Chez Nutri AI, la sécurité de vos données est notre priorité absolue. Nous appliquons les standards les plus stricts du secteur pour protéger vos informations sensibles.
🔐 Architecture de sécurité multi-couches
| Couche | Technologies | Protections | Certifications |
|---|---|---|---|
| Périphérie | Cloudflare, WAF, DDoS protection | Attaques distribuées, injections | ISO 27001, SOC 2 |
| Réseau | VPC, sous-réseaux isolés | Segmentation, pare-feux | PCI DSS niveau 1 |
| Application | OAuth 2.0, JWT, rate limiting | Authentification, autorisation | OWASP Top 10 compliance |
| Données | AES-256, TLS 1.3, chiffrement bout-en-bout | Chiffrement au repos et en transit | GDPR, HIPAA ready |
| Infrastructure | AWS/GCP, conteneurs isolés | Isolation locataires, backup | ISO 27017, 27018 |
🔒 Chiffrement des données
- En transit :
- TLS 1.3 sur toutes les connexions
- Perfect Forward Secrecy (PFS)
- HSTS (HTTP Strict Transport Security)
- Score A+ sur SSL Labs
- Au repos :
- AES-256-GCM pour les données sensibles
- Clés de chiffrement gérées par AWS KMS/GCP KMS
- Rotation automatique des clés tous les 90 jours
- Chiffrement au niveau de la base de données et du stockage
- Chiffrement bout-en-bout (optionnel) :
- Pour les notes personnelles, photos sensibles
- Clés stockées uniquement sur votre appareil
- Même nous ne pouvons pas déchiffrer ces données
- Option recommandée pour les professionnels de santé
- Sur votre appareil :
- iOS : Chiffrement par le système (Data Protection)
- Android : Chiffrement au niveau fichier
- Applications web : Données chiffrées dans localStorage
- Suppression sécurisée lors de la désinstallation
🏢 Hébergement et infrastructure
- Centres de données :
- Région principale : Europe (Frankfurt, Paris)
- Backup : Irlande, Pays-Bas
- Certifications : ISO 27001, SOC 1/2/3, PCI DSS
- Redondance : Multi-AZ, géo-réplication
- Sécurité physique :
- Contrôle d’accès biométrique
- Surveillance 24/7/365
- Détection d’intrusion
- Protection incendie et environnementale
- Sauvegardes :
- Quotidiennes incrémentielles
- Hebdomadaires complètes
- Conservation : 30 jours minimum, 1 an pour certaines données
- Test de restauration mensuel
- Surveillance et détection :
- SIEM (Security Information and Event Management)
- Détection d’anomalies comportementales
- Alertes en temps réel
- Équipe sécurité dédiée 24/7
📜 Conformité réglementaire
| Réglementation | Application | Vos droits | Nos obligations |
|---|---|---|---|
| RGPD (UE) | Complet, DPO désigné | Accès, rectification, suppression, portabilité | Protection données, notification violations |
| HIPAA (US) | Option Pro Health | Accès à vos données de santé | Sauvegarde, audit trail, BAAs |
| CCPA/CPRA (Californie) | Étendue à tous les utilisateurs | Opt-out de vente données, non-discrimination | Transparence, respect des requêtes |
| LGPD (Brésil) | Complet | Droits similaires RGPD | ANPD notification si applicable |
| PIPEDA (Canada) | Complet | Accès, correction, plainte | Consentement, limitations collection |
👤 Vos droits en détail
- Droit d’accès :
- Obtenir une copie de toutes vos données
- Format lisible (JSON, CSV, PDF)
- Gratuit, délai maximum 30 jours
- Via « Paramètres → Confidentialité → Export de données »
- Droit de rectification :
- Corriger les données inexactes
- Mettre à jour les informations obsolètes
- Demande via formulaire ou support
- Application sous 15 jours ouvrés
- Droit à l’effacement :
- Suppression complète de votre compte et données
- Exclusions : Données de facturation (conservées 10 ans)
- Demande via formulaire dédié
- Confirmation par email de suppression
- Droit à la portabilité :
- Transfert de vos données vers un autre service
- Format structuré, couramment utilisé
- Inclut toutes les données personnelles
- Gratuit, délai maximum 30 jours
- Droit d’opposition :
- Refuser le traitement pour marketing
