La présente politique décrit les mesures techniques et organisationnelles mises en œuvre par IAMI pour assurer la sécurité et la confidentialité des données traitées via la plateforme IAMI, conformément à l'article 32 du RGPD. Elle est volontairement rédigée à un niveau public : le détail opérationnel (architecture interne, paramétrages, procédures internes) est documenté séparément et communiqué aux clients dans le cadre contractuel ou d'un audit encadré.
1. Hébergement
- Hébergeur : OVHcloud (OVH SAS), cloud souverain français.
- Région : GRA (Gravelines, Hauts-de-France, Union européenne). Aucune donnée de production n'est stockée hors UE.
- Certifications datacenter : ISO 27001, ISO 27701, ISO 50001, HDS pour les offres compatibles.
- Redondance haute disponibilité intra-région, sauvegardes chiffrées répliquées en second site UE.
- DPA OVHcloud signé, clauses RGPD intégrées.
2. Accès, isolation et authentification
- Isolation des environnements clients : séparation logique stricte des données par client ; les accès applicatifs sont contrôlés pour empêcher tout mélange de périmètres.
- Contrôle d'accès par rôles : habilitations fines (fonctions métier, administration, consultation) attribuées par le client.
- Authentification : sessions sécurisées pour le web, mécanismes adaptés pour les usages API ; politiques de mot de passe et protections contre les abus (limitation de fréquence, verrouillage).
- Chiffrement : communications en HTTPS ; mots de passe stockés sous forme dérivée (hachage) ; sauvegardes chiffrées ; traitement confidentiel des jetons d'intégration tiers (signature électronique, suites bureautiques) lorsque ces options sont activées.
3. Sécurité web et applicative
- Politique de navigateur renforcée (HSTS, en-têtes limitant le détournement de contenu et le MIME sniffing).
- Protection des actions sensibles contre les requêtes forgées (mécanismes de type jeton CSRF sur les parcours concernés).
- Limitation de débit sur les parcours sensibles pour réduire le risque d'abus automatisé.
4. Intelligence artificielle
Les fonctionnalités d'aide par IA proposées dans le service sont exécutées sur l'infrastructure IAMI en Union européenne, sans recours à des services d'IA grand public externes pour traiter les données métier des clients. Les sorties d'IA sont des aides à la décision ; la responsabilité des décisions finales (notamment en matière RH) incombe aux utilisateurs habilités du client, conformément au RGPD.
5. Journalisation et audit
- Conservation de journaux d'activité applicatifs pour la sécurité, la traçabilité des opérations sensibles et le support (durées paramétrables, typiquement de l'ordre de 12 mois sauf configuration ou obligation différente).
- Rotation des journaux techniques sur des durées courtes (de l'ordre de quelques mois).
- Prise en compte des demandes d'effacement / d'anonymisation dans les journaux lorsque la réglementation et le paramétrage le permettent.
6. Sauvegarde et reprise
- Sauvegardes régulières, réplication et chiffrement au repos, conformément aux engagements du SLA.
- Tests de restauration périodiques sur environnement isolé.
7. Sécurité du développement
- Hébergement du code en environnement restreint, branches protégées et revue de code obligatoire avant mise en production.
- Chaîne d'intégration et de déploiement automatisée, incluant tests et contrôles de sécurité sur les dépendances et le code.
- Gestion des secrets hors du code source (variables d'environnement et coffres adaptés).
- Veille et mise à jour régulière des composants tiers.
8. Gestion des tiers
Voir Déclaration des sous-traitants. Chaque sous-traitant est encadré par un DPA + SCC si hors UE.
9. Accès internes
- Principe du moindre privilège pour les collaborateurs.
- Accès production réservé à un nombre restreint d'administrateurs, avec MFA et journalisation.
- Séparation stricte dev / staging / production.
- Offboarding : révocation immédiate des accès au départ.
10. Gestion des vulnérabilités
- Contrôles automatisés à chaque déploiement (analyse statique, analyse des dépendances).
- Application des patches : critiques < 48 h, hauts < 7 j, moyens < 30 j.
- Signalement responsable : contact@iamisolutions.com (accusé de réception sous 48 h ouvrées).
11. Gestion d'incident
- Détection (monitoring ou signalement).
- Qualification dans l'heure.
- Confinement / mitigation.
- Analyse approfondie post-incident.
- Notification CNIL dans les 72 h si violation de données personnelles (art. 33).
- Communication aux personnes concernées si risque élevé (art. 34).
- Post-mortem écrit sous 7 jours.
12. Mesures organisationnelles
- Formation annuelle sécurité et RGPD.
- Clauses de confidentialité dans les contrats.
- Charte informatique interne signée.
- PIA/DPIA pour les traitements à risque élevé.
- Registre des traitements tenu à jour et accessible aux clients administrateurs depuis l'espace dédié à la conformité dans la Plateforme.
13. Conformité
- Hébergement ISO 27001 & 27701 (via OVHcloud).
- Conformité RGPD démontrable (audit interne, vérifications CNIL).
14. Contact sécurité
Signalement de vulnérabilité (responsible disclosure) : contact@iamisolutions.com
Nous accusons réception sous 48 h ouvrées et traitons les rapports avec diligence et confidentialité.