de données avec rétention de 30 jours, plan de reprise après sinistre documenté
  • Récupérabilité : RTO < 4 heures, RPO < 24 heures
  • Tolérance à la charge : queue workers (Supervisor) avec auto-restart, OPcache reload aux déploiements

Procédure de revue régulière

  • Audits de sécurité automatisés mensuels via un skill documenté publiquement — résultats publiés sur /fr/trust/security-audits
  • Audits ad-hoc avant chaque déploiement majeur impliquant du code touchant l'authentification
  • Gestion des correctifs : CVE de gravité critique corrigés sous 72 heures, gravité haute sous 7 jours
  • Tests d'intrusion : tests d'intrusion externes annuels (planifiés à partir du T3 2026 ; résultats agrégés sur /trust/security-audits)

Chiffrement

  • TLS 1.3 (HSTS, max-age ≥ 1 an)
  • Chiffrement en transit pour la base de données
  • Sauvegardes chiffrées (AES-256)
  • Hachage des mots de passe : bcrypt (coût ≥ 10), tokens API via Laravel Sanctum (hachés SHA-256)

Contrôle des ordres (sous-traitants)

La sélection des sous-traitants est précédée d'un examen de due diligence (DPA disponible, région UE ou garanties pays tiers valides). Liste complète sur /fr/trust/sub-processors. Les modifications sont communiquées avec un préavis de 14 jours.

Sensibilisation du personnel

  • Engagement à la confidentialité des données lors de l'onboarding
  • Formation annuelle sur la maîtrise de l'IA et la protection des données (voir /fr/trust/ai-literacy)
  • Plan de réponse aux incidents documenté ; chaîne d'escalade définie

Ce document fait partie du DPA en Annexe 2. À jour au 03/05/2026. Les modifications substantielles seront communiquées aux clients professionnels.

← Retour au Trust Center

Dernière mise à jour : 03/05/2026

Cookies : Nous utilisons des cookies nécessaires pour le fonctionnement et facultatifs pour les améliorations. Détails

Nécessaire
Actif
Analytique
Marketing