Estimer mon projet
Contact

Mesures techniques et organisationnelles de sécurité des données

Version 1.0 — Mars 2026La présente page décrit les mesures techniques et organisationnelles mises en œuvre par l’Agence afin d’assurer un niveau de sécurité approprié au regard des risques pour les droits et libertés des personnes concernées, conformément notamment à l’article 32 du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »).Ces mesures visent à protéger les données à caractère personnel contre toute destruction, perte, altération, divulgation non autorisée ou accès non autorisé.

1. Organisation et gouvernance de la sécuritéL’accès aux données personnelles est strictement limité aux personnes habilitées dans le cadre de leurs fonctions.Les mesures organisationnelles suivantes sont mises en œuvre :

  • limitation de l’accès aux données aux seuls collaborateurs ou prestataires nécessitant cet accès pour l’exécution des prestations ;
  • engagements de confidentialité applicables aux personnes ayant accès aux données ;
  • sensibilisation aux bonnes pratiques de sécurité informatique ;
  • gestion des habilitations selon le principe du moindre privilège ;
  • utilisation d’un gestionnaire sécurisé de mots de passe pour la gestion des identifiants d’accès.

Lorsque des prestataires externes ou freelances participent aux prestations, leur accès aux systèmes est encadré et limité aux besoins strictement nécessaires à leur mission.

2. Hébergement et sécurité de l’infrastructureLes applications et données sont hébergées sur l’infrastructure de l’hébergeur Clever Cloud, dont les infrastructures sont situées en France.Les mesures de sécurité suivantes sont mises en œuvre :

  • hébergement dans des centres de données sécurisés ;
  • protection des infrastructures par les mécanismes de sécurité de l’hébergeur ;
  • isolation des environnements applicatifs ;
  • chiffrement des communications via le protocole HTTPS/TLS ;
  • gestion des certificats de sécurité par la plateforme d’hébergement.

Les données peuvent être stockées sur des systèmes bénéficiant de mécanismes de sécurité gérés par l’hébergeur, notamment en matière de chiffrement au repos.

3. Segmentation des environnementsAfin de limiter les risques d’accès non autorisé ou de modification accidentelle des données, plusieurs environnements distincts sont utilisés :

  • environnement de développement ;
  • environnement de staging ;
  • environnement de préproduction ;
  • environnement de production.

Les environnements de test sont séparés de l’environnement de production afin de limiter les risques de manipulation de données réelles lors des phases de développement ou de validation.

4. Gestion des accèsL’accès aux systèmes de production est restreint à un nombre limité de personnes habilitées.Les mesures suivantes sont mises en œuvre :

  • authentification sécurisée pour l’accès aux environnements techniques ;
  • utilisation de l’authentification multi-facteurs pour les accès sensibles lorsque cela est possible ;
  • gestion centralisée et sécurisée des mots de passe via un gestionnaire dédié ;
  • limitation du nombre de personnes ayant accès aux environnements de production.

À la date de la présente version, l’accès aux environnements de production est limité à un nombre restreint de personnes techniques habilitées.

5. Sécurité applicativeLe développement et la maintenance des applications intègrent des mesures visant à réduire les risques de vulnérabilités.Les pratiques suivantes sont notamment appliquées :

  • utilisation de frameworks reconnus (notamment Strapi, React, Next.js et NestJS) ;
  • validation des évolutions applicatives avant mise en production ;
  • revue des développements par les équipes techniques et les responsables de projet ;
  • tests fonctionnels et qualité avant déploiement ;
  • déploiement des applications via des processus automatisés.

Ces pratiques visent notamment à réduire les risques liés aux principales vulnérabilités applicatives.

6. Sauvegardes et continuité d’activitéDes mécanismes de sauvegarde sont mis en œuvre afin de prévenir la perte de données.Les mesures suivantes sont appliquées :

  • sauvegardes automatiques des données ;
  • fréquence quotidienne des sauvegardes ;
  • stockage sécurisé des sauvegardes via l’infrastructure d’hébergement ;
  • possibilité de restauration des données à partir des sauvegardes.

Des tests de restauration peuvent être réalisés afin de vérifier la disponibilité des sauvegardes.

7. Journalisation et surveillanceDes mécanismes de journalisation et de surveillance peuvent être mis en place afin de détecter d’éventuels dysfonctionnements ou accès non autorisés.Ces mécanismes peuvent inclure :

  • journaux d’accès aux systèmes ;
  • journaux applicatifs ;
  • surveillance technique de l’infrastructure.

8. Gestion des incidents de sécuritéEn cas d’incident de sécurité susceptible d’affecter des données à caractère personnel, l’Agence met en œuvre les actions nécessaires pour :

  • identifier et contenir l’incident ;
  • limiter les impacts éventuels ;
  • analyser l’origine de l’incident ;
  • mettre en place les mesures correctives nécessaires.

Lorsqu’une violation de données personnelles est identifiée et qu’elle concerne des données traitées pour le compte d’un client, celui-ci est informé dans les meilleurs délais afin de lui permettre de respecter ses propres obligations réglementaires.

9. Sous-traitants techniquesDans le cadre de la fourniture des services, l’Agence peut recourir à des prestataires techniques (hébergement, services techniques, outils logiciels).Ces prestataires sont sélectionnés avec attention et sont tenus de mettre en œuvre des mesures de sécurité appropriées pour la protection des données.Certains services tiers utilisés dans le cadre du fonctionnement des services peuvent être situés en dehors de l’Union européenne. Lorsque cela est le cas, les mécanismes juridiques appropriés sont mis en œuvre conformément à la réglementation applicable.

10. Suppression et restitution des donnéesÀ la fin de la relation contractuelle, les données personnelles peuvent être :

  • restituées au Client lorsque cela est applicable ;
  • supprimées des systèmes de production dans un délai raisonnable.

Les sauvegardes peuvent être conservées pendant une durée limitée nécessaire aux contraintes techniques et de sécurité avant leur suppression définitive.

11. Évolution des mesures de sécuritéLes présentes mesures peuvent évoluer afin de maintenir un niveau de sécurité adapté aux risques, aux évolutions technologiques et aux pratiques du secteur.Toute évolution vise à maintenir ou améliorer le niveau global de sécurité.