Sécurité ACF Compliance
ACF Compliance® traite des données ultra-sensibles : inventaire IA d'entreprises, classifications haut risque, AIPD et Dossiers de Saisine juridiques. Nous appliquons une posture sécurité de niveau bancaire / santé, calibrée sur les attentes des DSI, RSSI, DPO et juristes opérationnels.
Six piliers, un seul standard
Hébergement souverain UE
Plateforme hébergée sur Vercel (Francfort, Allemagne) et Supabase EU (Francfort) sur infrastructure AWS eu-central-1. Migration vers OVHcloud / Scaleway France au catalogue Enterprise (roadmap).
Chiffrement de bout en bout
AES-256-GCM au repos sur l'ensemble des données sensibles et tokens d'intégration. TLS 1.3 en transit, HSTS preload, certificats à courte durée de vie. Secrets applicatifs scellés par une SIGNING_MASTER_KEY dérivée, jamais exposés côté client.
Audit chain Ed25519
Chaque décision compliance majeure (classification AI Act, génération AIPD, transmission Dossier de Saisine) est horodatée et signée cryptographiquement (SHA-256 + Ed25519). Chaîne vérifiable indépendamment via API publique.
Horodatage qualifié eIDAS (option)
Pour les documents à opposabilité juridique renforcée, horodatage qualifié via Universign (PSCE certifié ANSSI, conforme règlement eIDAS 910/2014). Sceau RFC 3161 reconnu devant juridictions UE.
OAuth 2.0 + PKCE sur les 9 connecteurs
Connecteurs natifs Google Workspace, Microsoft 365, Microsoft Teams, Slack, Notion, Jira, Asana, HubSpot, Salesforce. Flux OAuth 2.0 avec PKCE, scopes minimums read-only, tokens chiffrés en DB, rotation automatique, jamais lus ni manipulés côté client.
RBAC + Row Level Security Supabase
Quatre rôles applicatifs : owner, admin, compliance_lead, member. Isolation stricte par organisation via Postgres RLS, double couche middleware Next.js + policies SQL. Aucune fuite cross-org possible même en cas de bug applicatif.
Un cap clair, des étapes documentées
Nous ne revendiquons que ce que nous pouvons démontrer. Les statuts ci-dessous sont mis à jour à chaque jalon d'audit.
RGPD article 32 — Mesures techniques en place
Mesures techniques et organisationnelles documentées (chiffrement, pseudonymisation, intégrité, confidentialité, résilience, tests réguliers). ROPA et DPIA à jour.
Audit trail vérifiable indépendamment
Chaîne cryptographique reconstructible exportable en PDF signé. Format tenant compte des lignes directrices CNIL (article 5.2 RGPD — accountability) et AI Office (article 12 AI Act — logs).
EU AI Act — Auto-évaluation
ACF Compliance n'utilise pas de système IA classé haut risque au sens annexe III du règlement. Notice de transparence article 50 publiée pour le module IA conversationnel (Advisor).
ISO 42001 / 27701 — Mise en conformité
Référentiels Artificial Intelligence Management System (42001) et Privacy Information Management System (27701) intégrés à la roadmap qualité 2027.
Liste partielle, transparence totale
Nous documentons chaque sous-traitant : finalité, localisation, mécanisme de transfert hors UE. Liste exhaustive et DPA détaillé disponibles en annexe contractuelle.
| Sous-traitant | Finalité | Localisation | Mécanisme de transfert |
|---|---|---|---|
| Vercel Inc. | Hébergement frontend | Francfort (DE) — région edge UE | EU-US Data Privacy Framework |
| Supabase Inc. | Authentification, base de données, stockage | AWS eu-central-1 (Francfort, DE) | SCC Commission UE 2021/914 |
| Resend Inc. | Emails transactionnels (magic link, notifications) | États-Unis (DPF) | EU-US Data Privacy Framework |
| Anthropic PBC | API Claude (PII rédactées en amont) | États-Unis (DPF) | SCC Commission UE 2021/914 |
| Stripe Payments Europe Ltd. | Paiements et facturation récurrente | Irlande (UE) | Traitement intra-UE |
| Cloudflare Inc. | DNS, CDN, captcha cookieless | États-Unis (DPF) — edge UE | EU-US Data Privacy Framework |
| Upstash Inc. | Rate limiting Redis serverless | AWS eu-west-1 (Irlande) | Traitement intra-UE |
Tous les transferts hors UE s'appuient sur des clauses contractuelles types adoptées par la Commission européenne (décision 2021/914) ou sur le cadre EU-US Data Privacy Framework. Aucune donnée client n'est transférée hors UE sans base juridique valide.
Signalement de vulnérabilités
Si vous découvrez une vulnérabilité, écrivez à security@acf-compliance.com. Nous accusons réception sous 72 heures. Voir notre security.txt (RFC 9116).
Politique : pas de poursuites légales si vous respectez nos règles (tests uniquement sur vos propres comptes, pas de DoS, pas d'exfiltration tiers, divulgation coordonnée).
Documentation disponible
- Accord de traitement des données (DPA)
- Politique de confidentialité
- Mentions légales
- Politique de cookies : aucun cookie marketing ni de tracking. Analytics Plausible cookieless.
- Politique de rétention, modèle de menace, plan de réponse à incident : disponibles sur demande sous NDA.
Besoin de notre security pack ?
DPA prêt à signer, due diligence questionnaire (CAIQ), liste exhaustive des sous-traitants, plan de réponse à incident, ROPA. Envoi sous 48 heures après NDA.
Dernière mise à jour : 21 mai 2026