Annexe sécurité
Cette page décrit les mesures techniques et organisationnelles (MTO) mises en œuvre par Documail pour protéger les Documents et les données personnelles qui lui sont confiés. Elle constitue l'annexe sécurité visée par l'Accord de sous-traitance RGPD.
Dernière mise à jour : 1ᵉʳ juin 2026
1. Chiffrement
1.1 En transit
Toutes les communications avec le Service sont chiffrées via TLS 1.2 ou supérieur. Les certificats sont émis par Let's Encrypt et renouvelés automatiquement. Les en-têtes de sécurité (HSTS avec subdomaine et 1 an de durée, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy) sont appliqués sur l'ensemble des domaines publics.
1.2 Au repos
Les Documents sont stockés sur Amazon S3 avec chiffrement
côté serveur SSE-KMS activé sur l'ensemble des uploads,
avec journalisation CloudTrail des accès objets. La clé KMS
utilisée peut être une clé managée AWS (aws/s3) ou
une clé KMS dédiée à la production (option disponible pour les
Clients sensibles, sans surcoût ni opération de leur côté). Le
bucket applique également S3 Block Public Access
et refuse les requêtes non-TLS au niveau de la bucket policy.
La base de données PostgreSQL est hébergée sur un volume chiffré côté hyperviseur IONOS. Les sauvegardes de base de données sont également chiffrées avant transfert vers le bucket S3 dédié.
2. Contrôle d'accès
2.1 Authentification utilisateur
- Mot de passe : politique stricte (12 caractères minimum, majuscule, minuscule, chiffre, caractère spécial), haché en bcrypt côté serveur, jamais stocké en clair.
- Authentification forte (2FA / 3FA) : application TOTP et/ou code email, obligatoire pour tout nouvel appareil. Cookies de confiance d'appareil signés HMAC-SHA256 et révoqués automatiquement après changement de mot de passe.
- Verrouillage progressif après échecs de connexion répétés (5 = 5 min, 10 = 15 min, 20 = 1 h, 30 = 24 h).
- Rate-limiting des saisies de code 2FA par utilisateur et par IP pour bloquer les attaques par IP-hopping.
2.2 Accès interne / Éditeur
- Accès au panneau d'administration restreint par allowlist IP au niveau nginx + code administrateur (stocké en AWS Secrets Manager) + 2FA application.
- Principe du moindre privilège : aucun membre du personnel Documail n'accède aux Documents des Clients sans demande explicite (incident, support, demande de droit RGPD).
- Accès aux clés AWS et IONOS limités à la personne en charge de l'exploitation. Rotation périodique.
3. Isolation entre espaces de travail
Chaque Espace (workspace) Client est isolé logiquement au niveau base de données. Toutes les requêtes contiennent un filtre sur l'identifiant d'espace appliqué côté serveur ; ce filtre n'est pas négociable par le client. Les ressources S3 (Documents) sont indexées par identifiant d'espace pour empêcher tout accès croisé.
4. Journalisation
- Journal d'authentification (connexion, échec, 2FA, changement de mot de passe) — conservé 12 mois.
- Journal d'audit applicatif : actions sensibles tracées en base (login, 2FA enroll, changement de plan, kill-switch achats, suppression de dossier, promotion de rôle).
- Journal nginx d'accès — conservé 30 jours.
- Journal d'erreurs et de stack traces — conservé 90 jours.
5. Sauvegardes et restauration
- Base de données : dump complet (pg_dump format custom) toutes les 24 heures, chiffré et déposé sur un bucket S3 dédié en région eu-west-1.
- Documents : stockés sur S3 avec versioning activé + politique de cycle de vie. Aucun dépôt non chiffré n'est conservé.
- Rétention : 30 jours roulants pour les sauvegardes.
- Test de restauration : procédure documentée, testée au moins une fois par trimestre.
