--- title: "Mesures techniques et organisationnelles (MTO)" description: "Dernière mise à jour : 30 mai 2026" canonical_url: "https://getminds.ai/legal/fr/tom" last_updated: "2026-06-24T23:00:16.350Z" --- # Mesures techniques et organisationnelles (MTO) **Dernière mise à jour : 30 mai 2026** Art of X UG (haftungsbeschränkt) (« Minds ») met en œuvre les mesures techniques et organisationnelles suivantes conformément à l'article 32 du RGPD afin de garantir un niveau de sécurité adapté au risque lié au traitement des données à caractère personnel. --- ## 1. Contrôle d'accès ### Contrôle d'accès physique L'infrastructure de Minds est hébergée exclusivement chez des fournisseurs cloud certifiés : - **DigitalOcean** – centre de données de Francfort, Allemagne (UE). Certifications : SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018. - **Supabase** – centre de données de Stockholm, Suède (UE), hébergé sur AWS. Certifications : SOC 2 Type II. La sécurité physique (contrôles d'accès biométriques, surveillance 24h/24 et 7j/7, journalisation des accès) est entièrement gérée par les fournisseurs cloud. ### Contrôle d'accès logique - Contrôle d'accès basé sur les rôles (RBAC) pour tous les systèmes internes et interfaces d'administration. - Authentification multifacteur (MFA) requise pour tout accès des employés aux systèmes de production. - Comptes utilisateurs individuels – pas d'identifiants partagés. - Examen et révocation réguliers des droits d'accès selon le principe du moindre privilège. - Les clés API et identifiants sont gérés dans des gestionnaires de secrets chiffrés. - Les tokens OAuth, identifiants d’intégration et clés API sont limités par portée, chiffrés au repos et révocables. --- ## 2. Chiffrement ### Chiffrement en transit - Toutes les transmissions de données sont sécurisées via TLS 1.2 ou supérieur. - HSTS (HTTP Strict Transport Security) est activé pour tous les points d'accès publics. - La communication interne entre services est également chiffrée. ### Chiffrement au repos - Les bases de données (Supabase/PostgreSQL) utilisent le chiffrement AES-256 pour les données au repos. - Le stockage de fichiers (DigitalOcean Spaces / Supabase Storage) utilise un chiffrement AES-256 côté serveur. - Les sauvegardes sont stockées sous forme chiffrée. --- ## 3. Séparation des données (isolation des tenants) - Séparation logique stricte des données clients au niveau de la base de données par isolation des tenants (Row-Level Security dans PostgreSQL). - Chaque client ne peut accéder qu'à ses propres données – appliqué à la fois au niveau de la base de données et de l'API. - Des tests automatisés garantissent l'absence de fuite de données entre tenants. --- ## 4. Disponibilité et résilience ### Architecture d'hébergement - L'application fonctionne sur DigitalOcean App Platform avec mise à l'échelle automatique et contrôles d'intégrité. - Base de données sur Supabase avec configuration haute disponibilité. ### Sauvegarde et récupération - Sauvegardes automatiques quotidiennes de la base de données avec une période de rétention d'au moins 7 jours. - Point-in-Time Recovery (PITR) pour la base de données PostgreSQL. - Tests réguliers des procédures de récupération. - Recovery Time Objective (RTO) : tel que défini dans le SLA. - Recovery Point Objective (RPO) : maximum 24 heures. --- ## 5. Réponse aux incidents - Processus documenté de réponse aux incidents de sécurité. - Notification au responsable du traitement (client) dans un délai de **48 heures** après la prise de connaissance d'une violation de données à caractère personnel, conformément à l'accord de traitement des données (DPA). - Journalisation et suivi de tous les incidents pertinents en matière de sécurité. - Examen et mise à jour réguliers du plan de réponse aux incidents. --- ## 6. Confidentialité et obligations des employés - Tous les employés et sous-traitants sont liés par des accords de confidentialité (NDA). - Formations régulières à la protection des données pour tous les employés. - Obligation de respecter le secret des données conformément au RGPD. - L'accès aux données à caractère personnel n'est accordé que sur la base du besoin d'en connaître. --- ## 7. Gestion des sous-traitants - Sélection rigoureuse des sous-traitants sur la base de critères de protection des données et de sécurité. - Obligation contractuelle de tous les sous-traitants à un traitement des données conforme au RGPD. - Examen régulier des sous-traitants. - La liste actuelle des sous-traitants est disponible sur [Sous-traitants](/legal/subprocessors). - Préavis aux clients de tout changement conformément au DPA. --- ## 8. Journalisation et supervision - Journalisation centralisée des événements système et des accès. - Les journaux d’audit couvrent accès API/MCP, changements OAuth/intégrations, synchronisation/webhooks calendrier et actions administratives de sécurité. - **Langfuse** pour la supervision et le traçage des interactions avec les modèles d'IA (hébergé dans l'UE). - **PostHog** pour l'analyse produit et le session replay optionnel - analyse persistante/session replay uniquement avec consentement ; diagnostic limité sans cookies lorsque licite. - Supervision des métriques système critiques avec alertes automatisées. - Examen régulier des journaux pour détecter les anomalies. --- ## 9. Minimisation des données et pseudonymisation ### Minimisation des données - Collecte et traitement uniquement des données à caractère personnel nécessaires à la finalité du traitement concerné. - Examen régulier des catégories de données traitées quant à leur nécessité. - Suppression automatique des données qui ne sont plus nécessaires conformément aux durées de conservation définies. ### Pseudonymisation - Lorsque cela est techniquement possible et approprié, les données à caractère personnel sont traitées sous forme pseudonymisée. - Le traitement interne utilise principalement des UUID plutôt que des noms réels. - Les évaluations analytiques sont effectuées sur une base agrégée ou pseudonymisée. --- ## 10. Examen et évaluation réguliers - Évaluations régulières de la sécurité de l'infrastructure et des applications. - Les dépendances sont régulièrement contrôlées pour détecter les vulnérabilités connues (dependency scanning). - Examen et mise à jour de ces MTO au moins une fois par an ou lors de modifications importantes des activités de traitement. - Amélioration continue des mesures de sécurité en fonction du paysage actuel des menaces. --- ## 11. Mesures complémentaires ### Contrôle des entrées - Journalisation des modifications apportées aux données à caractère personnel (audit trail). - Traçabilité de qui a saisi, modifié ou supprimé quelles données et quand. ### Contrôle des transferts - Les transferts de données sont exclusivement chiffrés. - Aucun transfert de données à caractère personnel vers des pays tiers sans un niveau de protection adéquat (décision d'adéquation ou clauses contractuelles types). ### Contrôle du traitement - Traitement des données à caractère personnel exclusivement conformément aux instructions du responsable du traitement. - Régulation contractuelle du traitement sous-traité dans le DPA. --- *Ces mesures techniques et organisationnelles sont examinées régulièrement et mises à jour si nécessaire afin d'assurer un niveau de protection conforme à l'état actuel de la technique.* **Art of X UG (haftungsbeschränkt)** Gérants : Friedrich von Borries et Alexander Doudkin