Aller au contenu principal
documents-securises.fr documents-securises.fr
Trust Center

Sécurité et conformité, par défaut

documents-securises.fr est conçu pour des professions qui ne tolèrent pas de fuite de données : notaires, avocats, experts-comptables, cabinets de conseil. Cette page détaille ce que nous faisons concrètement pour protéger les documents que vous nous confiez.

Chiffrement de bout en bout

Vos documents sont chiffrés sur votre appareil avant l'envoi. Aucune clé n'est détenue par nos serveurs.

Hébergé en France

Infrastructure Scaleway, sous juridiction française et européenne. Aucune donnée ne transite aux États-Unis.

Double vérification

Chaque destinataire confirme son identité par email et SMS avant de récupérer un document.

Conformité

Les références réglementaires que nous suivons.

RGPD

Conformité au Règlement (UE) 2016/679 sur la protection des données.

LCEN

Respect de l'article 6 de la loi pour la confiance dans l'économie numérique (mentions légales, hébergeur identifié).

CNIL

Mesure d'audience sans cookie (article 82 LIL), aucun traceur tiers non nécessaire.

Pratiques de sécurité

Huit mesures techniques et organisationnelles, opérées en continu.

Chiffrement côté client

Chaque document est chiffré en AES-256-GCM avec une clé symétrique unique, elle-même wrappée en RSA-4096 (OAEP) sous la clé publique des destinataires. Le serveur ne manipule que des octets opaques.

Chiffrement en transit

TLS 1.3 sur tous les canaux. HSTS strict. Pas de support des protocoles dépréciés.

Authentification forte

Connexion par SSO (Google, Microsoft, Apple, LinkedIn) ou email, toujours complétée d'un second facteur à la remise du document (code email + SMS).

Principe du moindre privilège

Les collaborateurs n'ont accès qu'aux documents pour lesquels ils ont un rôle explicite. Révocation immédiate lors du départ d'un utilisateur.

Rotation des secrets

Les secrets d'infrastructure sont gérés par Mozilla SOPS et chiffrés par des clés KMS. Rotation régulière documentée.

Journaux d'accès horodatés

Chaque consultation, téléchargement et tentative d'accès est journalisé et horodaté. L'historique est disponible aux clients de l'offre Professionnel.

Sauvegardes chiffrées

Snapshots quotidiens chiffrés, rétention 30 jours. Procédure de restauration testée trimestriellement.

Réponse aux incidents

Procédure documentée de détection, confinement et notification. Les clients concernés sont prévenus sous 72 h en cas d'incident de sécurité, conformément à l'article 33 du RGPD.

Infrastructure

Tous nos prestataires opèrent sous juridiction européenne ou via des clauses contractuelles types.

Hébergement applicatif
Scaleway (France)
Stockage des documents
Cloudflare R2 (UE), objets chiffrés
Base de données
MongoDB Atlas (UE)
Authentification
LoginWith (France)
Email / SMS
Twilio / SendGrid (UE)
Mesure d'audience
Matomo auto-hébergé, sans cookie

La liste complète des sous-traitants, avec finalité et localisation, figure dans notre politique de confidentialité .

Programme de divulgation responsable

Bug bounty

documents-securises.fr encourage la recherche éthique en sécurité. Si vous découvrez une vulnérabilité, nous nous engageons à vous répondre rapidement et à reconnaître votre contribution.

Dans le périmètre

  • documents-securises.fr et ses sous-domaines
  • L'application web (envoi, demande, consultation, compte)
  • L'API publique
  • La chaîne de chiffrement et le processus de double vérification

Hors périmètre

  • Attaques par déni de service (DoS/DDoS) ou par volume
  • Ingénierie sociale, phishing d'employés, accès physique
  • Vulnérabilités dans les sous-traitants (Scaleway, Twilio, etc.)
  • Rapports basés uniquement sur des scanners automatiques sans preuve d'exploitation

Accusé de réception

Sous 24 h ouvrées. Nous vous contactons directement pour confirmer et demander des détails si nécessaire.

Correction

Nous vous tenons informé du diagnostic et du calendrier de correction, généralement sous 30 jours selon la gravité.

Reconnaissance

Reconnaissance publique (si vous le souhaitez) sur cette page. Récompense financière à notre discrétion selon la gravité.

Règles du jeu

  • Ne pas exfiltrer, modifier ou supprimer des données appartenant à un utilisateur tiers. Utiliser des comptes de test.
  • Ne pas divulguer publiquement la vulnérabilité avant qu'une correction soit déployée et qu'un délai raisonnable (90 jours par défaut) soit écoulé.
  • Nous respectons les chercheurs qui respectent ces règles : aucune poursuite judiciaire ne sera engagée à leur encontre.

Signaler une vulnérabilité

Envoyez votre rapport à security@documents-securises.fr, avec étapes de reproduction et impact estimé.

Envoyer un rapport