6. Gestion des incidents et des violations
Toute violation de données personnelles est traitée selon la procédure suivante :
- Détection et qualification dans les meilleurs délais ;
- Notification du Client concerné sous 72 heures à compter de la prise de connaissance, conformément à l'article 33 du RGPD ;
- Notification à la CNIL si le Client est responsable de traitement (assistance) ;
- Documentation interne : nature, catégories de données, personnes concernées, mesures de remédiation.
7. Sécurité applicative
- Stack maintenue à jour : FastAPI, Jinja2, psycopg, urllib3, certifi, Stripe SDK. Audit des dépendances et application des patchs de sécurité dans les meilleurs délais.
- Validation systématique des UUID, des e-mails, des entrées de formulaire ; protection contre les injections SQL via substitution paramétrée côté serveur.
- Échappement HTML par défaut sur tous les rendus de templates (autoescape Jinja).
- Conteneurs applicatifs exécutés en utilisateur non-root (UID 10001) avec limites mémoire Docker.
- Cookies de session signés HMAC-SHA256 avec attribut
HttpOnly,SecureetSameSite=Lax.
8. Suppression effective en fin de contrat
À la résiliation du contrat, un délai de 30 jours est laissé au Client pour exporter ses Documents. Au-delà, les Documents et les données du compte sont supprimés de la base de données et des sauvegardes au plus tard 60 jours après la fin du contrat, sauf obligation légale de conservation (facturation : 10 ans).
9. Configuration des traitements d'intelligence artificielle
Cette section décrit, à titre informatif, la configuration technique appliquée par défaut aux traitements IA opérés pour le compte des Clients. Les conditions particulières des Forfaits Enterprise et Sur devis peuvent prévoir des paramétrages renforcés.
| Fournisseur contractuel | OpenAI Ireland Ltd (Dublin, Irlande), entité de traitement pour l'Union européenne. |
| API utilisée | OpenAI API standard via clé serveur (pas d'API ChatGPT grand public, pas d'API « improvement » optionnelle). |
| Modèles | Famille GPT-4 (modèles d'analyse, de classification et d'extraction). Le modèle exact peut évoluer pour intégrer les améliorations et correctifs du fournisseur, sans altération des engagements de sécurité. |
| Région de traitement | OpenAI ne garantit pas de routage exclusivement UE pour son API standard ; un transfert technique vers les États-Unis est encadré par les CCT et le EU-US Data Privacy Framework (cf. DPA art. 6). |
| Entraînement | Aucun. Les contenus transmis via API ne sont pas utilisés pour entraîner, réentraîner ou améliorer les modèles d'OpenAI (garantie contractuelle API standard). |
| Rétention par défaut | Jusqu'à 30 jours côté OpenAI à des fins de sécurité et de détection d'abus, selon les conditions API en vigueur. |
| Option Zero Data Retention (ZDR) | Non activée par défaut. Activable pour les Clients Enterprise / Sur devis sur conditions particulières écrites, sous réserve d'éligibilité côté fournisseur. À défaut d'activation expresse, la rétention applicable est celle indiquée ci-dessus. |
| Journalisation Documail | Chaque appel IA est journalisé côté Documail (horodatage, espace, document concerné, résultat) sans conservation systématique du prompt complet en clair. |
| Masquage | Aucun masquage automatique des données par défaut : l'IA reçoit le contenu nécessaire à la classification ou à l'extraction. Le Client peut, sous sa responsabilité, ne pas charger les Documents qu'il ne souhaite pas faire analyser. |
Tout changement substantiel de cette configuration (fournisseur, rétention, transferts) est notifié au Client par e-mail au moins 30 jours à l'avance, conformément à l'article 11 du DPA.
10. Évolutions et amélioration continue
Documail revoit périodiquement ses mesures de sécurité et adapte cette annexe en fonction des évolutions techniques et réglementaires. La date de mise à jour ci-dessus reflète la dernière révision.
Demande d'évaluation sécurité ?
Pour les Clients souhaitant un échange détaillé sur la sécurité avant souscription (par exemple dans le cadre d'un audit fournisseur), écrivez à support@documail.fr.