Auroplan stocke vos projets, photos et communications client dans l'Union européenne. Ce que cela signifie concrètement, vous le trouverez ici en cinq piliers, pas dans un PDF promotionnel.
Base de données et fichiers dans AWS eu-west-1, région UE garantie contractuellement.
Droit
RGPD luxembourgeois
Contrats selon le droit luxembourgeois, autorité : CNPD.
Chiffrement
TLS 1.3 + AES-256
Transit et stockage entièrement chiffrés.
Sauvegarde
Sauvegarde quotidienne
Automatique, quotidienne, fenêtre de restauration de 7 jours.
Cinq piliers
Sur quoi Auroplan repose.
La sécurité n'est pas une fonctionnalité unique, c'est une combinaison de localisation, d'architecture, de droits et d'habitudes. Voici les cinq piliers qui portent Auroplan · chacun avec trois points vérifiables.
IRGPD
Traitement des données selon le droit UE.
Auroplan est conçu selon les principes du RGPD. Vos données vous appartiennent · nous les traitons exclusivement pour fournir la prestation que vous avez souscrite. Pas de revente, pas de profilage, pas d'entraînement de modèles d'IA externes avec vos données de chantier.
Contrat de sous-traitance (DPA) avec chaque client · selon l'art. 28 RGPD, modèle disponible sur demande.
Registre des activités de traitement (RAT) documenté selon l'art. 30 RGPD.
Autorité de contrôle : Commission nationale pour la protection des données (CNPD), Luxembourg.
IIHébergement
Les serveurs sont dans l'UE, pas en Virginie.
Toutes les données de production (base de données, stockage de fichiers) sont stockées dans la région AWS eu-west-1 (Irlande). Supabase, en tant que fournisseur de plateforme, garantit contractuellement la région UE.
Région primaire : AWS Irlande (eu-west-1).
Les photos et documents sont stockés dans Supabase Storage, dans la même région UE.
Sauvegardes automatiques quotidiennes au sein de l'UE.
IIIAccès
Personne ne voit ce qu'il ne devrait pas voir.
Au niveau base de données, des règles de sécurité au niveau des lignes (RLS) s'appliquent : l'administrateur ne voit que sa propre entreprise, les membres d'équipe uniquement les projets assignés, les maîtres d'ouvrage uniquement leur projet, les invités uniquement le projet spécifiquement partagé. Ces règles sont appliquées dans la base de données · pas dans le frontend.
Row-Level-Security (RLS) actif sur toutes les tables contenant des données personnelles.
Politiques least-privilege : chaque utilisateur de base de données n'a que les droits minimaux nécessaires.
Un journal d'audit consigne les modifications sensibles (rôles, accès d'équipe, actions de facturation).
IVChiffrement
Chiffré en transit et au repos.
Toutes les connexions à l'application passent par TLS 1.3. Les données en base, les photos en stockage et les sauvegardes sont chiffrées en AES-256. Les mots de passe sont stockés exclusivement sous forme de hachage salé (Supabase Auth) · jamais en clair.
Transport : TLS 1.3, HSTS Preload, rotation automatique des certificats.
Stockage : AES-256 au repos.
Mots de passe : hachage salé (Supabase Auth), aucune sortie en clair dans les logs.
VSauvegarde
Sauvegarde quotidienne, restauration ciblée.
Une sauvegarde complète s'exécute chaque nuit. Les états sauvegardés peuvent être restaurés dans une fenêtre de conservation de 7 jours.
Sauvegarde complète quotidienne, conservation de 7 jours.
Les sauvegardes sont stockées chiffrées dans l'UE.
La conservation des données supprimées prend fin à l'expiration de la fenêtre de sauvegarde.
Vos droits
Ce que vous pouvez exiger à tout moment.
En tant que personne concernée, vous avez selon le RGPD des droits concrets · et nous sommes tenus d'y répondre dans un délai d'un mois. Voici les quatre principaux. Chaque demande peut être adressée librement par e-mail à notre contact dédié à la protection des données.
Accès (Art. 15)
Vous demandez quelles données nous avons stockées sur vous, d'où elles viennent et à qui nous les avons transmises. Nous répondons par écrit, de manière structurée, gratuitement.
Rectification (Art. 16)
Si des données sont fausses ou incomplètes, nous les corrigeons sans délai · et informons les destinataires si les données leur ont été transmises.
Effacement (Art. 17)
Dès que les données ne sont plus nécessaires ou que vous retirez votre consentement, elles sont supprimées de tous les systèmes (y compris des sauvegardes après expiration de la période de conservation).
Portabilité des données (Art. 20)
Vous obtenez vos données dans un format structuré et courant (CSV, JSON) · et pouvez les emporter chez un autre prestataire.
DPO
Contact protection des données
Les questions sur la protection des données, sur vos droits ou sur un traitement concret sont traitées par notre contact dédié à la protection des données. Délai de réponse : sous un mois, le plus souvent beaucoup plus rapidement.
Auroplan peut-il utiliser mes données pour ses propres modèles d'IA ?
Non. Vos données de chantier, photos, messages et informations clients ne sont jamais utilisés pour entraîner des modèles d'IA externes ou internes. Quand des fonctions IA sont utilisées (par ex. pour l'analyse d'image), cela se fait exclusivement pour produire vos contenus et à aucune autre fin.
Que se passe-t-il avec mes données si je résilie ?
Après la résiliation d'un plan payant, votre compte continue sur le plan Free et vos données sont conservées. Si vous supprimez votre compte, toutes les données à caractère personnel sont retirées des systèmes de production sous 30 jours, sauf obligation légale de conservation. Elles disparaissent également des sauvegardes à l'expiration de la fenêtre de restauration.
Qui a accès en interne à mes données chez Auroplan ?
Les accès en production sont limités à quelques personnes autorisées et à des fins définies de support et de maintenance. Les modifications sensibles sont consignées.
Êtes-vous certifiés ISO 27001 ou SOC 2 ?
Pas encore. Les certifications comme ISO 27001 ou SOC 2 sont coûteuses et deviennent pertinentes dès que nous accompagnons de plus grands clients d'entreprise avec les exigences correspondantes. D'ici là, nous publions notre architecture de sécurité en toute transparence et nous nous soumettons à des audits individuels sur demande.
ENCORE DES QUESTIONS ?
Nous répondons directement · pas via un formulaire.
La sécurité est une conversation continue, pas une checklist ponctuelle. Si vous avez des doutes, devez vérifier une exigence spécifique ou souhaitez signer un DPA · écrivez directement.