- Limiter le traitement pour d’autres raisons
- Paramètres granulaires disponibles
- Respect immédiat (sauf obligation légale)
- Droit à la limitation :
- Geler temporairement le traitement
- En attendant vérification d’exactitude
- Ou pendant l’examen d’une opposition
- Ou si traitement illicite mais vous ne voulez pas suppression
🤝 Partage de données avec tiers
- Sous-traitants strictement nécessaires :
- Hébergement : AWS, Google Cloud
- Paiement : Stripe, PayPal
- Analytics : Mixpanel (anonymisé)
- Support : Intercom, Zendesk
- Contrats avec chaque sous-traitant :
- DPA (Data Processing Agreement) conforme RGPD
- Clauses de protection des données
- Audit droit pour Nutri AI
- Notification en cas de violation
- Transparence totale :
- Liste complète des sous-traitants disponible
- Pays de traitement indiqués
- Mesures de protection détaillées
- Mises à jour notifiées
- Pas de vente de données :
- Nous ne vendons jamais vos données personnelles
- Pas de monétisation via données
- Publicité ciblée optionnelle uniquement
- Transparence sur tout partage
🚨 Gestion des incidents de sécurité
- Procédures documentées :
- Plan de réponse aux incidents
- Équipe dédiée 24/7
- Checklist d’investigation
- Communication structurée
- Notification obligatoire :
- À vous : Dans les 72h maximum si risque pour vos droits
- À l’autorité de protection : CNIL dans les 72h
- Contenu : Nature, cause probable, conséquences, mesures prises
- Canaux : Email, notification in-app, site web si impact large
- Mesures correctives :
- Containment immédiat
- Éradication de la cause
- Restauration des systèmes
- Renforcement préventif
- Transparence post-incident :
- Rapport public (anonymisé) disponible
- Leçons apprises partagées
- Mesures préventives mises en place
- Follow-up avec les utilisateurs impactés
🔍 Surveillance et audits
- Audits internes :
- Trimestriels sur les contrôles de sécurité
- Tests d’intrusion annuels
- Revues de code sécurité
- Scans de vulnérabilités continus
- Audits externes :
- ISO 27001 certification annuelle
- SOC 2 Type II rapport semestriel
- Tests d’intrusion par tierce partie
- Compliance checks par avocats spécialisés
- Bug bounty program :
- Récompenses pour vulnérabilités découvertes
- Plateforme HackerOne dédiée
- Scope claire défini
- Réponse garantie sous 48h
- Transparence reports :
- Rapport de transparence semestriel
- Statistiques sur les demandes d’accès
- Nombre d’incidents et sévérité
- Évolutions de la politique de confidentialité
🎓 Formation et culture sécurité
- Tous les employés formés :
- Formation RGPD obligatoire
- Sensibilisation phishing régulière
- Bonnes pratiques développement sécurisé
- Procédures d’urgence
- Culture « security by design » :
- Revues de sécurité dès la conception
- Analyse d’impact sur la protection des données (DPIA)
- Privacy by default et by design
- Minimisation des données collectées
- Politiques internes strictes :
- Accès aux données sur base du besoin de savoir
- Authentification forte pour les employés
- Journalisation de tous les accès
- Surveillance des comportements à risque
🔧 Outils de contrôle pour les utilisateurs
- Tableau de bord confidentialité :
- Vue d’ensemble de vos données
- Contrôles granulaires de partage
- Historique des accès à votre compte
- Export instantané des données
- Préférences de communication :
- Choix par type de communication
- Fréquence maximum définissable
- Désabonnement en un clic
- Préférences par canal (email, push, SMS)
- Sécurité du compte :
- Authentification à deux facteurs
- Alertes pour nouvelles connexions
- Revue des appareils connectés
- Force du mot de passe en temps réel
- Consentements managés :
- Revue et modification des consentements
- Historique des choix
- Explications claires de chaque traitement
- Renouvellement périodique des consentements critiques
Cet article vous a-t-il été utile ?