Espace client
Balisio.
Parler à l'équipe Voir les consultations
Balisio Sécurité

Hébergement · RGPD · SecNumCloud

Un outil de service public, hébergé comme un outil de service public.

Hébergement OVH (Gravelines, France). Aucune donnée personnelle ne quitte l'Union européenne. Conforme RGPD, RGAA 4.1, compatible SecNumCloud. Ce qui suit est factuel, pas commercial : les DSI et les DPO le demandent, nous le publions.

Dossier de conformité pour votre DSI / DPO Les six pièces attendues par votre service achats lors de la consultation, téléchargeables en un clic. Personnalisables sur demande.
DPA signé PIA (CNIL) Liste sous-traitants Audit RGAA 4.1 PRA / PCA Attestation OVH

Pièces à jour au 23 avril 2026. L'attestation ISO 27001 (certification en cours) sera versée au dossier d'ici octobre 2026. Contact : [email protected].

Hébergement

Serveurs OVH Gravelines (Hauts-de-France). Aucun sous-traitant hors Union européenne. Sauvegardes chiffrées répliquées sur le site OVH de Roubaix.

Certifications en vigueur

  • RGPD : registre des traitements tenu à jour, analyse d'impact (AIPD) disponible sur demande, DPO désigné. Base légale conforme à l'article 6 du RGPD.
  • RGAA 4.1 : audit annuel par un auditeur certifié indépendant. Taux de conformité affiché sur la page dédiée, conformément au CRPA.
  • ISO 27001 : certification en cours, livraison prévue au quatrième trimestre 2026.
  • SecNumCloud : compatibilité technique attestée sur demande pour les dossiers soumis à l'ANSSI (formule Entreprise).

Chiffrement

  • TLS 1.3 au minimum sur l'ensemble des communications. HSTS activé. Certificats Let's Encrypt renouvelés automatiquement.
  • Chiffrement au repos AES-256 pour les bases de données et les sauvegardes.
  • Mots de passe hachés avec Argon2id, selon les paramètres recommandés par l'OWASP.

Authentification

FranceConnect et ProConnect disponibles en option. Toute authentification forte est inscrite dans le registre horodaté de la consultation. Authentification multifacteur (MFA) obligatoire pour les rôles d'administration.

Sauvegardes et reprise d'activité

  • Sauvegardes horaires. Durée de conservation : 30 jours (90 jours pour la formule Entreprise).
  • RTO : 4 heures. RPO : 1 heure.
  • Tests de restauration trimestriels.

Isolation des données

Chaque collectivité dispose d'un espace logiquement isolé. Aucune donnée n'est partagée entre collectivités, sauf consentement explicite : c'est le cas, par exemple, du Comparateur inter-communes, dont les données sont agrégées et anonymisées.

Journal de sécurité

Toutes les actions d'administration (connexion, modification de paramètres, exports) sont journalisées et consultables par la collectivité depuis son espace client. Journal immuable, horodaté, exportable.

Gestion des incidents

Engagement de notification sous 72 heures pour tout incident susceptible d'affecter les données d'une collectivité, conformément à l'article 33 du RGPD. Contact dédié : [email protected] (réponse sous 4 heures ouvrées, 1 heure pour la formule Entreprise sous SLA).

Divulgation responsable

Balisio encourage la divulgation responsable des vulnérabilités. Un programme Bug Bounty (via YesWeHack) est en préparation. Dans l'intervalle, vos rapports sont à adresser à [email protected] (clé PGP disponible). Délai de publication : 90 jours minimum.

Dernière mise à jour : 23 avril 2026.