Retour à l'accueil

Sécurité et conformité

Comment nous protégeons votre plateforme, vos contacts et vos campagnes.

Dernière mise à jour : 26 février 2026

RGPD natif

Hébergement Europe et droits utilisateurs respectés.

Données chiffrées

TLS en transit, AES-256-GCM pour les clés en base.

Monitoring 24 / 7

Détection automatique des anomalies via Sentry.

1. Chiffrement et protection des données

Toutes les communications avec MarketingAtelier passent par TLS 1.3. Les mots de passe sont hashés avec bcrypt et ne sont jamais stockés en clair. Les clés API tierces (Stripe, ESP, OAuth réseaux sociaux) sont chiffrées AES-256-GCM en base avec des clés dédiées par usage.

  • Chiffrement TLS 1.3 sur toutes les requêtes (front, API, DB).
  • Mots de passe hashés avec bcrypt, jamais en clair.
  • Clés Stripe (utilisateur), tokens ESP, tokens LinkedIn et Meta : chiffrement AES-256-GCM en base.
  • JWT signés HMAC-SHA256 pour les sessions membres des sites publiés.

2. Infrastructure

La plateforme repose sur trois fournisseurs principaux, chacun avec son périmètre de sécurité.

  • Supabase — base de données PostgreSQL avec Row Level Security (RLS), authentification, stockage de fichiers. Hébergement Europe (région Francfort).
  • Vercel — hébergement de la plateforme applicative, déploiement continu depuis Git. Région iad1 (États-Unis).
  • Cloudflare Pages — hébergement des sites publiés via WebAtelier. Réseau mondial CDN.

Sauvegardes quotidiennes automatiques côté Supabase, redondance géographique sur Cloudflare, isolation par RLS au niveau des données utilisateurs.

3. Authentification et accès

  • Authentification utilisateur via Supabase Auth (email + mot de passe, OAuth en option).
  • Sessions sécurisées avec rotation automatique des tokens.
  • Workspace multi-utilisateurs avec rôles granulaires (admin, membre, lecteur).
  • Row Level Security (RLS) PostgreSQL appliqué sur toutes les tables : un utilisateur ne peut accéder qu'à ses propres données et à celles de son workspace.
  • Accès production interne avec principe du moindre privilège.

4. Protection des contenus utilisateurs

Les contenus et données générés par les utilisateurs (templates, contacts CRM, sites web, posts sociaux) restent leur propriété. Aucune donnée n'est utilisée pour entraîner les modèles IA tiers (Anthropic, OpenAI, Replicate, fal.ai).

  • Sanitization HTML systématique (isomorphic-dompurify) avant tout rendu pour prévenir les XSS.
  • Validation et nettoyage des entrées utilisateur (Zod sur les API critiques).
  • Protection contre les injections SQL via les requêtes paramétrées Supabase.
  • Headers de sécurité stricts : Content-Security-Policy, X-Frame-Options, HSTS.
  • Rate limiting sur les endpoints publics (formulaires, analytics) via Upstash Redis.

5. Conformité RGPD

MarketingAtelier est conforme au Règlement Général sur la Protection des Données. Les utilisateurs disposent de tous leurs droits.

  • Consentement explicite et granulaire (par canal et type de message) pour les contacts CRM.
  • Audit trail immuable des consentements (ajout, modification, retrait).
  • Droit d'accès, de rectification, de suppression et de portabilité.
  • Export complet des données en un clic depuis l'espace utilisateur.
  • Notification des violations de données sous 72 heures, conformément à l'obligation légale.

Vos données ne sont jamais vendues, jamais utilisées pour entraîner les modèles IA tiers, jamais transférées hors des sous-traitants techniques listés dans notre politique de confidentialité.

6. Détection et réponse aux incidents

Le monitoring est continu via Sentry. Toute anomalie déclenche une alerte vers l'équipe technique. La procédure de réponse aux incidents suit quatre phases :

  1. Détection (moins de 5 minutes) — les systèmes de monitoring détectent automatiquement les anomalies (erreurs serveur, latences, tentatives d'accès suspectes).
  2. Évaluation (moins de 30 minutes) — l'équipe technique évalue la gravité et l'impact de l'incident.
  3. Confinement (moins de 2 heures) — isolation de la menace, rotation des secrets si nécessaire, limitation de la propagation.
  4. Notification (moins de 72 heures) — communication aux utilisateurs impactés et aux autorités compétentes (CNIL en cas de violation de données).

7. Bonnes pratiques de développement

  • Validation et sanitization de toutes les entrées utilisateur.
  • Protection contre les injections SQL, XSS et CSRF.
  • Headers de sécurité stricts (CSP, HSTS, X-Frame-Options).
  • Dépendances mises à jour régulièrement (audit automatique).
  • Séparation des environnements (dev, staging, production).
  • Code review obligatoire avant tout déploiement en production.
  • Tests automatisés sur les flux critiques (auth, paiement, RGPD).

8. Conformité et certifications

MarketingAtelier est en conformité native avec le RGPD. Des démarches de certification supplémentaires sont en cours.

  • RGPD — conformité native depuis le démarrage de la plateforme.
  • ISO 27001 — certification en cours d'évaluation.
  • SOC 2 Type II — démarche planifiée pour 2027.

9. Signaler une vulnérabilité

Si vous découvrez une vulnérabilité de sécurité, nous vous remercions de nous la signaler de manière responsable. Nous nous engageons à étudier votre signalement, à corriger la faille et à vous tenir informé des suites données.

Pour signaler une vulnérabilité, utilisez notre formulaire de contact en précisant « Signalement sécurité » dans le sujet.