1. Hébergement et infrastructure
WebConforme est hébergé chez Hetzner Online GmbH, société allemande dont le siège est à Gunzenhausen (Allemagne). Nos serveurs de production sont physiquement situés dans le datacenter de Nuremberg (NBG1), Allemagne, territoire de l'Union Européenne. Aucune donnée applicative ni donnée client n'est stockée ou traitée hors UE dans le cadre du fonctionnement normal du service.
Hetzner est certifié ISO 27001 pour l'ensemble de ses datacenters européens. Un audit annuel de conformité est réalisé par TÜV Rheinland, organisme indépendant, en application de l'article 32 du RGPD. Le rapport d'audit le plus récent (février 2026) est disponible sur demande via dpo@webconforme.fr.
Un Accord de Sous-Traitance (DPA, article 28 RGPD) a été signé avec Hetzner Online GmbH le 17 avril 2026.
2. Chiffrement
En transit : toutes les communications sont protégées par TLS 1.3, terminaison assurée par Caddy avec renouvellement automatique des certificats. HSTS activé avec preload (max-age=63072000).
Au repos : les données applicatives (PostgreSQL, Redis) sont stockées sur les volumes du serveur Hetzner Cloud. Le chiffrement disque est assuré au niveau de l'infrastructure Hetzner. Les mots de passe utilisateurs sont hachés via bcrypt (cost 12) avec sel aléatoire.
Secrets applicatifs : clés API, tokens Stripe, credentials SMTP sont isolés dans des variables d'environnement chiffrées, jamais versionnées, jamais loguées.
3. Authentification et contrôle d'accès
Authentification par email + mot de passe (12 caractères minimum, validé contre les dictionnaires de mots de passe compromis). Tokens d'accès JWT signés HS256, expiration 30 minutes, refresh token 7 jours.
L'accès administrateur à l'infrastructure Hetzner est protégé par authentification à deux facteurs (TOTP). Recovery key stockée hors ligne dans un coffre chiffré.
2FA utilisateur final (TOTP) et SSO SAML Enterprise : roadmap T3-T4 2026.
4. Sauvegardes et continuité
La base de données et l'intégralité du serveur sont sauvegardées automatiquement chaque jour via le service Backups natif de Hetzner. Rétention de 7 jours glissants (7 snapshots rotatifs).
Les sauvegardes sont chiffrées et stockées sur l'infrastructure Hetzner, indépendamment du serveur de production.
Un test de restauration complet est effectué tous les 90 jours sur un environnement de staging.
RTO : 24 heures. RPO : 24 heures. Disponibilité cible : ≥ 99,5 % mensuel (≥ 99,9 % contractuel sur le plan Enterprise).
5. Rétention des données
| Donnée | Durée | Base légale |
|---|---|---|
| Compte utilisateur actif | Durée de l'abonnement + 3 ans | Exécution du contrat + obligations légales |
| Compte supprimé | Anonymisation immédiate, logs 12 mois | Intérêt légitime (sécurité) |
| Leads scan gratuit (emails captés) | 24 mois | Intérêt légitime B2B (art. 6.1.f RGPD) |
| Rapports de scan | Durée du compte + 30 jours | Exécution du contrat |
| Facturation Stripe | 10 ans | Obligation comptable (C. com. L.123-22) |
| Événements analytics (/api/c) | 12 mois glissants | Intérêt légitime (mesure d'audience) |
6. Sous-traitants
Liste des sous-traitants ayant accès, même limité, à des données personnelles. Toute modification est publiée ici avec un préavis de 30 jours avant mise en production.
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement serveur (application, PostgreSQL, Redis) | Allemagne (Nuremberg NBG1) | ISO 27001 certifié, audit TÜV Rheinland annuel, DPA art. 28 signé 17/04/2026 |
| OVHcloud SAS | Nom de domaine + serveur SMTP sortant (emails transactionnels via ssl0.ovh.net) | France | ISO 27001, ISO 27017, ISO 27018, HDS, DPA signé |
| Stripe Payments Europe Ltd | Traitement des paiements en ligne | Irlande (UE) | PCI DSS niveau 1, DPA signé |
| Google Ireland Ltd | Google Tag Manager (mesure d'audience, conditionnée au consentement cookies) | Irlande (UE) et États-Unis | Clauses Contractuelles Types UE 2021/914, Data Privacy Framework |
7. Certifications & engagements
WebConforme n'est pas encore certifié ISO 27001 ni SOC 2 — c'est un choix de transparence et un calendrier assumé. Notre niveau de sécurité s'appuie sur les certifications publiques de nos sous-traitants, sur un socle technique documenté, et sur des engagements RGPD contractuels.
