Sécurité & conformité

La sécurité, par défaut. Pas en option.

Hébergement France, Google SSO (SAML 2.0 roadmap Q3 2026), audit trail exportable et engagements opérationnels écrits dans l'annexe technique du contrat. Aucune option payante pour atteindre la baseline attendue par votre DSI.

Voir les engagements Entreprise

DPA, fiche d'hébergement et questionnaire sécurité partageables sous 48 h ouvrées.

Hébergement France · datacenter ParisTLS 1.3 · AES-256 au reposSSO SAML 2.0 (Okta · Azure AD · Google) — roadmap Q3 2026Audit trail JSON / CSV exportableSauvegardes quotidiennes · RPO 4h en EntrepriseEngagements opérationnels écrits (annexe contrat)

Trois piliers

Une posture de sécurité tenable, pas un argumentaire.

Les éléments ci-dessous sont publiés tels qu'ils figurent dans le contrat. Si un point manque pour votre référencement fournisseur, dites-le nous et nous documentons la réponse plutôt que de promettre.

Hébergement & disposition

Vos données sont hébergées en France, dans un datacenter situé à Paris, sans transfert hors Union européenne. Le chiffrement TLS 1.3 protège les flux et l'AES-256 le stockage. Les sauvegardes sont quotidiennes et exportables à tout moment au format JSON/CSV. Le plan Entreprise documente un RPO de 4h et une cible de restauration sous 8h ouvrées, formalisée dans l'annexe technique du contrat.

Datacenter France (zéro transfert hors UE)
TLS 1.3 en transit · AES-256 au repos
Sauvegardes quotidiennes · export JSON/CSV à la demande

Identité & accès

Aujourd'hui : Google SSO disponible. SSO SAML 2.0 (Okta, Azure AD, Google Workspace) sur roadmap Q3 2026 — scope cadré au diagnostic Entreprise. L'app technicien et l'app chauffeur s'authentifient par PIN avec rate-limit, TTL et stockage chiffré (Keychain / Keystore). Les portails externes (transporteur, exutoire) reposent sur un pickupCode à usage limité. Les rôles (admin, opérateur, technicien, chauffeur, lecture seule) appliquent une RBAC stricte, vérifiée à chaque appel API.

Google SSO disponible · SAML 2.0 + SCIM roadmap Q3 2026
App mobile : PIN + rate-limit + SecureStore
RBAC par rôle · vérifiée à chaque endpoint

Audit & traçabilité

Chaque action sensible (création, signature, refus, export, modification de configuration) est journalisée avec horodatage, utilisateur, périmètre et identifiant de requête. Le journal est append-only en base (trigger PostgreSQL bloquant UPDATE/DELETE) et exportable en JSON ou CSV pour un audit interne, un contrôle DREAL ou une demande de votre commissaire aux comptes. Conservation 10 ans (durée comptable de référence — L. 123-22 c. com.).

Journal qui · quoi · quand · depuis où
Append-only en base · conservation 10 ans · export JSON / CSV
requestId présent sur chaque erreur API

Engagements publiés (extrait)

Hébergement France. Serveurs hébergés en France (datacenter Paris) · zéro transfert hors UE · DPA disponible sur demande.
RGPD & confidentialité. DPO (délégué à la protection des données) dédié, registre des traitements à jour, DPA signable en 48h.
SSO & SCIM (roadmap Q3 2026). SSO SAML 2.0 (Okta, Azure AD, Google) + SCIM est sur la roadmap Q3 2026, cadré au diagnostic Entreprise. Aujourd'hui : Google SSO disponible.
Audit trail. Traçabilité complète (qui, quoi, quand, depuis où) exportable JSON/CSV pour audit interne ou DREAL.
Chiffrement. TLS 1.3 en transit, AES-256 au repos. Clés API rotées tous les 30 jours.
Engagements opérationnels. Notification incident P1 sous 1h ouvrée (Standard / Dédié) à 15 min 24/7 (Premium Entreprise). RPO 24h → 1h. Post-mortem écrit 5 j ouvrés → 48h. Liste complète sur demande.

Architecture & contrôles fournisseur

Pour le passage en référencement DSI.

Section technique scannable. Une ligne = un contrôle. Tout est partageable sous NDA dans le cadre d'un avant-contrat.

