Aller au contenu principal
Certyneo

Sécurité et conformité

La confiance est au cœur de Certyneo. Cette page décrit exactement ce qui est en place aujourd'hui dans notre infrastructure et notre application.

Mis à jour le .

Sécurité Certyneo — infrastructure et chiffrement

Conforme eIDAS

Nos signatures simples (SES) et avancées (AES avec OTP email + SMS) répondent au règlement eIDAS de l'Union européenne.

Chiffrement TLS 1.3

Toutes les communications client-serveur sont protégées par TLS 1.3 via notre reverse proxy (certificats Let's Encrypt auto-renouvelés).

Hébergement en Allemagne (UE)

L'application, la base PostgreSQL et le stockage objet sont hébergés sur notre infrastructure en Allemagne (IONOS), au sein de l'Union européenne.

Audit trail des signatures

Chaque action (ouverture, OTP, signature, refus, expiration) est horodatée et stockée. Un footer d'audit est intégré au PDF signé.

Authentification du signataire

Pour le niveau avancé (AES) : double OTP email + SMS (notre prestataire OTP SMS). Pour la connexion du sender : email + mot de passe, Google, Microsoft Entra.

RGPD

Conformité au Règlement Général sur la Protection des Données : droit d'accès, de rectification et d'effacement, registre des traitements.

Conformités réglementaires

Certyneo est conforme aux règlements européens applicables à la signature électronique et à la protection des données.

eIDAS

Signatures SES et AES

Signature électronique simple (SES) par défaut. Signature électronique avancée (AES) avec OTP email + SMS pour une valeur probante renforcée au sens du règlement (UE) n°910/2014.

RGPD

Protection des données

Conformité au règlement (UE) 2016/679. Données hébergées dans l'Union européenne, durée de conservation documentée, registre des traitements et DPA disponible sur demande.

Nos pratiques de sécurité

Voici les mesures concrètes déployées en production.

  • Chiffrement TLS 1.3 pour toutes les communications HTTP (Caddy 2, Let's Encrypt)
  • Chiffrement AES-256 pour les données au repos (documents et base de données), hébergés en Allemagne
  • Hashing scrypt (avec salt et comparaison timing-safe) pour les mots de passe utilisateur
  • Jetons de vérification email et reset password à usage unique, expiration 1h
  • OTP (OTP SMS) pour la signature avancée, validité courte, usage unique
  • Rate limiting applicatif (Redis) par plan sur les endpoints sensibles
  • Stockage objet compatible S3 avec versioning activé sur les documents
  • Audit log horodaté de chaque étape du cycle de vie d'une enveloppe

Prêt à signer en toute sécurité ?

5 enveloppes gratuites par mois, sans carte bancaire. Conformité eIDAS et RGPD incluses.

Commencer gratuitementDemander une démo

Feuille de route sécurité

Nos prochaines étapes pour renforcer la confiance et la conformité.

  • Q4 2026

    Audit ISO 27001

    Prévu

    Audit de certification ISO 27001 prévu avec un organisme accrédité.

  • 2027

    SOC 2 Type II

    Prévu

    Rapport SOC 2 Type II couvrant la sécurité, la disponibilité et la confidentialité.

Divulgation responsable

Vous avez découvert une vulnérabilité ? Merci de nous contacter de manière responsable avant toute divulgation publique. Nous accusons réception sous 48 h ouvrées.

[email protected]

Accord de traitement des données

Notre DPA détaille les obligations de Certyneo en tant que sous-traitant au sens du RGPD, incluant les mesures techniques et organisationnelles.

Consulter le DPA

Questions fréquentes sur la sécurité Certyneo

Où sont hébergées les données Certyneo ?
Toutes les données sont hébergées exclusivement en Allemagne (IONOS SE, Francfort), dans l'Union Européenne. Aucune réplication ou sous-traitance vers des serveurs hors UE n'est effectuée.
Certyneo est-il soumis au Cloud Act américain ?
Non. Certyneo est une entité française (SAS de droit français), non soumise à l'extraterritorialité du Cloud Act américain. Contrairement à DocuSign, Adobe Sign ou Dropbox Sign (sociétés américaines), les autorités américaines ne peuvent pas contraindre Certyneo à divulguer vos données.
Certyneo est-il conforme au RGPD ?
Oui. Certyneo est conforme au RGPD : hébergement UE, chiffrement TLS 1.3 en transit et AES-256 au repos, DPA disponible (article 28 du RGPD), durée de conservation limitée et documentée, droit d'accès et de suppression respectés.
Comment les documents signés sont-ils protégés contre la falsification ?
Chaque document signé est protégé par un sceau cryptographique (hash SHA-256) inscrit dans un audit trail horodaté. Toute modification du document après signature invalide le sceau et est détectée immédiatement. L'audit trail est conservé 10 ans.
Certyneo dispose-t-il d'un DPA (Data Processing Agreement) ?
Oui. Certyneo propose un DPA conforme à l'article 28 du RGPD, disponible et signable électroniquement depuis votre tableau de bord ou sur demande. Il détaille les sous-traitants, les mesures techniques et organisationnelles (TOMs), et les droits des personnes concernées.

Pour aller plus loin

Approfondissez votre compréhension de la réglementation et des niveaux de signature.