Sécurité & RGPD

1. Hébergement et infrastructure

L'ensemble de nos services et données client est hébergé en France, sur des infrastructures opérées par des acteurs français :

• OVHcloud (datacenter de Strasbourg / SBG) pour les déploiements SaaS standard et dédié.
• Outscale (filiale Dassault Systèmes) pour les déploiements qualifiés SecNumCloud 3.2.
• Localisation des données : France métropolitaine.
• Aucun transfert hors UE sans accord explicite du client.
• Sauvegardes quotidiennes chiffrées, redondance multi-zone.
• Plan de reprise d'activité documenté.

2. Conformité réglementaire

• RGPD : registre des traitements, AIPD pour les traitements à risque, contrats de sous-traitance art. 28 RGPD avec tous nos prestataires.
• AI Act : classification des systèmes IA par niveau de risque, documentation technique, transparence sur les modèles utilisés et leurs limites.
• SecNumCloud : nos solutions sont compatibles avec un déploiement sur infrastructure qualifiée SecNumCloud (ANSSI) sur demande.
• ISO 27001 : alignement progressif sur les bonnes pratiques de la norme (certification en feuille de route).

3. Mesures techniques de sécurité

• Chiffrement en transit (TLS 1.2+) et au repos (AES-256) sur l'ensemble des données client.
• Authentification forte (MFA) obligatoire pour tout accès administrateur.
• Isolation logique stricte des données entre clients (multi-tenant) ou physique (déploiements dédiés / on-premise).
• Journalisation et conservation des logs d'accès et d'activité.
• Tests d'intrusion réguliers et veille active sur les vulnérabilités (CVE).

4. Mesures organisationnelles

• Politique d'accès minimal (principe du moindre privilège) pour les équipes Kasarrow.
• Sensibilisation et formation continue des collaborateurs à la sécurité et au RGPD.
• Engagements de confidentialité contractuels pour tous les intervenants.
• Revue régulière de la matrice des risques et des plans d'action.

5. Données personnelles : usage et durée de conservation

Nous ne traitons les données personnelles que pour fournir le service souscrit. Aucune donnée client n'est utilisée pour entraîner nos modèles IA sans accord explicite et contractuel.

• Durée de conservation : alignée sur la durée du contrat, prolongée le temps des obligations légales (facturation, archives).
• Suppression : possibilité d'export et de suppression complète des données sous 30 jours après la fin du contrat.
• Anonymisation : par défaut pour les usages analytiques internes.

6. Sous-traitants

Liste des sous-traitants intervenant dans le traitement de données client. Tous sont soumis à un contrat art. 28 RGPD et sont localisés en UE.

• OVHcloud (France, Strasbourg) — hébergement, calcul et stockage pour les déploiements SaaS standard.
• Outscale (France, filiale de Dassault Systèmes) — hébergement et infrastructure cloud souverain pour les déploiements qualifiés SecNumCloud 3.2 (également ISO 27001, HDS, SOC 2).
• [À compléter selon stack] — services additionnels (CDN, monitoring, etc.)

7. Notification d'incident

En cas de violation de données personnelles, nous nous engageons à notifier le client dans un délai maximal de 72 heures après la prise de connaissance de l'incident, conformément à l'article 33 du RGPD.

8. Vos droits

Vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité sur les données personnelles que nous traitons pour votre compte.

Pour exercer ces droits ou pour toute question relative à la sécurité ou à la protection des données, contactez-nous à contact@kasarrow.com.

9. Délégué à la protection des données

Artem Kourlaiev - contact@kasarrow.com

Dernière mise à jour : mai 2026.