Hébergement & localisation

Région: France · UE — datacenter à Paris (Île-de-France)
Hébergeur principal: OVH SAS (RCS Roubaix-Tourcoing) — datacenters Gravelines + Roubaix
Transferts hors UE: Aucun pour les données opérationnelles · CCT pour les sous-traitants US

Chiffrement

En transit: TLS 1.3 (min. TLS 1.2 imposé) · HSTS · cookies HttpOnly + Secure + SameSite=Lax
Au repos: AES-256 — Postgres + S3 + sauvegardes
Rotation des clés API internes: Tous les 30 jours · automatisée

Identité & accès

Aujourd'hui: TrackDéchets SSO · Google SSO · Email + PIN (mobile chauffeur)
Roadmap Q3 2026: SAML 2.0 (Okta · Azure AD · Google Workspace) · provisioning SCIM 2.0
RBAC: Rôles fins par périmètre (admin, opérateur, technicien, chauffeur, lecture seule) · vérifiés à chaque endpoint

Audit log applicatif

Modèle: Append-only en base — trigger PostgreSQL bloquant UPDATE/DELETE depuis le 3 mai 2026
Conservation: 10 ans (durée comptable de référence — L. 123-22 c. com.)
Export: JSON · CSV — disponible aux administrateurs du tenant

Sauvegarde & continuité

Sauvegardes Postgres: Quotidiennes · PITR (point-in-time recovery) · test de restauration périodique
Stockage S3: Versionning activé · réplication intra-région
Engagements RPO / RTO: Standard : RPO 24h · RTO < 24h. Entreprise : RPO 4h · RTO < 8h ouvrées (annexe contrat).

Sous-traitants (RGPD art. 28)

Hébergement: OVH SAS (FR) — données opérationnelles, base de données, S3
Paiement: Stripe Payments Europe Ltd (IE) — facturation, abonnements
Email transactionnel: Resend Inc. (US) — codes PIN, factures, invitations · CCT UE
Observabilité: Sentry (US) — erreurs applicatives · CCT UE + scrubbing PII serveur
Détail contractuel: DPA (article 28) téléchargeable · liste exhaustive des sous-traitants ultérieurs en annexe

Tests & audits externes

Scan de dépendances: En continu · CI bloquante sur CVE critique
Tests de pénétration: Audit externe prévu 2026 H2 — rapport synthétique partageable sous NDA
Questionnaires sécurité: Réponses sous 48h ouvrées (CAIQ ou modèle interne) · NDA réciproque

Document fournisseur sur demande

DPA RGPD article 28, fiche d'hébergement, questionnaire sécurité (CAIQ ou équivalent), résumé continuité d'activité — partagés sous 48 h ouvrées avec NDA réciproque.

Voir le DPA Demander la doc DSI

Engagements opérationnels

Nos engagements écrits — pas un % SLA flou.

Seuils contractuels par niveau de support. Tout ce que vous voyez ici figure dans l'annexe technique du contrat.

Engagements opérationnels Bordoly par niveau de support
Engagement	EntrepriseContrat annuel sur devis	StandardStarter · Pro · Business
Page de statut publique (services + intégrations TD/Resend/Stripe)
Notification incident P1 (service indisponible)	< 30 min (lun-ven · 8h-20h CET) · email + Slack channel dédié	< 1h ouvrée (lun-ven · 9h-18h CET) · email
Notification incident P2 (dégradation)	< 2h ouvrées · email + Slack	< 4h ouvrées · email
Première réponse support P1	< 1h ouvrées (8h-20h)	< 4h ouvrées
Première réponse support P2	< 4h ouvrées	< 8h ouvrées
Résolution cible P1	< 8h ouvrées (8h-20h)	Jour ouvré suivant (meilleurs efforts soir/weekend)
Communication pendant incident	Mise à jour toutes les 1h + Slack direct	Mise à jour status page toutes les 2h
Post-mortem écrit après P1	Systématique, sous 3 j ouvrés	Sur demande, sous 5 j ouvrés
Escalade	Slack channel dédié + ligne directe fondateur	Email support → fondateur
Préavis maintenance planifiée	7 j · créneau négociable	48h · plage hors heures bureau
Backups & RPO (point de récupération)	Quotidien · RPO 4h · restauration < 8h	Quotidien · RPO 24h · restauration < 24h
Sauvegarde données exportable à tout moment (JSON/CSV)
Plan de continuité documenté partagé client	Résumé partagé · audit annuel	Non inclus, dispo dès Entreprise
Monitoring 24/7 automatique (Sentry + sondes externes)

Tous les niveaux incluent une page de statut publique, des sauvegardes exportables JSON/CSV et un audit trail traçable. Pour le détail contractuel par client, demandez l'annexe SLA lors du devis.

SLA & engagements

Ce qui est contractuel, ce qui ne l'est pas.

Aucun SLA contractuel sur les plans SaaS (Starter / Pro / Business) — best-effort documenté. SLA Entreprise (99,9 % uptime mensuel) figure dans l'annexe technique du contrat annuel.

Critère	SaaS · Starter / Pro / Business	Entreprise · contrat annuel
Niveau d'engagement	Best-effort · pas de SLA contractuel uptime	SLA contractuel — 99,9 % uptime mensuel
Notification incident P1	< 1h ouvrée (lun-ven · 9h-18h CET)	< 30 min ouvrées (lun-ven · 8h-20h CET) + Slack channel dédié
RPO / RTO	RPO 24h · RTO < 24h	RPO 4h · RTO < 8h ouvrées
Post-mortem écrit P1	Sur demande · sous 5 j ouvrés	Systématique · sous 3 j ouvrés
GTI (garantie temps d'intervention)	Non contractuelle	Selon contrat (cadrée en avant-vente Entreprise)

Données & conformité réglementaire

Le cadre réglementaire, traduit en obligations contractuelles.

