← Retour
🔒 Politique de Sécurité des Systèmes d'Information
Réactis — Logiciel SaaS de gestion de crise — IFClubs SAS
Version : 1.0 — Juin 2026 |
Révision prévue : Juin 2027 |
Contact sécurité : contact@ifclubs.fr
Ce document décrit les mesures techniques et organisationnelles mises en œuvre par IFClubs SAS pour assurer la sécurité de la plateforme Réactis et des données de ses clients. Il est destiné aux responsables informatiques et RSSI des établissements utilisateurs.
1. Périmètre et objectifs
La présente PSSI s'applique à l'ensemble du système d'information de la plateforme Réactis, incluant :
- L'infrastructure d'hébergement (serveurs, réseau, sauvegardes)
- Le code source et les applications (backend Node.js, frontend React)
- Les données traitées pour le compte des clients (journaux de crise, contacts, documents)
- Les sous-traitants techniques (hébergeur, fournisseurs IA)
Les objectifs de sécurité poursuivis sont : confidentialité (les données d'un client ne sont pas accessibles à un autre), intégrité (les données ne peuvent être altérées de façon non tracée), disponibilité (la plateforme est accessible lors des crises).
2. Hébergement et infrastructure
Localisation des données
L'ensemble des données client de production est hébergé sur des serveurs situés en France, chez OVH SAS, hébergeur certifié HDS (Hébergeur de Données de Santé) et ISO 27001. Aucune donnée client n'est répliquée hors de l'Union européenne.
Note de transparence : le basculement vers l'infrastructure OVH HDS sera effectué à l'entrée du premier client en production. En phase pré-commerciale (démo uniquement), l'environnement de démonstration est hébergé chez IONOS SE — il ne contient aucune donnée client réelle.
L'environnement de démonstration (demo.crise.ifclubs.fr) est hébergé chez IONOS SE (certifié ISO 27001, données en France). Cet environnement ne contient aucune donnée client réelle — les données y sont fictives et à vocation illustrative uniquement.
Isolation des tenants
Chaque établissement client (tenant) dispose d'une instance logicielle indépendante, avec :
- Un processus Node.js dédié (port unique, espace mémoire isolé)
- Un répertoire de données distinct sur le système de fichiers (
/opt/crise-tenants/[slug]/)
- Des identifiants d'accès propres (mots de passe hashés bcrypt, jamais partagés entre tenants)
Il est techniquement impossible pour un tenant d'accéder aux données d'un autre tenant.
Accès éditeur aux données client
Engagement de l'éditeur : IFClubs SAS n'accède aux données d'un tenant qu'à la demande explicite et documentée de l'établissement (support technique, diagnostic), et uniquement via un accès SSH tracé. Aucun accès applicatif aux données client n'est possible sans authentification.
3. Chiffrement et transport
| Canal / Donnée | Mécanisme | Statut |
|---|
| Transport HTTPS | TLS 1.2 / 1.3 + HSTS | ✅ Actif |
| Mots de passe | Hachage bcrypt (coût 10) | ✅ Actif |
| Sauvegardes SQL | Archives chiffrées AES-256 | ✅ Actif |
| Données au repos (fichiers JSON) | Système de fichiers serveur (non chiffré au niveau bloc) | ⚠️ Roadmap |
| Secrets applicatifs (.env) | Fichiers système, permissions 600, non versionnés | ✅ Actif |
4. Authentification et contrôle d'accès
Modèle d'accès actuel
- Compte Admin : mot de passe individuel hashé bcrypt — accès complet à la crise et à la configuration
- Compte Membre : mot de passe partagé hashé bcrypt — accès opérationnel (journal, alertes) sans accès à la configuration
- Panneau Admin : protégé par un second mot de passe administrateur distinct
- Sessions limitées à l'onglet navigateur — la fermeture de l'onglet déconnecte automatiquement
Roadmap authentification
MFA (authentification multi-facteurs) : en cours de développement — intégration TOTP (compatible Google Authenticator, Microsoft Authenticator) prévue.
SSO / SAML / OIDC : prévu pour les établissements disposant d'un annuaire Azure AD ou LDAP — disponible sur devis.
5. Sauvegardes et continuité
- Fréquence : sauvegarde quotidienne automatique de l'intégralité des données tenant
- Rétention : 30 jours glissants
- Format : archives chiffrées AES-256 stockées hors du répertoire de production
- Test de restauration : effectué trimestriellement par l'équipe technique
- RPO (Recovery Point Objective) : 24 heures maximum
- RTO (Recovery Time Objective) : 4 heures ouvrées maximum
6. Intelligence artificielle — Données transmises à des tiers
Principe général : l'IA est optionnelle
Toutes les fonctionnalités essentielles de Réactis (journal, alertes, contacts, documents, historique) fonctionnent sans aucun recours à l'IA. Les fonctionnalités IA (conseils contextuels, synthèse de réunion, rapport de fin, RETEX, correction orthographique) sont activables ou désactivables indépendamment par l'éditeur pour chaque tenant.
