Sécurité & Conformité
Sécurité et conformité
La sécurité et la conformité ne sont pas une feature de Veillan, c'est son fondement. Voici ce qui est en place, comment c'est vérifié, et ce que vous pouvez fournir à votre DPO ou à votre RC.
Chiffrement
Chiffrement et stockage des données
Chaque tenant dispose d'une clé de chiffrement dédiée (AES-256-GCM authentifié), elle-même scellée par une master key qui n'est jamais stockée sur disque. Ce double wrapping garantit qu'une compromission du stockage ne suffit pas à accéder aux données en clair.
Les données sont hébergées dans l'Union européenne (Hetzner, Allemagne). Aucun transfert hors Union européenne. Les sous-traitants impliqués dans le traitement (e-mail transactionnel, etc.) disposent d'un DPA conforme au RGPD.
- AES-256-GCM authentifié
Chiffrement symétrique de référence, avec tag d'authenticité intégré. Toute altération des données chiffrées est détectée.
- Double wrapping par tenant
Clé tenant scellée par master key. Recovery key en 9 × 4 caractères hexadécimaux. Rotation de clé tenant supportée.
- Hébergement souverain
Hetzner, datacenters UE certifiés ISO 27001. 0 transfert hors UE. Certifications disponibles sur demande pour votre auditeur.
- Chiffrement en transit
TLS 1.3 entre le client et le serveur. Les sauvegardes et exports sont chiffrés avant écriture sur disque.
Contrôle d'accès
Authentification et contrôle d'accès
Veillan combine 2FA TOTP et un modèle RBAC à 62 permissions (12 ressources × 8 actions × 5 groupes par défaut) entièrement personnalisable par tenant. Aucun champ sensible n'est visible hors du périmètre du conseiller propriétaire.
- 2FA TOTP
Double authentification par code temporel (Google Authenticator, Authy…). Activable par utilisateur depuis les paramètres.
- RBAC 62 permissions
Groupes Admin / Manager / Conseiller / Lecture seule / Auditeur. Chaque permission est assignable individuellement ou par groupe.
- Sessions Redis
Refresh tokens stockés en Redis avec TTL configurable. Révocation instantanée possible par l'administrateur.
Onboarding
Comment sécuriser votre compte
Trois actions prioritaires à réaliser lors de votre onboarding.
- Activer la double authentification (MFA)
Dans Paramètres → Sécurité, scannez le QR code avec votre application TOTP. Le code à 6 chiffres sera demandé à chaque connexion.
- Configurer les permissions RBAC
Dans Administration → Groupes, assignez chaque collaborateur à un groupe (Admin, Manager, Conseiller…) et ajustez les 62 permissions disponibles selon vos pratiques internes.
- Consulter le journal d'audit régulièrement
Depuis Administration → Audit, filtrez par utilisateur, ressource ou période. Le journal est exportable en CSV pour votre Responsable de Conformité ou votre DPO.
Traçabilité
Traçabilité et audit
Toute action sensible (création, modification, suppression, octroi de permission, import, export, consultation de données chiffrées) est tracée de manière immuable avec horodatage, utilisateur, IP et payload.
- Conservation 5 ans minimum, conformément à l'article CMF L.533-13 (obligation CGP).
- Exports DPO : extraction ciblée par client ou période, au format CSV, sur demande ou automatisée.
- Filtrage régulateur : le journal est conçu pour répondre directement aux demandes AMF / ACPR, sans extraction manuelle de votre côté.
- Horodatage RFC 3161 compatible eIDAS pour les documents générés (option signature électronique).
Conformité
Conformité réglementaire
Veillan couvre 9 réglementations applicables aux cabinets CGP. Ce tableau distingue ce que la plateforme prend en charge et ce qui reste de votre responsabilité.
MIF II
Veillan : Journal d'audit décisions, traçabilité conseils
Votre responsabilité : Évaluation profil client (questionnaire)
DDA
Veillan : Traçabilité distribution produits assurance
Votre responsabilité : Devoir de conseil documenté
RGPD
Veillan : Chiffrement, exports DPO, base légale traitement
Votre responsabilité : Information clients, registre traitements
LCB-FT
Veillan : Détection mouvements atypiques, alertes seuils
Votre responsabilité : Déclaration TRACFIN, vigilance renforcée
FIDA
Veillan : Traçabilité accès données financières (2027)
Votre responsabilité : Politique d'accès interne
RIS
Veillan : Sujétion référencement produits
Votre responsabilité : Validation comité de sélection
CMF L.533-13
Veillan : Conservation 5 ans + horodatage
Votre responsabilité : Politique de conservation cabinet
eIDAS 910/2014
Veillan : Signature électronique RFC 3161
Votre responsabilité : Choix du niveau (simple/avancé/qualifié)
NF Z42-013
Veillan : Archivage à valeur probatoire (option)
Votre responsabilité : Mise en œuvre process archivage
Pour aller plus loin
Questions fréquentes sur la sécurité
01Où sont hébergées mes données ?
Dans l'Union européenne, chez Hetzner (datacenters certifiés ISO 27001). Aucune donnée ne sort de l'Union européenne. Les sous-traitants impliqués (ex. Resend pour les e-mails transactionnels) disposent d'un DPA conforme au RGPD.
02Quel chiffrement utilisez-vous ?
AES-256-GCM authentifié avec chiffrement enveloppe à double wrapping : chaque tenant détient sa propre clé de chiffrement, elle-même scellée par une master key. Les données sont chiffrées au repos et en transit (TLS 1.3).
03Comment se passe un audit de votre infrastructure ?
Sur demande, nous fournissons l'architecture technique, le schéma des flux de données, la liste des sous-traitants, les certifications de l'hébergeur (Hetzner, ISO 27001), les processus clés et un extrait du journal d'audit ciblé régulateur. Les audits formels ISO/SOC 2 font l'objet d'une coordination avec votre auditeur.
DPO & Responsable de Conformité
Vous êtes DPO ou RC ?
Demandez un dossier sécurité complet : architecture technique, schéma de flux, liste des sous-traitants avec DPA, extrait du journal d'audit et certifications de l'hébergeur (ISO 27001).