← Retour à l'accueil

Document technique

Sécurité & Conformité

Cette page décrit l'architecture, les mesures de sécurité et les obligations légales appliquées à RH Pro BTP. Elle s'adresse aux responsables techniques, DPO et décideurs évaluant notre solution avant déploiement.

Dernière mise à jour : 20 avril 2026 · Version 1.0

TLS 1.3
Chiffrement en transit
30 jours
Rétention sauvegardes
72 h
Notification CNIL en cas d'incident
100 % FR 🇫🇷
Données hébergées en France

Sommaire

1. Hébergement & infrastructure

L'ensemble des données applicatives, bases de données et fichiers uploadés sont hébergés en France, chez un prestataire qualifié :

Prestataire
OVHcloud
Localisation
Gravelines, France (UE)
Type d'offre
Public Cloud — Dedicated Server
Certifications DC
ISO/IEC 27001, 27017, 27018, SOC 2 Type II, HDS
Système d'exploitation
Ubuntu LTS (noyau Linux)
Pare-feu
UFW (default deny) · 22/80/443 uniquement

Aucune donnée client n'est stockée sur un serveur en dehors de l'Union européenne. L'infrastructure respecte la directive NIS 2 et le règlement général sur la protection des données (RGPD).

Disponibilité : SLA 99,9 % (plans Business et supérieurs) · Objectif de reprise (RTO) : 4 heures · Objectif de restauration des données (RPO) : 24 heures.

2. Chiffrement & transport

En transit

  • TLS 1.2 minimum, TLS 1.3 actif par défaut (suites modernes uniquement).
  • Certificat X.509 ECDSA émis par Let's Encrypt, renouvelé automatiquement.
  • En-tête Strict-Transport-Security (HSTS) avec max-age=63072000; includeSubDomains; preload.
  • Aucun appel HTTP non chiffré accepté — redirection 301 systématique vers HTTPS.

Au repos

  • Base PostgreSQL avec authentification SCRAM-SHA-256 et connexions SSL internes activées.
  • Disques serveurs chiffrés AES-256 via LUKS AES-256 côté hébergeur.
  • Sauvegardes quotidiennes compressées (gzip niveau 9) stockées sous permission 600 postgres:postgres.
  • Secrets applicatifs (clés JWT, clés Stripe) stockés dans un fichier appsettings.Production.json avec permissions 640 root:www-data — aucun autre utilisateur n'y a accès.

En-têtes de sécurité HTTP

Strict-Transport-Security : max-age=63072000; includeSubDomains; preload
X-Content-Type-Options : nosniff
X-Frame-Options : SAMEORIGIN
Referrer-Policy : strict-origin-when-cross-origin
Permissions-Policy : camera=(), microphone=(), geolocation=()
Content-Security-Policy : default-src 'self'; frame-src https://js.stripe.com

3. Contrôle d'accès

Authentification utilisateur

  • Mots de passe hachés avec BCrypt (facteur de coût 12).
  • Tokens de session JWT signés HS256, durée 7 jours, stockés en cookie HttpOnly + Secure + SameSite=None.
  • Rate limiting : 10 req/min sur /login, 60 req/min sur l'API, 2 req/min sur l'upload.
  • Option 2FA disponible (TOTP RFC 6238 compatible Google Authenticator / Authy).
  • Isolation multi-tenant : chaque requête filtre par company_id — impossible de lire les données d'une autre entreprise.

Accès techniques (équipe RH Pro)

  • Accès SSH par clés publiques Ed25519 uniquement · mot de passe désactivé.
  • Fail2ban actif sur le service SSH (ban après 6 tentatives).
  • Accès administrateur tracé par journalctl et conservé 12 mois.
  • Principe du moindre privilège : aucun accès en lecture à la base par un compte autre que rhpro_user.

4. Sauvegardes & continuité d'activité

Fréquence
Quotidienne

Exécution automatique chaque nuit à 03h15 (UTC) via pg_dump.

Rétention
30 jours

Rotation automatique : les backups > 30 jours sont supprimés.

