Sécurité et protection des données

Où sont hébergées vos données ?

L’hébergement souverain est le principe de localisation des données sur le territoire national, garantissant qu’aucune information ne quitte la juridiction française. L’ensemble de vos données Avocachet est hébergé sur la région Azure France Central (Paris) de Microsoft Azure, dans des centres de données exploités sous juridiction européenne. Les installations bénéficient d’une alimentation électrique redondante, d’une climatisation de précision et de systèmes anti-incendie conformes aux normes les plus strictes de l’industrie. Les centres de données sont certifiés ISO 27001 pour le management de la sécurité de l’information, ISO 27018 pour la protection des données personnelles dans le cloud, et SOC 2 Type II pour les contrôles de sécurité, de disponibilité et de confidentialité audités de manière indépendante. Ces certifications attestent que l’infrastructure sur laquelle repose Avocachet fait l’objet d’audits réguliers par des organismes tiers accrédités, couvrant la sécurité physique, la gestion des accès, la continuité d’activité et la protection contre les intrusions.

Aucune donnée n’est transférée en dehors de l’Union européenne. Les documents, les métadonnées et les informations de compte restent sur le sol français tout au long de leur cycle de vie, conformément aux exigences de souveraineté numérique renforcées par la doctrine Cloud de confiance de l’État français. Cette politique de localisation des données s’applique également aux sauvegardes et aux réplicas de haute disponibilité, qui sont stockés exclusivement dans des régions Azure situées en France. Nous n’utilisons aucun sous-traitant technique dont les serveurs seraient situés hors de l’Espace économique européen. Ce choix d’hébergement exclusivement français répond aux préoccupations exprimées par le Conseil national des barreaux concernant le stockage des données couvertes par le secret professionnel. Il garantit que les autorités judiciaires d’un pays tiers ne peuvent pas contraindre l’accès à vos documents en vertu d’une législation extraterritoriale comme le Cloud Act américain.

Comment Avocachet protège-t-il vos données ?

Le chiffrement en transit est la protection cryptographique des données pendant leur transfert entre le navigateur de l’utilisateur et les serveurs de la plateforme. Chez Avocachet, toutes les communications sont chiffrées via le protocole TLS 1.3, avec rétrocompatibilité TLS 1.2 pour les clients plus anciens. Ce protocole assure le chiffrement de bout en bout de chaque requête HTTP, empêchant toute interception ou modification des données en transit. Nos certificats TLS sont émis par une autorité de certification reconnue et renouvelés automatiquement avant leur expiration pour garantir une protection continue sans interruption de service. Les documents stockés dans Azure Blob Storage sont chiffrés au repos via l’algorithme AES-256, considéré comme la référence mondiale en matière de chiffrement symétrique. Ce standard est utilisé par les gouvernements et les institutions financières pour protéger les informations classifiées. Les clés de chiffrement sont gérées par Azure Key Vault, un module matériel de sécurité certifié FIPS 140-2 Level 2, qui garantit que les clés ne sont jamais exposées en clair.

Les mots de passe utilisateurs sont hachés avec l’algorithme bcrypt, qui intègre un facteur de coût adaptatif rendant les attaques par force brute impraticables même avec des ressources de calcul considérables. Aucun mot de passe n’est jamais stocké en clair ni sous forme de hash réversible. Les jetons d’authentification sont signés avec l’algorithme HMAC-SHA256 via le standard JWT (JSON Web Token), et les clés de signature font l’objet d’une rotation régulière planifiée. Chaque session est limitée dans le temps et invalidée automatiquement après une période d’inactivité configurable. En cas de tentatives de connexion suspectes, le système applique un mécanisme de verrouillage progressif qui ralentit les essais consécutifs. L’ensemble de ces mesures garantit que l’accès à votre compte reste protégé contre les vecteurs d’attaque les plus courants identifiés par l’OWASP, y compris le credential stuffing et le session hijacking.

Avocachet est-il conforme au RGPD ?

La conformité RGPD est l’ensemble des mesures techniques, organisationnelles et juridiques garantissant le respect du Règlement Général sur la Protection des Données (Règlement UE 2016/679). Avocachet applique le principe de minimisation des données énoncé à l’article 5(1)(c) : seules les données strictement nécessaires au fonctionnement du service sont collectées (adresse e-mail, nom, documents téléversés et données de facturation). Aucune donnée superflue n’est collectée, et aucun profilage ni prise de décision automatisée au sens de l’article 22 du RGPD n’est effectué. Les traitements de données personnelles sont fondés sur des bases juridiques clairement identifiées conformément à l’article 6 du RGPD. Le traitement principal repose sur l’exécution du contrat pour la fourniture du service de gestion documentaire. Le consentement explicite est recueilli pour les cookies analytiques via notre bandeau de consentement conforme à la directive ePrivacy. Les données de facturation sont conservées sur le fondement de l’obligation légale imposée par le Code de commerce français.

Conformément aux articles 15 à 21 du RGPD, vous disposez d’un droit d’accès à vos données personnelles, d’un droit de rectification des informations inexactes, d’un droit à l’effacement (droit à l’oubli), d’un droit à la limitation du traitement, d’un droit d’opposition et d’un droit à la portabilité de vos données dans un format structuré et lisible par machine. Ces droits peuvent être exercés à tout moment auprès de notre délégué à la protection des données par simple envoi d’un e-mail, sans formalisme particulier. Nous nous engageons à répondre à toute demande dans un délai de 30 jours conformément à l’article 12(3) du RGPD. Si vous estimez que le traitement de vos données constitue une violation de vos droits, vous pouvez introduire une réclamation auprès de la CNIL, l’autorité de contrôle française compétente en matière de protection des données personnelles.