Certifications de nos sous-traitants
| Sous-traitant | Certifications publiques |
|---|---|
| Hetzner Online GmbH | ISO/IEC 27001 + audit annuel TÜV Rheinland |
| Stripe Payments Europe Ltd | PCI DSS niveau 1 + ISO/IEC 27001 |
| Google Ireland Ltd | ISO/IEC 27001, 27017, 27018 + Data Privacy Framework |
| OVHcloud SAS | ISO/IEC 27001, 27017, 27018 + HDS |
Mesures techniques appliquées
- TLS 1.3 + HSTS preload (
max-age=63072000) sur l'ensemble des endpoints publics. - Hachage bcrypt cost 12 avec sel aléatoire pour tous les mots de passe utilisateurs.
- JWT HS256, expiration 30 minutes, refresh token 7 jours, rotation au login.
- MFA (TOTP) sur l'accès administrateur à l'infrastructure Hetzner.
- Backups Hetzner quotidiens avec rétention 7 jours glissants.
- Isolation Docker privée — PostgreSQL et Redis ne sont jamais exposés sur l'Internet public, réseau interne
webconforme. - Protection SSRF sur la fonctionnalité de scan : validation stricte des URLs cibles, blocage des plages privées et des métadonnées cloud.
- RBAC (Role-Based Access Control) sur les endpoints sensibles, séparation utilisateur / administrateur côté API.
- Journalisation des événements critiques (auth, modifications d'abonnement, scans) dans la table
events, rétention 12 mois glissants.
Engagements RGPD
- DPA Hetzner (article 28 RGPD) signé le 17 avril 2026.
- DPA Stripe et DPA Google acceptés par adhésion (cadres contractuels standards mis à disposition par ces fournisseurs).
- Registre des activités de traitement tenu à jour en application de l'article 30 RGPD.
- Notification des violations à la CNIL sous 72 heures (article 33 RGPD) et aux personnes concernées en cas de risque élevé (article 34).
- Liste publique des sous-processeurs maintenue à jour sur cette page (§ 6), préavis 30 jours avant tout ajout.
Feuille de route sécurité
- Q3 2026 : pentest externe par un cabinet indépendant, rapport partageable sous NDA.
- Q4 2026 : démarche de certification ISO/IEC 27001 initiée.
- En continu : veille CVE et mises à jour des dépendances (backend Python + frontend Node).
8. Divulgation responsable de vulnérabilités
Nous encourageons la divulgation responsable. Si vous identifiez une faille, contactez-nous en priorité avant toute publication.
Point de contact sécurité
Email : security@webconforme.fr
Accusé de réception sous 48 h ouvrées. Correctif critique sous 30 jours.
Nous nous engageons à ne pas engager de poursuites contre un chercheur de bonne foi respectant ce canal et ne publiant pas la faille avant correctif.
9. Notification d'incidents
- CNIL : en cas de violation susceptible de créer un risque pour les droits et libertés, notification sous 72 heures (art. 33 RGPD).
- Clients impactés : notification directe par email dans les 72 heures en cas de risque élevé (art. 34 RGPD).
- Point de contact DPO : dpo@webconforme.fr.
10. Roadmap Enterprise
Fonctionnalités sécurité annoncées pour le plan Enterprise — non encore implémentées dans le produit à ce jour, disponibles sur contractualisation :
- SSO / SAML 2.0 (Okta, Azure AD, Google Workspace) — roadmap T3-T4 2026.
- 2FA utilisateur final (TOTP) — roadmap T3-T4 2026.
- Logs d'audit exportables au format SIEM-compatible, rétention étendue à 36 mois.
- Accord de confidentialité renforcé (NDA + DPA négocié).
- Pentest annuel par tiers indépendant, rapport partageable sous NDA.
Pour discuter d'un déploiement Enterprise : Parler à un humain →
11. DPA et documents contractuels
Un accord de traitement des données (Data Processing Agreement) pré-rempli est disponible sur simple demande, conforme au RGPD article 28 et aux clauses contractuelles types UE 2021/914.
Télécharger le DPA pré-rempli →
Autres documents sur demande : registre des traitements, détail des mesures de sécurité, rapport d'audit TÜV Rheinland le plus récent, rapport de pentest sous NDA (quand disponible).
Une question sur notre sécurité ?
Questions commerciales (RFP, évaluation fournisseur) : /contact-enterprise. Questions techniques (incident, vulnérabilité) : security@webconforme.fr. Questions RGPD : dpo@webconforme.fr.