Stockage
Chiffré AES-256

Stockage local sur le serveur + réplication quotidienne vers un datacenter OVHcloud secondaire (Roubaix).

Restauration testée
Trimestrielle

Dernier test : 10 avril 2026 — Temps moyen : 38 minutes.

Chaque sauvegarde fait l'objet d'un journal backup.log horodaté, avec contrôle de taille et alerte automatique en cas d'échec. Une procédure de restauration documentée est maintenue à jour et exécutée régulièrement sur un environnement de test.

5. RGPD & protection des données personnelles

RH Pro SAS, responsable du traitement, applique le règlement (UE) 2016/679 (RGPD) et la loi Informatique et Libertés du 6 janvier 1978 modifiée.

Délégué à la Protection des Données (DPO)

📧 info@rhpro-sas.fr

Par courrier : DPO — RH Pro SAS, 8 Route de Versailles, 78150 Le Chesnay-Rocquencourt

Registre des traitements (art. 30 RGPD)

Un registre des activités de traitement est maintenu à jour en interne. Il documente, pour chaque traitement :

  • Le responsable du traitement et son DPO
  • Les finalités poursuivies et la base légale
  • Les catégories de personnes concernées et de données
  • Les destinataires (internes et sous-traitants)
  • Les transferts hors UE (le cas échéant)
  • Les durées de conservation
  • Les mesures techniques et organisationnelles de sécurité

Ce registre est communicable sur demande motivée à la CNIL ou à un client titulaire d'un contrat.

Droits des utilisateurs (art. 15-22 RGPD)

Tout utilisateur peut exercer ses droits d'accès, de rectification, d'effacement, de portabilité, d'opposition et de limitation en écrivant à info@rhpro-sas.fr. Réponse apportée dans un délai maximum d'un mois (prorogeable de 2 mois en cas de demande complexe, art. 12-3 RGPD).

Analyse d'impact (AIPD)

Une analyse d'impact relative à la protection des données (AIPD / DPIA, art. 35 RGPD) a été conduite pour les traitements présentant un risque élevé pour les droits et libertés des personnes concernées. Elle est documentée et révisée annuellement ou à chaque évolution majeure du produit.

6. Sous-traitants (art. 28 RGPD)

Chaque sous-traitant est lié par un contrat conforme à l'article 28 du RGPD, incluant clauses de confidentialité, obligation de sécurité et interdiction de sous-traitance ultérieure sans autorisation.

Sous-traitant Finalité Localisation Données concernées Garanties
OVHcloud Hébergement serveur + base de données France (UE) Toutes données applicatives ISO/IEC 27001, 27017, 27018, SOC 2 Type II, HDS
Stripe Payments Europe, Ltd Traitement des paiements CB Irlande (UE) Identité, email, données de paiement PCI-DSS niveau 1 · CCT UE
Let's Encrypt / ISRG Certificats TLS États-Unis (CCT UE signées) Nom de domaine uniquement Non-profit · pas de données personnelles
Brevo (ex-Sendinblue) Envoi d'emails transactionnels (devis, factures) France (Paris / Roubaix) Email destinataire + pièce jointe PDF ISO 27001, conforme RGPD
Partenaire PDP en cours de sélection Transmission de factures électroniques (Factur-X / Chorus Pro) France (UE) Données de facturation B2B Immatriculation PDP DGFiP — sélection en cours

Aucune donnée personnelle n'est transférée hors Union européenne sans garanties appropriées (clauses contractuelles types, décision d'adéquation ou consentement explicite).

Tout ajout, remplacement ou retrait d'un sous-traitant est notifié aux clients Business au moins 30 jours avant sa mise en œuvre effective, leur laissant le droit de s'opposer et, le cas échéant, de résilier sans pénalité.

7. Gestion des incidents de sécurité

RH Pro SAS applique une procédure documentée de réponse aux incidents, conforme aux articles 33 et 34 du RGPD.