En cas de violation de données personnelles, Avocachet s’engage à notifier l’autorité de contrôle compétente (la CNIL) dans un délai de 72 heures conformément à l’article 33 du RGPD. Si la violation est susceptible d’engendrer un risque élevé pour vos droits et libertés, vous serez personnellement informé dans les meilleurs délais conformément à l’article 34. Nous maintenons un registre des traitements conforme à l’article 30, documentant l’ensemble des opérations effectuées sur les données personnelles, les catégories de données concernées et les mesures de sécurité mises en œuvre. Notre procédure interne de gestion des incidents prévoit une analyse d’impact systématique, l’identification des personnes concernées et la mise en place de mesures correctives immédiates pour limiter les conséquences de toute violation détectée. Des exercices de simulation d’incidents sont réalisés régulièrement pour valider l’efficacité de ces procédures de réponse.

Accord de traitement des données (DPA)

L’accord de traitement des données (DPA) est un document contractuel conforme à l’article 28 du RGPD qui détaille les engagements d’Avocachet en tant que sous-traitant de vos données personnelles. Ce Data Processing Agreement, disponible sur demande, couvre les instructions de traitement, les mesures de sécurité techniques et organisationnelles, les conditions de recours à des sous-traitants ultérieurs et les modalités d’assistance en cas d’exercice des droits par les personnes concernées. Le DPA couvre l’ensemble des opérations de traitement effectuées par Avocachet pour le compte de ses clients : stockage de documents, gestion des comptes utilisateurs, envoi de notifications par e-mail et traitement des données de facturation. Il inclut les clauses contractuelles types de la Commission européenne et garantit un droit d’audit permettant au responsable de traitement de vérifier le respect des engagements pris. Pour les cabinets d’avocats soumis à des obligations spécifiques en matière de secret professionnel, des clauses complémentaires de confidentialité renforcée peuvent être intégrées au DPA sur demande.

Comment supprimer vos données ?

Le droit à l’effacement est le droit de chaque utilisateur de demander la suppression définitive et irréversible de l’ensemble de ses données personnelles, conformément à l’article 17 du RGPD. Sur Avocachet, vous pouvez exercer ce droit à tout moment depuis les paramètres de votre compte, sans formalisme particulier ni justification préalable. La suppression est définitive et irréversible. Dès la confirmation, un processus automatisé déclenche l’effacement en cascade de toutes vos données personnelles, documents téléversés, métadonnées associées et fichiers stockés dans Azure Blob Storage. Ce processus couvre l’intégralité des systèmes : base de données PostgreSQL, stockage objet, caches applicatifs et index de recherche. La procédure de suppression est journalisée avec horodatage et identifiant technique, et fait l’objet d’une vérification interne automatique garantissant qu’aucune donnée résiduelle ne subsiste sur l’ensemble de l’infrastructure. Un e-mail de confirmation vous est adressé une fois l’effacement complet vérifié.

La purge des sauvegardes est le processus par lequel vos documents, métadonnées et informations personnelles sont définitivement effacés de nos serveurs, y compris des sauvegardes et des réplicas de haute disponibilité, dans un délai maximal de 30 jours suivant la demande de suppression. Les sauvegardes Azure sont soumises à un cycle de rotation automatique qui garantit l’élimination complète des données dans ce délai, sans possibilité de récupération ultérieure. Les données de facturation (montants, dates de transaction, identifiants de facturation) constituent la seule exception : elles sont conservées conformément aux obligations légales comptables prévues par l’article L123-22 du Code de commerce français, soit une durée de 10 ans à compter de la clôture de l’exercice comptable concerné. Ces données de facturation sont strictement séparées des données documentaires et ne contiennent aucun document juridique, aucun contenu textuel ni aucune information sensible liée à votre activité professionnelle ou à celle de vos clients.

Contrôle d’accès

Le contrôle d’accès est le mécanisme de sécurité qui restreint l’accès aux données de production aux seuls développeurs autorisés, via des connexions sécurisées et authentifiées par authentification multifacteur (MFA). Chaque accès est journalisé avec horodatage, identifiant de l’opérateur et nature de l’opération effectuée. Ces journaux d’accès sont conservés pendant 12 mois et font l’objet d’audits internes trimestriels pour détecter toute activité anormale ou non autorisée. Au niveau applicatif, Avocachet implémente un modèle de contrôle d’accès basé sur les rôles (RBAC). Chaque membre d’une équipe se voit attribuer un rôle qui détermine précisément les actions autorisées sur les documents et les paramètres de l’équipe. Les portails de documents partagés sont protégés par des liens uniques non devinables, et l’accès peut être révoqué à tout moment par l’administrateur. Aucune donnée d’une équipe n’est accessible aux membres d’une autre équipe, garantissant un cloisonnement strict des informations.

Contact

Le point de contact sécurité est le canal dédié par lequel vous pouvez adresser toute question relative à la sécurité, à la protection de vos données ou à l’exercice de vos droits en matière de données personnelles. Contactez notre délégué à la protection des données par e-mail. Nous nous engageons à accuser réception de votre demande sous 48 heures et à y répondre de manière complète dans un délai de 30 jours conformément au RGPD. Si vous identifiez une vulnérabilité de sécurité ou un comportement suspect sur la plateforme, nous vous invitons à nous en informer via cette même adresse. Chaque signalement fait l’objet d’une analyse par notre équipe technique dans les 24 heures suivant sa réception. La transparence et la réactivité sont des piliers de notre engagement envers les professionnels du droit qui utilisent Avocachet pour gérer leurs documents sensibles :

• Délégué à la protection des données : Antony Canut
• contact@mirehub.fr