Confiance & Conformité

Vos données sont hébergées en France, votre conformité RGPD est native, et notre sécurité applicative est auditée en continu. Zéro compromis.

100%
Hébergement France
72h
Notification violation
35j
Sauvegardes automatiques
0
Vulnérabilité critique

Hébergement 100 % France

Vos données ne quittent jamais le territoire européen.

L'infrastructure MissioFlow est hébergée chez OVHcloud, opérateur européen indépendant, dans des datacenters situés à Gravelines et Roubaix (France).

Certifications des datacenters :

  • ISO/IEC 27001 — système de management de la sécurité de l'information
  • ISO/IEC 27701 — extension pour la protection de la vie privée
  • HDS (Hébergeur de Données de Santé) — pour les données sensibles
  • SecNumCloud (selon datacenter) — référentiel ANSSI pour l'État et opérateurs critiques

Aucun transfert hors UE n'est effectué par défaut. Le seul sous-traitant avec transfert UE/USA est Stripe (traitement des paiements), encadré par les Clauses Contractuelles Types de la Commission européenne. Voir la liste complète sur missioflow.fr/sous-traitants.

Conformité RGPD native

Tous les documents et processus sont en place dès le premier jour.

Ce que vous obtenez automatiquement :

  • DPA signé à l'inscription (Accord de traitement des données, art. 28 RGPD) — voir le DPA
  • Registre des traitements tenu en interne (art. 30.2) — disponible sur demande motivée
  • Procédure de notification de violation sous 72h documentée (art. 33)
  • Sous-traitants ultérieurs listés publiquement avec notification préalable 30 jours avant tout changement — liste à jour
  • Export et suppression des données garantis en fin de contrat (format JSON/CSV structuré)
  • Droits des personnes concernées (accès, rectification, effacement, portabilité) — auto-gérables depuis l'interface administrateur

Pour toute question RGPD, contactez-nous à contact@taaazzz-prog.fr.

Sécurité applicative

Nos pratiques de développement sont auditées en continu.

Chiffrement et authentification

  • TLS 1.2 minimum sur toutes les connexions, certificats Let's Encrypt renouvelés automatiquement
  • Mots de passe hachés bcrypt (jamais stockés en clair), politique de complexité et verrouillage après échecs répétés
  • Sessions hardened : cookies HttpOnly, Secure, SameSite, use_strict_mode actif (anti session fixation)
  • Isolation par sous-domaine : le cookie d'un tenant ne peut jamais être envoyé à un autre tenant

Isolation multi-tenant

  • Chaque enregistrement en base est scopé par tenant_id, filtre systématique dans toutes les requêtes
  • Tests d'isolation automatisés dans notre chaîne d'intégration continue — une requête d'un tenant A qui remonterait des données d'un tenant B casse immédiatement le build
  • Clés étrangères CASCADE sur la table tenants : suppression d'un compte = suppression propre et complète de toutes les données liées

Qualité et audit du code

  • Analyse statique SonarQube à chaque livraison, avec portes de qualité bloquantes — pas de déploiement possible si une vulnérabilité critique est détectée
  • Tests unitaires et d'intégration automatisés (couverture > 70 %)
  • Revue de code systématique, intégration continue via GitLab auto-hébergé
  • Mise à jour régulière des dépendances, surveillance des CVE

Disponibilité et résilience

  • Sauvegardes quotidiennes automatiques, rotation 35 jours
  • Supervision continue (métriques système, alertes automatisées)
  • Plan de reprise d'activité documenté avec objectifs RTO/RPO adaptés
  • Disponibilité cible : 99 % mensuels (cf. CGV art. 6)

Traçabilité

  • Journalisation des connexions et actions sensibles
  • Conservation des journaux 12 mois
  • Corrélation des événements et alerting sur comportements anormaux

Support francophone

Un interlocuteur unique, joignable en français.

  • Horaires : lundi au vendredi, 9h — 12h et 14h — 18h (heure de Paris)
  • Délai de réponse : 48h ouvrées maximum
  • Canal : email à contact@taaazzz-prog.fr
  • Éditeur : Bruno Guns, Entreprise Individuelle Taaazzz-prog — responsable unique, pas de call-center ni de tickets errants

Documents de référence

Tout est public, à jour et téléchargeable.

Conditions Générales de Vente
Contrat commercial, SLA, résiliation
Accord de traitement des données
RGPD art. 28, 16 articles + 4 annexes
Politique de confidentialité
Traitement des données du site vitrine
Liste des sous-traitants
Transparence totale, notification 30j
Mentions légales
Éditeur, SIRET, hébergeur, conformité LCEN

Une question de conformité ?

Que vous soyez DPO, RSSI ou juriste d'entreprise, nous répondons à toutes les questions techniques et juridiques.

Nous contacter