Données effectivement transmises
Lorsque les fonctionnalités IA sont activées, les données suivantes peuvent être transmises aux fournisseurs IA :
| Donnée transmise | Finalité | Données exclues |
|---|
| Entrées du journal de crise (texte des actions, décisions, informations) | Génération de conseils, synthèse, rapport | Numéros de dossier patient, données médicales nominatives |
| Type et nom de la crise | Contextualisation de la réponse IA | Données d'identification personnelle des victimes |
| Transcription de réunion | Classification et résumé automatique | Données nominatives si absentes de la transcription brute |
Recommandation opérationnelle : les équipes de crise sont invitées à ne pas saisir de données médicales nominatives (nom de patient, numéro de dossier) dans le journal — celui-ci doit rester un outil de coordination, non un dossier médical.
Fournisseurs IA et engagements RGPD
| Fournisseur | Usage | Localisation | Engagement RGPD |
|---|
| Groq Inc. |
Conseils temps réel, correction, transcription |
USA — couvert par Clauses Contractuelles Types (CCT) UE |
DPA disponible · Données non utilisées pour l'entraînement des modèles · Rétention : 0 jour (traitement en mémoire uniquement) |
| Anthropic PBC |
Synthèse, rapport de fin, RETEX, lettre annuelle |
USA — couvert par CCT UE + Privacy Shield successeur |
DPA disponible · Données non utilisées pour l'entraînement sans consentement explicite · Rétention : 30 jours maximum (logs de sécurité uniquement) |
Engagement IFClubs SAS : les données transmises aux fournisseurs IA sont couvertes par des Clauses Contractuelles Types (CCT/SCC) conformes au RGPD. Aucune donnée n'est utilisée pour entraîner les modèles d'IA sans accord explicite. Les DPA (Data Processing Agreements) de Groq et Anthropic sont disponibles sur demande.
7. Gestion des incidents de sécurité
- Détection : surveillance des logs serveur, alertes automatiques en cas d'erreurs répétées ou d'accès anormaux
- Notification : en cas de violation de données susceptible d'engendrer un risque pour les droits et libertés, IFClubs SAS notifie l'établissement concerné dans les 72 heures conformément à l'article 33 du RGPD
- Contact : contact@ifclubs.fr — réponse sous 48h ouvrées
- Traçabilité : les accès SSH à l'infrastructure sont journalisés
8. Gestion des vulnérabilités et mises à jour
- Mises à jour de sécurité des dépendances Node.js appliquées sous 72h après publication d'une CVE critique
- Mises à jour du système d'exploitation appliquées mensuellement
- Veille sécurité sur les composants tiers (Express, multer, jsonwebtoken, bcrypt)
- Tests de non-régression après chaque mise à jour avant déploiement en production
9. Réversibilité et portabilité des données
À tout moment et en cas de résiliation, l'établissement peut :
- Exporter l'intégralité de ses données via Admin → RGPD → Exporter toutes les données (ZIP) — format JSON standard, lisible par tout système
- Demander un export SQL complet de sa base de données à contact@ifclubs.fr
- Obtenir la suppression définitive de l'ensemble de ses données dans un délai de 30 jours après résiliation
Le format JSON des exports garantit la portabilité — les données peuvent être réintégrées dans tout système de gestion documentaire ou archivage.
10. Liste des sous-traitants
| Sous-traitant | Rôle | Pays | Base légale transfert |
|---|
| OVH SAS (production) | Hébergement infrastructure client | France (UE) | Certifié HDS + ISO 27001 — pas de transfert hors UE |
| IONOS SE (démo uniquement) | Hébergement environnement de démonstration | France (UE) | Certifié ISO 27001 — données fictives uniquement |
| Groq Inc. | Traitement IA (optionnel) | USA | CCT UE (SCC 2021) |
| Anthropic PBC | Traitement IA (optionnel) | USA | CCT UE (SCC 2021) |
| Meta (WhatsApp Business Cloud API) | Alertes mobiles WhatsApp (optionnel) | USA | Activé à l'entrée du premier client — remplace l'intégration actuelle non officielle |
| Fournisseur SMTP client | Envoi d'alertes email | Variable (configuré par l'établissement) | Responsabilité de l'établissement |
11. Tests de sécurité
IFClubs SAS s'engage à réaliser les évaluations de sécurité suivantes :
- Analyse de code statique : effectuée en continu lors des développements
- Test de pénétration (pentest) : prévu avant tout déploiement en environnement hospitalier certifié — réalisé par un prestataire externe accrédité PASSI (ANSSI)
- Les rapports de pentest sont communicables aux RSSI des établissements sous NDA
12. Partage des responsabilités
| Responsabilité | IFClubs SAS (éditeur) | Établissement (client) |
|---|
| Sécurité de l'infrastructure et du code | ✅ Éditeur | — |
| Gestion des mots de passe (distribution, renouvellement) | — | ✅ Établissement |
| Contenu saisi dans le journal de crise | — | ✅ Établissement |
| Configuration SMTP (sécurité du serveur email) | — | ✅ Établissement |
| Politique d'accès Teams / Azure AD | — | ✅ Établissement |
| Conformité de l'usage avec les politiques internes SI | — | ✅ Établissement |
| Notification CNIL en cas d'incident côté éditeur | ✅ Éditeur | — |