Sécurité et protection des données

1. Notre approche

Elevorio traite des données commerciales sensibles : mandats, leads qualifiés, photos de biens, coordonnées vendeurs et acquéreurs. Cette page décrit les mesures concrètes que nous prenons pour protéger ces données, et le canal à utiliser pour signaler un problème de sécurité.

2. Chiffrement

• En transit : toutes les connexions clientes sont chiffrées via TLS 1.2 minimum, avec HTTP Strict Transport Security(HSTS, durée 2 ans) appliqué en permanence.
• Au repos :les bases de données et les buckets de stockage d'objets sont chiffrés AES-256 côté fournisseur (Neon PostgreSQL et Cloudflare R2).
• Mots de passe :hachés avec PBKDF2-SHA256 à 100 000 itérations et sel aléatoire unique par utilisateur. Les comparaisons sont effectuées en temps constant pour prévenir les attaques temporelles.
• Paiements : les informations bancaires ne transitent jamais par nos serveurs. Elles sont collectées et conservées directement par Stripe, certifié PCI-DSS Niveau 1.

3. Isolation multi-tenant

Chaque agence cliente est isolée au niveau applicatif et au niveau base de données. Toute requête passe par un intercepteur d'authentification qui vérifie l'appartenance de l'utilisateur à l'organisation avant d'autoriser l'accès ou la modification de données. Cette règle est appliquée systématiquement — il n'existe aucune route ni action serveur qui contourne cette vérification.

4. Authentification et sessions

• Authentification : email + mot de passe, ou authentification fédérée Google / Microsoft (OAuth 2.0 avec PKCE).
• Authentification à deux facteurs (2FA) :disponible pour tous les utilisateurs depuis l'espace compte, via application TOTP (Google Authenticator, Authy, 1Password, etc.). Codes de récupération fournis à l'activation.
• Sessions : durée maximale 7 jours, renouvelées automatiquement à chaque utilisation. Cookies HttpOnly, Secure et SameSite=Lax.
• Protection contre la force brute : 5 inscriptions par heure et 10 tentatives de connexion par 15 minutes et par IP, au-delà le compte est temporairement bloqué.

5. Hébergement et transferts

L'ensemble de l'infrastructure est hébergé en Union européenne :

• Application et fonctions serveur : Vercel (région CDG — Paris).
• Base de données : Neon PostgreSQL (région EU).
• Stockage photos et sites : Cloudflare R2 (région EU).
• Emails transactionnels : Resend (UE).

Certains sous-traitants (Stripe pour le paiement, Anthropic / Google pour la génération IA) peuvent traiter des données aux États-Unis dans le cadre de leurs engagements contractuels standards (Standard Contractual Clauses de la Commission européenne). Aucune donnée sensible n'est stockée durablement hors UE.

6. Journalisation et surveillance

• Toutes les actions administratives sensibles (changement de plan, activation manuelle, suppression d'organisation, invitation de membre) sont tracées dans un journal d'audit interne.
• Les erreurs applicatives sont collectées via Sentry, avec scrubbing automatique des données sensibles (mots de passe, tokens, clés d'API, numéros de carte).
• Les webhooks Stripe sont signés et leurs événements dédupliqués pour prévenir le rejeu.

7. RGPD et droits des personnes

Nos obligations RGPD (accès, rectification, portabilité, effacement, limitation) sont détaillées dans notre Politique de confidentialité. Un accord de traitement des données (DPA) est disponible dans Accord de traitement des données pour nos clients agences.

8. Divulgation responsable

Si vous découvrez une vulnérabilité, nous vous remercions de nous en informer de manière privée avant toute divulgation publique. Nous nous engageons à :

• Accuser réception sous 48 heures ouvrées.
• Fournir une évaluation initiale et une estimation de délai de correction sous 5 jours ouvrés.
• Coordonner la communication publique avec vous après correction.
• Ne prendre aucune action légale contre les chercheurs de bonne foi respectant ce cadre.

Canal de signalement : security@elevorio.com — ou formulaire de contactavec pour objet « Divulgation sécurité ».

Le fichier security.txt (RFC 9116) est également publié à la racine du site.

9. Continuité et sauvegardes

• Sauvegardes base de données automatiques avec point-in-time recovery sur 7 jours (Neon).
• Sauvegardes redondantes du stockage objet sur trois zones de disponibilité (Cloudflare R2).
• Surveillance continue de la disponibilité des services critiques et alertes en cas d'incident.

10. Limitation de responsabilité

Aucun système n'est parfaitement invulnérable. Nos mesures techniques et organisationnelles visent à rendre l'exploitation d'une faille significativement coûteuse et détectable, sans prétendre à une sécurité absolue. En cas d'incident de sécurité avec impact sur les données personnelles, nous respectons nos obligations de notification à la CNIL (72 h) et aux personnes concernées.

11. Audits

La plateforme fait l'objet d'audits internes de sécurité réguliers (OWASP Top 10, modélisation de menaces STRIDE, revue de chaîne d'approvisionnement logicielle). Pour les clients qui le demandent, un résumé du rapport d'audit le plus récent peut être partagé sous NDA.