Bordoly agit comme sous-traitant au sens du RGPD. Les obligations propres au producteur et au transporteur ICPE restent les vôtres ; le produit en outille la tenue.

Code de l'environnement · art. R. 541-78

Les manquements à la traçabilité (BSD non émis, informations incorrectes) exposent l'exploitant à des contraventions au titre de l'article R. 541-78, sans préjudice des peines de l'article L. 541-46. Le produit aide à documenter le registre chronologique des déchets et à exporter le registre attendu par la DREAL.

Code de l'environnement · art. L. 541-46

Les sanctions peuvent aller jusqu'à plusieurs années d'emprisonnement et plusieurs dizaines à plusieurs centaines de milliers d'euros d'amende selon la qualification des faits, l'article applicable et la situation. À cadrer au cas par cas avec votre conseil juridique. Les preuves terrain horodatées et géolocalisées sont attachées au BSD.

Archivage — BSD 5 ans · audit log 10 ans

BSD, registres et preuves terrain conservés 5 ans (R. 541-45 c. env.). Audit log applicatif et factures conservés 10 ans (L. 123-22 c. com.). Détail complet par catégorie sur la page Conformité.

RGPD · art. 28 (sous-traitant)

Bordoly agit comme sous-traitant au sens de l'article 28 du RGPD. DPO désigné, registre des traitements à jour, base légale documentée pour chaque finalité. DPA téléchargeable depuis la page DPA.

DPA & questionnaire sécurité sur demande

Notre DPA standard (RGPD article 28) est consultable en ligne et partageable au format PDF sous 48 heures ouvrées dans le cadre d'un avant-contrat. Nous répondons aux questionnaires sécurité fournisseurs (CAIQ ou modèles internes) avec un NDA réciproque. La fiche d'hébergement détaillant la localisation des données et les sous-traitants est jointe.

Consulter le DPA Voir le cadre légal

Surface technique

Ce qui tourne sous le capot.

Liste factuelle, pas un argumentaire fournisseur. Nous ne mentionnons que ce qui est effectivement câblé en production.

TLS 1.2+ obligatoire sur tous les endpoints publics

Secrets injectés via variables d'environnement · pas de credentials en repo

Surveillance applicative et erreurs via Sentry (apps web, API, mobile)

Scan de dépendances en continu · CI bloquante en cas de CVE critique

Migrations de base versionnées (drizzle-kit) · revues avant déploiement

Sauvegardes Postgres quotidiennes · point de récupération vérifié

Pagination obligatoire sur les listes · pas de N+1 en API

Erreurs normalisées avec requestId pour rendre le support traçable

FAQ sécurité

Les questions que votre DSI va poser.

Réponses orientées référencement fournisseur et passage en comité sécurité.

Où sont hébergées les données ?

En France, dans un datacenter situé à Paris. Aucun transfert hors Union européenne. Le DPA et la fiche d'hébergement sont disponibles sur demande dans le cadre d'un avant-contrat.

Comment est géré le SSO ?

Google SSO est disponible aujourd'hui. SSO SAML 2.0 (Okta, Azure AD, Google Workspace) et provisioning SCIM 2.0 sont sur la roadmap Q3 2026, scope cadré au diagnostic Entreprise.

Pouvez-vous fournir un DPA ou un questionnaire sécurité ?

Oui. Notre DPA standard est partageable sous 48 heures ouvrées. Nous répondons aux questionnaires sécurité (modèle CAIQ ou équivalent interne) sur demande, avec accord de confidentialité réciproque.

Comment exporter mes données en cas de résiliation ?

Tous les plans permettent l'export à tout moment des BSDs, du registre, des preuves terrain et du journal d'audit, en JSON et en CSV. À la résiliation, un export complet vous est livré et les données sont supprimées dans les délais contractuels (typiquement 30 jours).

Qui voit les BSDs et les preuves photo ?

Strictement les utilisateurs habilités via la RBAC : admins de votre tenant, opérateurs sur leur périmètre, et le transporteur ou l'exutoire concerné par le BSD via un portail à accès limité (pickupCode à usage restreint, sans création de compte).

Que se passe-t-il en cas d'incident P1 ?

En Entreprise : notification sous 30 minutes ouvrées (8h-20h CET, lun-ven) par email et Slack channel dédié, première réponse sous 1 heure ouvrée, mise à jour de statut toutes les heures, post-mortem écrit systématique sous 3 jours ouvrés. La page de statut publique reste alimentée. Détail complet dans la matrice ci-dessus.

Cadrage sécurité

Préparons un cadrage sécurité 30 min.

Un appel technique avec un référent — pas un commercial. On parcourt ensemble la matrice d'engagements, le DPA, votre questionnaire fournisseur et le périmètre des données. Note de cadrage envoyée sous 5 jours ouvrés.

Voir les plans Entreprise