Trust Center

Sécurité & Conformité

Architecture de sécurité, certifications, conformité réglementaire et politique de protection des données de la plateforme MOVRz.

🌐 Hébergement & zones de données

MOVRz est déployé sur une architecture entièrement gérée, sans serveur dédié géré par Triads. Les données utilisateurs ne quittent jamais l'Union Européenne.

Frontend & API — Cloudflare Pages

Cloudflare Workers Edge Network. Le code s'exécute dans la zone géographique la plus proche de l'utilisateur. Les données de traitement ne sont pas persistées au niveau Worker — elles sont calculées en mémoire et retournées.

🗄️

Base de données — Supabase / AWS eu-west-3

Toutes les données persistées (déclarations, registre, UniqueTrail) sont stockées exclusivement dans la région AWS eu-west-3 (Paris, France). Aucun transfert de données de stockage hors de l'Union Européenne.

🔐 Chiffrement

CoucheStandardImplémentation
TransitTLS 1.3Cloudflare — terminaison TLS sur edge. Downgrade < TLS 1.2 refusé.
ReposAES-256Supabase / AWS — chiffrement au niveau volume et base de données.
Hachage d'intégritéSHA-256UniqueTrail — chaque déclaration génère une empreinte cryptographique irréversible.
PseudonymisationHash saléIdentifiants utilisateurs et tiers hachés — aucun nom en clair dans les tables.

🛡️ Contrôle d'accès & isolation des données

  • Row Level Security (RLS) Supabase — chaque utilisateur n'accède qu'aux lignes qui lui appartiennent. Aucun accès croisé entre organisations n'est possible au niveau base de données.
  • Séparation des rôles — les données de déclaration (scoring, registre) sont logiquement isolées des données d'exploitation (logs, facturation).
  • JWT à durée limitée — les tokens d'authentification expirent en session. Pas de token persistant en cookie — session storage uniquement.
  • Aucun accès administrateur en production sans audit trail — toute intervention sur les données en production est journalisée.
  • Pas de partage de données entre clients — l'architecture multi-tenant garantit l'isolation complète entre organisations clientes.

👤 Pseudonymisation & privacy by design

MOVRz implémente le principe de privacy by design (art. 25 RGPD) à chaque couche de l'architecture.

  • Aucun nom de collaborateur, ni de tiers, n'est stocké en clair dans les tables de scoring ou de registre
  • Chaque utilisateur est identifié par un pseudonyme cryptographique généré à la création du compte
  • Les déclarations de conflit d'intérêts sont stockées sous forme pseudonymisée — seul le Compliance Officer de l'organisation peut faire le lien avec l'identité réelle via le référentiel interne
  • Le formulaire de déclaration téléchargeable reproduit ce principe : aucun champ « Nom » — uniquement un « Identifiant déclarant » interne
  • Conformément à la recommandation de l'AFA : « Un collaborateur peut déclarer qu'il est dans une situation de conflit d'intérêts sans préciser quels sont les intérêts personnels en jeu. »

Decay Rate RGPD — suppression automatique

Le mécanisme de Decay Rate MOVRz intègre un effet RGPD : les relations dont le niveau descend à 1 sur une période de 12 mois sont automatiquement marquées pour suppression sous 30 jours. Ce mécanisme met en œuvre le droit à l'oubli (art. 17 RGPD) sans action manuelle.

🔗 UniqueTrail — intégrité des déclarations

Chaque déclaration de conflit d'intérêts formalisée dans MOVRz génère un UniqueTrail : une empreinte SHA-256 chaînée qui prouve que la déclaration a bien été faite avant la prise de décision et qu'elle n'a pas été modifiée a posteriori.

  • Hash calculé sur : identifiant déclarant (pseudonymisé) + timestamp + type COI + sphère + mesures décidées
  • Chaînage avec le hash de la déclaration précédente — toute modification rompt la chaîne et est détectable
  • Exportable en JSON pour archivage légal ou audit externe
  • Conservation permanente (exception légale — obligation probatoire Sapin II / art. 1833 C.civ.)

🇪🇺 Conformité RGPD

Art. 5 RGPD

Minimisation des données

Seules les données strictement nécessaires sont collectées. Aucun champ nominatif dans les tables de scoring. ✓ Conforme

Art. 6 RGPD

Bases légales documentées

6 traitements qualifiés avec leur base légale : contrat, obligation légale, consentement, intérêt légitime. ✓ Conforme

Art. 25 RGPD

Privacy by design

Pseudonymisation systématique, Decay Rate automatique, RLS base de données. ✓ Conforme

Art. 28 RGPD

DPA sous-traitants

DPA signé avec Cloudflare (CCT) et Supabase. DPA client disponible sur demande. ✓ Conforme

Art. 37 RGPD

DPO désigné

Raph Dowlut — contact@movrz.ivlabs.pro [objet : DPO]. ✓ Conforme

Art. 46 RGPD

Transferts hors UE

Cloudflare : CCT Commission UE 2021/914 + EU-US Data Privacy Framework. Supabase : stockage exclusivement AWS eu-west-3 (Paris). ✓ Conforme

