Hébergement en France & conformité RGPD
Où sont hébergées vos données, comment elles sont protégées, et comment exercer vos droits RGPD.
La conformité est au cœur de Bordoly : nous traitons des données opérationnelles (BSDs, sites, déchets dangereux) qui doivent être protégées par défaut.
Où sont hébergées vos données ?
L'intégralité de vos données est hébergée en France métropolitaine, dans deux centres de données certifiés ISO 27001 et HDS (Hébergeur de Données de Santé) opérés par notre partenaire OVHcloud :
- Data center principal : Roubaix (RBX)
- Data center de réplication : Strasbourg (SBG)
Aucune donnée n'est stockée ou répliquée en dehors de l'Union européenne. Nous n'utilisons aucun service américain soumis au CLOUD Act pour le stockage primaire.
Chiffrement
- En transit : la connexion entre votre navigateur et nos serveurs utilise le standard de chiffrement web le plus récent. Votre navigateur est forcé d'y revenir à chaque visite, les algorithmes négociés sont les plus solides du moment, et chaque session reçoit ses propres clés — un trafic intercepté aujourd'hui ne pourra pas être relu demain même si une clé venait à fuiter.
- Au repos : nos disques (base de données et fichiers) sont chiffrés avec un algorithme de niveau militaire.
- Sauvegardes : chiffrées et répliquées entre les deux data centers, rétention de 30 jours.
Aucun mot de passe Bordoly n'est jamais stocké : les administrateurs web se connectent uniquement par SSO TrackDéchets, et les techniciens utilisent un PIN à usage unique haché côté serveur.
Authentification
- Web admin : authentification unique (SSO) via votre compte TrackDéchets. Aucun mot de passe Bordoly à retenir, aucun secret stocké côté serveur
- Mobile technicien : e-mail + PIN à 6 chiffres (TTL 30 jours, hash bcrypt en base), avec rate-limit (5 tentatives, lockout 30 min) et stockage SecureStore côté appareil
- Portails externes (transporteurs sans compte) : code d'enlèvement aléatoire à usage consultatif, lié à une session unique et révocable depuis l'app admin
Vos droits RGPD
En tant que personne concernée, vous bénéficiez des droits suivants :
- Accès — récupérer une copie de toutes vos données personnelles (export JSON)
- Rectification — modifier les données inexactes depuis votre profil
- Effacement — supprimer définitivement votre compte et les données associées
- Portabilité — recevoir vos données dans un format structuré et lisible par machine
- Limitation — geler temporairement le traitement de vos données
- Opposition — vous opposer à un traitement spécifique
Comment exercer un droit ?
Trois canaux :
- Auto-service : la plupart des actions sont disponibles dans Réglages → Mon compte → Confidentialité (export, suppression)
- E-mail : dpo@bordoly.fr — réponse sous 30 jours maximum
- Courrier : DPO Bordoly, voir mentions légales
Sous-traitants
Nous tenons à jour une liste publique de nos sous-traitants ultimes :
| Sous-traitant | Usage | Localisation |
|---|---|---|
| OVHcloud | Hébergement principal | France |
| Postmark | E-mails transactionnels | UE (DE) |
| Sentry | Suivi d'erreurs (anonymisé) | UE (DE) |
| TrackDéchets API | Émission de BSDs | France |
Tout ajout fait l'objet d'une notification 30 jours à l'avance par e-mail aux Owners des comptes Pro et plus.
Audit & traçabilité
Toutes les actions sensibles (création de BSD, modification de SIRET, suppression de site, export de données) sont enregistrées dans un journal d'audit consultable par les Admins du tenant :
- Rétention : 5 ans
- Format : JSON structuré, exportable CSV
- Intégrité : le journal d'audit conserve chaque mutation de manière immuable côté
base de données, avec horodatage signé serveur, identifiant de session (
requestId) et acteur. La protection avancée par chaîne de hachage est planifiée pour une release ultérieure.
Incident & violation de données
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits :
- Vous serez notifié sous 72h maximum (obligation RGPD article 34)
- Le DPO publie un post-mortem transparent dans les 30 jours
- La CNIL est notifiée selon la procédure réglementaire
Pour aller plus loin
- Politique de confidentialité
- Mentions légales
- Certification SOC 2 Type II en cours de préparation. Sur demande, nous fournissons les engagements opérationnels et techniques actuels (politiques d'accès, journal d'audit, chiffrement) — écrivez à support@bordoly.fr
Astuce : si vous êtes responsable RGPD chez un client final, nous fournissons un DPA (accord de sous-traitance) standard à signer en deux clics — disponible dans Réglages → Conformité.