RGPD & droit à l'oubli
Export prospect au format JSON, effacement complet en un appel API, token unsub unique par destinataire conforme RFC 8058. Fenêtre de grâce 7 jours, audit forensic conservé hors tenant.
Sécurité
Conformité RGPD , article par article.
Pas une page marketing. Une cartographie technique de ce que la loi impose et de ce qu'on a effectivement implémenté pour le respecter — code en main.
06 —
Sécurité & RGPD
Hébergé en France, chiffré en transit et au repos.
Pas de promesse vague. Voici exactement ce qu'on chiffre, où on le stocke, et comment on prouve qu'on ne triche pas — code en main.
Audit log SHA-256
Chaque mutation sensible ajoute un maillon hashé à la chaîne. Toute altération est détectable, exportable au DPO en JSON signé. Conservation 5 ans.
Une base PG par tenant
Isolation au moteur PostgreSQL — pas de schéma partagé, pas de row-level security commune. Séparation physique entre clients, garantie par migration.
Chiffrement AES-256-GCM
Clés API, mots de passe SMTP/IMAP et secrets webhook chiffrés avec une clé maître que vous gardez chez vous. Hébergement souverain FR · Allemagne · Pays-Bas, jamais hors UE.
- SPF · DKIM · DMARC vérifiés
- Sauvegardes chiffrées hebdomadaires
- Hébergement souverain (FR · DE · NL)
- Aucune donnée hors requête LLM
Articles RGPD
Ce que la loi exige, ce qu'on livre.
Art. 15 — Droit d'accès
Export self-service ZIP signé : profil, prospects, campagnes, emails envoyés, réponses. Téléchargement sous 60 secondes via lien signé HMAC SHA-256.
Art. 17 — Droit à l'effacement
Demande self-service avec fenêtre de grâce 7 jours (lecture seule). Confirmation email. DROP DATABASE atomique. Audit forensic conservé hors tenant.
Art. 30 — Registre de traitement
Audit chaîné SHA-256 immuable. Chaque action conservée 5 ans avec hash de la précédente. Exportable au DPO en JSON signé.
Art. 32 — Sécurité du traitement
Chiffrement at-rest AES-256, in-transit TLS 1.3, isolation tenant PostgreSQL. Backup quotidien chiffré, conservation 30 jours.