Processus en 5 étapes

  1. Détection — supervision logs, alertes fail2ban, monitoring uptime, remontées utilisateurs.
  2. Qualification sous 4 h — gravité (mineure / majeure / critique), périmètre, données concernées.
  3. Confinement & remédiation — rotation des secrets, coupure d'accès, patch, restauration depuis sauvegarde.
  4. Notification :
    • CNIL sous 72 h si l'incident est susceptible d'engendrer un risque pour les droits et libertés (art. 33 RGPD).
    • Personnes concernées si risque élevé (art. 34 RGPD) — email + notification in-app.
    • Clients Business sous 24 h via email de contact technique.
  5. Retour d'expérience — rapport post-mortem documenté sous 14 jours, plan d'actions correctives.

Signalement d'une vulnérabilité : si vous identifiez une faille de sécurité, merci de nous la transmettre de manière responsable à security@rhpro-sas.fr — chiffrement PGP disponible (empreinte clé publique disponible sur demande). Nous nous engageons à un accusé de réception sous 48 h.

8. Certifications & conformité

Normes applicables

  • Factur-X EN 16931 — génération native de factures électroniques hybrides (PDF/A-3 + XML CII), profil BASIC, conformes au standard européen imposé par la DGFiP.
  • Format FEC — export conforme à l'arrêté du 29 juillet 2013 (art. A 47 A-1 LPF) pour le contrôle fiscal informatisé.
  • TVA CGI — gestion automatique des taux réduits (5,5 %, 10 %) avec attestation CERFA conforme aux articles 278-0 bis et 279-0 bis CGI.
  • Code de commerce — mentions obligatoires factures (art. L441-9) : SIRET, TVA intracom, pénalités de retard, indemnité forfaitaire 40 €.

Certifications visées

EN COURS Agrément PDP — DGFiP

Plateforme de Dématérialisation Partenaire. Dossier d'immatriculation auprès de la DGFiP : partenariat en cours de finalisation, intégration prévue avant le 1ᵉʳ septembre 2026 (date d'obligation de réception Factur-X).

VISÉE ISO/IEC 27001

Système de management de la sécurité de l'information. Objectif : certification visée à horizon 2027.

ACTIVE Hébergement qualifié

Hébergeur certifié ISO/IEC 27001, 27017, 27018, SOC 2 Type II, HDS (infrastructure).

OPTIONNEL NF 525

Certification logiciel de caisse — pertinente uniquement si une fonction caisse est activée.

Certaines déclarations de certification ne sont publiées qu'une fois l'attestation officielle reçue. Les statuts « en cours » et « visée » sont indicatifs et n'ont pas valeur d'attestation.

9. Droit d'audit & réversibilité

Audit de sécurité (clients Business)

Les clients sous contrat Business peuvent, avec un préavis de 30 jours, demander :

  • Un questionnaire de sécurité complet (CAIQ v4 ou équivalent).
  • Les rapports de tests d'intrusion externes (pentest) anonymisés — annuel (après signature d'un NDA).
  • Une revue annuelle de l'architecture de sécurité sur rendez-vous (visioconférence).

Réversibilité & export des données

À tout moment, vous disposez d'un droit complet à la portabilité de vos données (art. 20 RGPD) :

  • Export CSV / Excel de l'ensemble des clients, devis, factures, chantiers depuis l'interface.
  • Export FEC pour votre comptable.
  • Export PDF de tous les documents émis.
  • En cas de résiliation : vos données sont conservées 30 jours puis supprimées définitivement, sauf obligations légales (10 ans pour la comptabilité, art. L123-22 Code de commerce).

10. Contact sécurité

Pour toute question relative à la sécurité, à la conformité ou à un audit :

Questions générales
security@rhpro-sas.fr
DPO / RGPD
info@rhpro-sas.fr
Divulgation de vulnérabilité
security@rhpro-sas.fr

Une réponse vous est apportée dans un délai maximum de 72 h ouvrés. Les demandes urgentes (fuite supposée, compromission en cours) sont traitées sous 24 h.