⚖️ Loi Sapin II — anticorruption

MOVRz est conçu pour accompagner les entreprises dans leur programme de conformité anticorruption tel que défini par la loi Sapin II (loi n° 2016-1691, art. 17). Le service contribue directement à plusieurs piliers du programme obligatoire :

  • Cartographie des risques — les 13 sphères et le scoring COI permettent d'identifier et de documenter les zones à risque de corruption liées aux relations interpersonnelles
  • Dispositif de déclaration — le workflow en 3 phases constitue un dispositif de déclaration formalisé et traçable
  • Registre — l'UniqueTrail et le registre persistent constituent le registre des conflits d'intérêts recommandé par l'AFA
  • Code de conduite — le module de sensibilisation et les ressources gratuites (livre blanc, formulaire) contribuent à la diffusion du code de conduite

MOVRz est un outil d'aide à la mise en conformité et ne se substitue pas à l'évaluation conduite par l'AFA. Il doit être intégré dans un programme anticorruption complet validé par un professionnel qualifié.

🤖 AI Act (UE 2024/1689) — position et vigilance

Le Règlement sur l'intelligence artificielle (AI Act), entré en vigueur en 2024 avec une application progressive jusqu'en 2027, classifie les systèmes d'IA selon leur niveau de risque. MOVRz génère des scores d'évaluation (C = S × (1−T)) appliqués à des situations professionnelles. Cette caractéristique le place dans un périmètre de vigilance.

Critère AI ActPosition MOVRz
Évaluation de personnes dans un contexte professionnel (Annexe III)⚠️ À surveiller — le scoring porte sur des situations, pas directement sur des personnes
Prise de décision automatisée contraignante✓ Non applicable — toute décision requiert une validation humaine explicite
Transparence du modèle de scoring✓ Modèle explicable — formule C = S × (1−T) documentée publiquement
Surveillance humaine (human oversight)✓ Phase 3 obligatoire — aucune obligation n'est déclenchée sans validation d'un CO ou manager
Documentation technique⚠️ En cours — documentation formelle de conformité AI Act à produire

Triads SAS à mission suit activement l'évolution des obligations AI Act et mettra à jour cette page à mesure que la classification de MOVRz sera clarifiée par les lignes directrices de la Commission européenne.

📋 Alignement ISO 37001 & AFA

Bien que MOVRz ne soit pas certifié ISO 37001 (Systèmes de management anticorruption), son architecture méthodologique est alignée sur les exigences de cette norme et sur le référentiel de l'AFA :

  • Identification des fonctions à risque — couvert par le système LCM et le sélecteur de rôle
  • Évaluation des risques liés aux parties tierces — couvert par les 13 sphères et le Decay Rate
  • Déclaration et gestion des conflits d'intérêts — couvert par le workflow Phase 1–2–3
  • Traçabilité et audit trail — couvert par l'UniqueTrail (hash SHA-256 chainé)
  • Formation et sensibilisation — couvert par le livre blanc et le simulateur gratuits

🤝 Sous-traitants & certifications

Sous-traitantRôleLocalisation donnéesCertifications
Cloudflare, Inc. CDN, Workers Edge, DDoS, TLS Edge EU + USA (traitement en mémoire uniquement, sans persistance) ISO 27001 SOC 2 Type II CCT EU EU-US DPF
Supabase / AWS Base de données PostgreSQL, authentification AWS eu-west-3 — Paris, France (exclusivement dans l'UE) ISO 27001 SOC 2 GDPR DPA

La liste des sous-traitants est susceptible d'évoluer. Toute modification sera notifiée aux Clients avec un préavis de 30 jours conformément à l'art. 28.2 RGPD.

📄 DPA — Accord de traitement des données

Pour les Clients ayant souscrit une offre commerciale impliquant le traitement de données personnelles de leurs collaborateurs (offres Start, Pro, Enterprise, Public), un Accord de traitement des données (DPA) est disponible, conformément à l'article 28 du RGPD.

Dans le cadre de ce DPA :

  • Triads SAS à mission agit en qualité de sous-traitant (au sens RGPD)
  • Le Client est le responsable de traitement des données de ses collaborateurs
  • Triads traite les données uniquement sur instruction documentée du Client
  • Les mesures de sécurité décrites dans cette page constituent les garanties techniques et organisationnelles au sens de l'art. 28.3.c RGPD

Pour obtenir le DPA : contact@movrz.ivlabs.pro — objet : [DPA MOVRz]. Délai de traitement : 5 jours ouvrés.

Contacts sécurité & protection des données

Délégué à la Protection des Données (DPO)
Raph Dowlut — contact@movrz.ivlabs.pro [objet : DPO]
Délai de réponse : 1 mois (art. 12 RGPD), prorogeable de 2 mois en cas de complexité.

Signalement d'une vulnérabilité
En cas de découverte d'une vulnérabilité de sécurité sur la plateforme MOVRz, merci de nous contacter de façon responsable à : contact@movrz.ivlabs.pro [objet : Security Report]
Nous accuserons réception sous 48h et traiterons le signalement dans les 30 jours.

Demandes réglementaires
Pour toute demande relative au RGPD, aux droits des personnes, à un audit de conformité ou à une demande d'accès dans le cadre d'une procédure légale : contact@movrz.ivlabs.pro [objet : Legal/Compliance]