Sécurité
Vue d'ensemble des mesures techniques et organisationnelles mises en oeuvre pour protéger les données traitées par CheckMails.eu. Dernière mise à jour : 3 mai 2026.
1. Hébergement en Union européenne
L'ensemble de notre infrastructure est hébergé chez Scaleway SAS, opérateur français indépendant. Les données sont stockées exclusivement dans les régions Paris (France) et Varsovie (Pologne). Aucun transfert des données de vérification n'est effectué hors UE.
2. Chiffrement en transit
Les communications avec la plateforme sont chiffrées par TLS 1.2 ou supérieur. Le protocole HTTP non chiffré redirige vers HTTPS et l'en-tête Strict-Transport-Security (HSTS) est appliqué en production. Les en-têtes X-Frame-Options, X-Content-Type-Options, Referrer-Policy et une Content-Security-Policy stricte sont activés.
3. Protection des authentifiants
Les mots de passe sont stockés sous forme de hachage bcrypt avec un facteur de coût suffisant pour résister aux attaques par force brute hors-ligne. Aucun mot de passe n'est jamais conservé en clair, ni transmis à un tiers.
Les sessions utilisent des cookies httpOnly, Secure (en TLS) et SameSite=Lax avec un identifiant de session non devinable. Les codes de vérification e-mail et tokens de réinitialisation sont à usage unique avec durée de vie courte.
4. Suppression automatique des données
La minimisation des données est un engagement central :
- Le fichier source téléversé est supprimé immédiatement après génération des résultats.
- Les résultats de vérification (xlsx, pdf, json) sont supprimés automatiquement 30 jours après la fin du traitement.
- Une tâche de purge périodique nettoie les artefacts et les entrées de cache obsolètes.
- Vous pouvez demander la suppression immédiate d'un job ou de votre compte à tout moment depuis votre tableau de bord.
5. Sauvegardes
Des sauvegardes chiffrées sont réalisées régulièrement et conservées dans une région EU distincte de la production. Les politiques de retention des sauvegardes respectent les mêmes principes de minimisation que les données de production. Pour des raisons de sécurité nous ne détaillons pas publiquement la fréquence ni les emplacements précis.
6. Contrôle d'accès et journalisation
L'accès aux données de production est restreint au personnel strictement nécessaire (principe du moindre privilège), soumis à une obligation contractuelle de confidentialité. Les actions sensibles font l'objet d'une journalisation et d'une supervision continues. Une limitation de débit (rate limiting) protège les endpoints d'authentification.
7. Notification de violation de données
En cas de violation de données au sens de l'article 4.12 du RGPD, nous appliquons la procédure suivante :
- Qualification de l'incident et évaluation du risque pour les droits et libertés des personnes concernées.
- Notification à la CNIL dans les 72 heures (article 33 RGPD) lorsque le risque le justifie.
- Notification aux clients-responsables sous 24 heures (cf. DPA, article 5).
- Information des personnes concernées dans les meilleurs délais en cas de risque élevé (article 34 RGPD).
- Plan de remédiation et post-mortem documentés en interne.
8. Sous-traitants
La liste complète et à jour de nos sous-traitants techniques est publiée sur la page Sous-traitants. Chaque sous-traitant est sélectionné sur la base de garanties de sécurité suffisantes (art. 28 RGPD).
9. Disclosure responsable
Si vous identifiez une vulnérabilité de sécurité, nous vous remercions de nous la signaler de façon responsable, sans tenter d'exploiter ni de divulguer publiquement avant correction : {security@checkmails.eu}. Une clé PGP sera publiée prochainement pour les communications chiffrées.