Espace client
Balisio.
Parler à l'équipe Voir les consultations
Balisio Sécurité

Hébergement français · RGPD · feuille de route 2026

Un outil de service public, hébergé en conséquence.

Hébergement OVH (Gravelines, France). Aucune donnée personnelle ne quitte l'Union européenne. Page factuelle, sans argument commercial : nous distinguons clairement ce qui est actif aujourd'hui de ce qui est inscrit sur notre feuille de route 2026. Les DSI et les DPO nous demandent ces éléments, nous les publions tels quels.

Dossier de conformité pour votre DSI / DPO Les pièces attendues par votre service achats. Disponibilité honnête : ce qui est prêt aujourd'hui, ce qui est en préparation, sans simulation.
  • Attestation hébergement OVH France · sur demande
  • Registre des sous-traitants (OVH, Cloudflare, Brevo, Mistral AI) · sur demande
  • DPA (Data Processing Agreement) · en préparation T3 2026
  • PIA (modèle CNIL) · en préparation T3 2026
  • Audit RGAA 4.1 · en préparation T3 2026
  • PRA / PCA documenté · en préparation T3 2026

Légende : disponible · en préparation. Pour toute demande : [email protected].

Actif aujourd'hui

Mesures techniques en production, vérifiables.

Hébergement

Serveurs OVH Gravelines (Hauts-de-France). Aucun sous-traitant hors Union européenne pour le stockage et le traitement des données. Sous-traitants déclarés : OVH (hébergement), Cloudflare (CDN et protection DDoS), Brevo (envoi des e-mails transactionnels de connexion), Mistral AI (synthèse de contributions, en France).

Chiffrement en transit

TLS 1.3 minimum sur l'ensemble des communications publiques. HSTS activé. Certificats Let's Encrypt renouvelés automatiquement. Cookies de session marqués HttpOnly, Secure et SameSite=None.

Authentification

Connexion sans mot de passe : lien magique envoyé par e-mail (Brevo), valide 15 minutes, à usage unique avec fenêtre de tolérance de 60 secondes. Sessions limitées à 24 heures avec empreinte appareil (User-Agent + plage IP /24). Une seule session active par utilisateur : une nouvelle connexion révoque la précédente. Limite anti-abus de 5 tentatives par heure (par e-mail et par IP).

Double authentification (TOTP) obligatoire pour tous les rôles d'administration. Application standard (Google Authenticator, Microsoft Authenticator, 1Password, Bitwarden…). 10 codes de secours à usage unique générés à l'inscription.

Sauvegardes et reprise d'activité

  • Sauvegarde de la base par heure (rotation 30 jours, 720 instantanés). Empreinte SHA-256 vérifiée à chaque snapshot, refus en cas d'échec d'intégrité.
  • Test de restauration automatisé tous les trimestres (PRAGMA integrity_check + requêtes témoin sur les tables clé). Résultats journalisés.
  • Objectifs visés (en cours d'industrialisation pour la formule Entreprise) : RPO 1 heure, RTO 4 heures.

Isolation des données

Chaque collectivité dispose d'un espace logiquement isolé par code INSEE. Les agents n'accèdent qu'aux consultations et signalements de leurs communes affectées par le super-administrateur. Le contrôle d'accès est appliqué au niveau du serveur, pas seulement de l'interface. Aucune donnée n'est partagée entre collectivités sans consentement explicite.

Journal d'audit

Les actions sensibles (connexions, modifications de paramètres, génération de rapports, exports) sont journalisées et exportables. Les rapports d'IA portent une empreinte SHA-256 du corpus de contributions, vérifiable à tout moment via /verify/. Chaque contribution porte également un hash individuel : les citations du rapport, les pins du tableau de bord et les réponses de l'assistant IA renvoient à ces empreintes, permettant une vérification croisée par n'importe quel tiers.

Assistant IA · verrou de corpus

L'assistant IA (Mistral, hébergé Union européenne) opère exclusivement sur le corpus de la consultation concernée. Le prompt système interdit toute réponse hors-corpus et exige une citation par empreinte cryptographique pour chaque affirmation factuelle. Toute question non liée au corpus reçoit un refus explicite. L'historique de conversation est conservé côté client uniquement, jamais persisté en base.

Gestion des incidents

Notification sous 72 heures de tout incident susceptible d'affecter les données d'une collectivité, conformément à l'article 33 du RGPD. Contact : [email protected].

Divulgation responsable

Pour signaler une vulnérabilité : [email protected]. Délai d'accusé de réception sous 72 heures ouvrées. Délai de divulgation publique : 90 jours minimum après correction. Un programme Bug Bounty formel (YesWeHack) est prévu en T4 2026.

Feuille de route 2026

Engagements datés. Les éléments ci-dessous ne sont pas encore en production.

T3 2026 (juil-sept)

  • Chiffrement au repos AES-256 de la base SQLite (SQLCipher) et des sauvegardes hors-site.
  • Sauvegardes hors-site chiffrées vers OVH Object Storage (Roubaix), rotation 90 jours.
  • FranceConnect (citoyens) et ProConnect (agents) sur les consultations à actes engageants (pétitions à seuil, votations officielles).
  • Audit RGAA 4.1 par auditeur certifié externe.
  • DPA (Data Processing Agreement) et modèle de PIA CNIL prêts à signature.
  • Désignation formelle d'un DPO mutualisé.

T4 2026 (oct-déc)

  • Bug bounty public via YesWeHack.
  • Audit pentest externe par un cabinet PASSI (qualification ANSSI).
  • Monitoring 24/7 (sondes externes UptimeRobot) alimentant la page de statut qui existe déjà en version déclarative.

2027 et au-delà

  • Certification ISO 27001.
  • Compatibilité technique SecNumCloud pour les dossiers ANSSI sensibles (formule Entreprise).
  • SLA contractuel sur la disponibilité (formule Entreprise).

Dernière mise à jour : 29 mai 2026. Cette page est révisée à chaque évolution du périmètre sécurité.