1. Philosophie
La sécurité est une obligation contractuelle (art. 32 RGPD, DPA) et un engagement produit. Quaesis applique les principes de défense en profondeur, du moindre privilège et de la minimisation des données.
2. Hébergement
L'application tourne chez un hébergeur applicatif (UE) dans la région Paris (cdg). Les charges sont isolées en containers, les images de base sont mises à jour automatiquement, l'OS est durci par défaut.
3. Données au repos
Chiffrement AES-256 au repos chez tous les fournisseurs de stockage utilisés : base de données managée (région UE), stockage objet (région UE), backups gérés par le fournisseur. Les exports temporaires côté serveur sont chiffrés et purgés dans les 90 jours (cycle de stockage objet).
4. Données en transit
TLS 1.3 obligatoire. HSTS max-age=63072000 (2 ans), includeSubDomains, preload. Pas de dégradation TLS 1.0/1.1 acceptée. Certificats gérés par l'hébergeur applicatif.
5. Authentification
Authentification gérée par une brique d'authentification dédiée(PostgreSQL). Mots de passe d'au moins 8 caractères, hash bcrypt. Vérification d'email obligatoire. Sessions de 7 jours avec refresh quotidien. Cookie de session : SameSite=Lax; Secure; HttpOnly. MFA / TOTP en roadmap.
6. Autorisations (RBAC)
Multi-tenant via le module de gestion des organisations. Rôles : owner, admin, member, viewer. Le panneau /adminest plan-gated (admin = plan, pas un flag sur l'utilisateur).
7. Pseudonymisation FEC native
Pour les missions du commissaire aux comptes, Quaesis pseudonymise nativement les Fichiers des Écritures Comptables (FEC) avant toute transmission à un modèle IA. Les données identifiantes — noms de tiers, IBAN, SIREN/SIRET, emails et téléphones — sont remplacées par des jetons réversibles ; les montants, dates et numéros de comptes sont conservés à l'identique, de sorte que l'analyse comptable reste possible.
- Transformation déterministe et hors-ligne : aucun appel réseau ne sert à détecter les données identifiantes.
- La table de correspondance(jeton → valeur réelle) reste sous le contrôle du cabinet et n'est jamais transmise à un modèle IA ; la ré-identification s'effectue côté serveur.
- Mesure au titre des art. 25 & 32 RGPD (protection des données dès la conception et par défaut). La donnée pseudonymisée demeure une donnée personnelle (considérant 26 RGPD) — aucune exemption n'est revendiquée.
- Répond au secret professionnel d'ordre public du commissaire aux comptes (art. L. 821-35 C. com.), que le client ne peut lever.
8. Logs et monitoring
- Monitoring d'erreurs : erreurs applicatives, PII scrubbée par défaut (
scrubPii), pas desetUsersans consentement analytics. - Observabilité (UE) : traces de pipelines IA, conditionnées au consentement de l'utilisateur (cf. Cookies).
- Journaux de sécurité conservés 6 mois(recommandation CNIL).
9. Réponse à incident
En cas d'incident de sécurité affectant des données personnelles, Quaesis applique :
- qualification de la violation et constitution d'une cellule de crise immédiatement ;
- notification à la CNIL dans les 72 heuressi l'incident est susceptible d'engendrer un risque pour les personnes (RGPD art. 33) ;
- notification aux clients B2B titulaires d'un DPA dans les 48 heures suivant la prise de connaissance ;
- communication aux personnes concernées si le risque est élevé (art. 34).
10. Divulgation responsable de vulnérabilités
Si vous découvrez une faille, contactez security@quaesis.com. Quaesis s'engage à : (i) accuser réception sous 48 h, (ii) ne pas engager de poursuites contre les chercheurs de bonne foi suivant ces règles (test sur compte personnel uniquement, pas d'exfiltration de données tiers, pas de déni de service), (iii) communiquer un calendrier de correction. Un security.txt RFC 9116 est exposé à /.well-known/security.txt. Aucun bug bounty formel n'est en place à ce stade ; un remerciement public est offert pour les rapports valides.
11. Roadmap conformité
- SOC 2 Type II: objectif d'ici 12 à 18 mois selon la croissance Enterprise.
- ISO 27001 : étude de faisabilité.
- MFA / TOTP : implémentation prévue.
- Watermarking C2PA des outputs IA : implémentation avant la fin de la période de grâce AI Act (2026-12-02).