La sécurité, traitée comme le secret professionnel.

Hébergement

L'application et la base de données sont hébergées chez Hetzner Online GmbH, fournisseur allemand de cloud, dans son datacenter de Nuremberg. Hetzner est soumis au droit européen et au RGPD. Aucune donnée ne quitte l'Union européenne.

Nous n'utilisons aucun service américain pour le traitement des données (pas d'AWS, pas de Google Cloud, pas d'Azure). Les seuls services tiers en contact avec votre cabinet sont :

• Stripe(paiement de l'abonnement) — données strictement liées à la facturation Grefia, pas aux données du cabinet.
• Microsoft Outlook(optionnel, pour l'envoi des relances) — sur autorisation explicite du cabinet.
• Resend (emails transactionnels : réinitialisation de mot de passe, notifications) — hébergé en UE.

Conformité RGPD

Grefia agit comme sous-traitant au sens du Règlement Général sur la Protection des Données (UE 2016/679). Votre cabinet reste responsable de traitement pour les données de ses clients.

• Contrat de sous-traitance (DPA) conforme à l'article 28 disponible sur demande à contact@grefia.fr.
• Droit d'accès, rectification, effacement, portabilité : depuis Paramètres → Mon compte, vous pouvez exporter ou supprimer toutes les données de votre cabinet à tout moment.
• Pas de transfert hors UE: toutes les données restent dans l'Union européenne.
• Pas de traceurs publicitaires: Grefia n'utilise pas de cookies de tracking tiers, donc pas de bandeau de consentement requis.

Secret professionnel

L'équipe Grefia n'accède aux données de votre cabinet que dans deux cas : maintenance technique avec votre accord explicite, ou réquisition judiciaire dûment motivée.

Aucune donnée de votre cabinetn'est utilisée pour entraîner un modèle d'IA, ni partagée avec un tiers, ni monétisée d'aucune façon. Grefia se finance exclusivement par l'abonnement.

Architecture technique

• Application Node.js / Next.js sur infrastructure conteneurisée, isolée par réseau privé.
• Base PostgreSQL, accès uniquement via la couche applicative (pas d'exposition directe à l'internet).
• Mots de passe hachés en bcrypt (coût 10). Les hash ne sont jamais journalisés.
• Tokens OAuth (intégration Outlook) chiffrés en AES-256-GCMau niveau applicatif avant écriture en base — la clé n'est jamais commitée dans le code.
• Sessions à durée de vie courte, signées par JWT. Révocation possible à la volée (force-logout administrable).
• Limitation des tentatives de connexion par IP (20 / 15 min) et par email (10 / 15 min) pour bloquer les attaques par force brute.
• Cloisonnement strict entre cabinets : chaque requête en base filtre parcabinetId; vérifié par tests automatisés.
• Mises à jour de sécurité appliquées dans les 72h suivant la publication d'une CVE critique sur une dépendance.

Sauvegardes & continuité

Sauvegardes automatiques quotidiennes de la base de données, conservées sur l'infrastructure Hetzner. Procédure de restauration disponible. Pour les cabinets ayant des exigences de continuité spécifiques, contactez-nous pour définir un SLA personnalisé.

Signaler un incident

Si vous suspectez une vulnérabilité ou un accès non autorisé, écrivez à contact@grefia.fr. Nous accusons réception sous 24h ouvrées et publions un correctif dans les délais proportionnés à la gravité. En cas de violation de données affectant votre cabinet, vous êtes notifié dans les 72h conformément à l'article 33 du RGPD.