Sécurité et conformité

Sécurité et conformité : périmètres clairs, responsabilités nommées

La confiance repose sur des rôles explicites. Cette page résume nos pratiques courantes en mission ; elle ne remplace ni une clause contractuelle, ni un avis juridique, ni un audit de sécurité tiers.

Echanger avec un expert

Contenu

Pour qui et quel périmètre

Directions digitales, DSI, responsables métier et conformité qui veulent un site ou un applicatif tenable sans zone grise sur les données.

Nous clarifions ce que nous opérons (développement, hébergement recommandé, durcissement) et ce qui dépend de vos procédures internes (mots de passe, gouvernance des comptes).

Livrables opérationnels en mission

RGPD : finalités des formulaires, durées de conservation documentées avec vous, lien vers la politique de confidentialité, identification des sous-traitants (hébergeur, email, analytics) et DPA lorsque la plateforme le permet.

Hébergement : privilégier l’UE quand le projet l’exige ; documenter la chaîne (hébergeur, CDN, emails, analytics) et qui en est responsable.

Sauvegardes et accès : plans adaptés au risque (vitrine, e-commerce, applicatif), tests de restauration si le SLA l’impose, moindre privilège sur les comptes admin, secrets hors documentation publique.

Limites et coopération avec vos conseils

Pas de SOC 24/7 en standard, pas de DPO dédié, pas de substitution à un audit réglementaire sectoriel (santé, bancaire, etc.).

La sécurité finale dépend aussi de vos comptes et procédures : nous coopérons avec vos juristes ou DPO pour sécuriser l’exécution technique.

Preuves terrain (sans promesse de conformité)

Médiasanté : formulaires, finalités et parcours santé cadrés avec vous avant mise en ligne.

Arkive (RAG) : périmètre des sources, journaux et garde-fous documentés avant exposition aux utilisateurs.

Espace Support (ticketing) : accès, rôles et sauvegardes adaptés à un outil métier interne.

Demander un cadrage Politique de confidentialité Gouvernance IA IA responsable Mission Arkive (données)Mission Médiasanté Mission Espace Support Notre méthode Nous contacter

Proposez-vous un DPO ?

Non en standard. Nous pouvons vous orienter vers un partenaire si votre traitement l’exige. Les bases légales et registres restent validés de votre côté.

Où sont hébergées les données ?

C’est paramétrable projet par projet. Nous documentons les emplacements dans les livrables et renvoyons vers la politique de confidentialité pour le détail public.

Faites-vous des tests de sécurité avancés ?

Nous appliquons durcissement et revue technique courante. Pour un pentest ou un audit réglementaire poussé, nous recommandons un tiers qualifié quand le risque ou le secteur l’exige.

Différence avec la page Gouvernance IA ?

Cette page couvre l’infrastructure et le RGPD web classique. La gouvernance IA traite les usages d’intelligence artificielle (AI Act, fournisseurs de modèles, traçabilité des réponses).

Qui est responsable en cas d’incident ?

Cela dépend du périmètre contractuel (développement, hébergement, exploitation). Nous clarifions les rôles en amont pour éviter les angles morts.