Politique de confidentialité

Engagements de DDV IT-Solutions sur le traitement de vos données personnelles, conformément au RGPD (UE 2016/679).

En résumé. DDV Secure est construit autour de la défense en profondeur et de la souveraineté française. Aucun cookie de tracking, aucun profilage publicitaire, aucune revente de données. Vos fichiers sont chiffrés en AES-256-GCM avec fragmentation Shamir 2-of-3 ; en mode E2EE, le serveur n'a jamais la clé. L'hébergement est exclusivement français (OVHcloud Roubaix). Vos droits RGPD sont respectés intégralement.

1. Responsable du traitement

DDV IT-Solutions (SAS · SIRET 928 417 948 00017)
Chemin de la Gabre · 06690 Tourrette-Levens · France
Téléphone : +33 6 12 16 81 32
Email : contact@ddv-secure.com
Représentant légal : Monsieur David DI VINCENZO

2. Données collectées et finalités

Donnée	Finalité	Base légale (RGPD)
Identifiant (login) et email	Authentification, notifications transactionnelles, contact support	Exécution du contrat
Mot de passe (haché bcrypt cost=12)	Authentification	Exécution du contrat
Code secret TOTP 2FA (chiffré)	Authentification renforcée (RFC 6238)	Consentement (activation 2FA optionnelle, obligatoire admin)
Fichiers uploadés (chiffrés AES-256-GCM)	Cœur du service : transfert / distribution sécurisée	Exécution du contrat
Métadonnées de transfert (titre, destinataire, taille, dates)	Gestion fonctionnelle du transfert et historique	Exécution du contrat
Adresse IP, user-agent, horodatage des accès	Sécurité, journal d'audit, lutte contre la fraude	Intérêt légitime
Sites de rattachement (DataTransfer)	Contrôle d'accès RBAC par site / dossier	Exécution du contrat
Accusés de lecture procédures (proc_views)	Conformité ISO 9001 / preuve réglementaire	Obligation légale (selon secteur du client)

3. Données NON collectées (par construction)

❌ Le contenu en clair de vos fichiers côté serveur — les fichiers sont chiffrés AES-256-GCM avant écriture sur disque. En mode E2EE, le serveur ne voit même pas la clé.
❌ Aucun cookie publicitaire, de profilage ou de partage avec des plateformes tierces.
❌ Aucun script de tracking comportemental (Google Analytics, Facebook Pixel, Hotjar, etc.).
❌ Aucune donnée de géolocalisation précise, biométrique ou de santé.
❌ Aucun profilage automatisé produisant des effets juridiques (article 22 RGPD).

4. Destinataires des données

Vos données sont accessibles uniquement par :

Vous-même via votre interface utilisateur authentifiée.
Les administrateurs de votre organisation, sur la base d'un modèle RBAC granulaire — un user ne voit que les fichiers de ses sites de rattachement ; les admins de votre tenant voient l'ensemble.
L'équipe technique de DDV IT-Solutions, uniquement pour les opérations de maintenance, sauvegarde et support strictement nécessaires, dans la limite minimale d'accès. Aucun salarié ne consulte vos fichiers en clair en routine. En mode E2EE, le contenu reste techniquement inaccessible même à nous.
Sur réquisition judiciaire dûment formulée selon les procédures légales en vigueur (Code de procédure pénale, lois antiterroristes…). En mode E2EE, le serveur ne dispose pas de la clé et ne peut donc pas fournir le contenu en clair même sur réquisition.

Les seules données transitant hors de notre infrastructure sont les emails transactionnels (notifications de transfert, codes de récupération) envoyés via votre prestataire de messagerie défini par configuration.

5. Durées de conservation

Compte utilisateur : tant que le compte est actif. Suppression sur demande sous 30 jours.
Transferts SecureTransfer : durée choisie à l'envoi (1 à 30 jours, défaut 7 jours) + 7 jours de rétention post-expiration pour récupération, puis suppression sécurisée définitive.
Documents DataTransfer : permanent jusqu'à archivage ou suppression manuelle par l'administrateur. Conservation à des fins d'audit / preuve.
Versions de procédures : conservation permanente pour audit réglementaire (aviation civile, ISO 9001, etc.).
Journal d'audit (key_access_log, audit_log, proc_views) : 1 an minimum (preuve réglementaire), 5 ans recommandés (ISO 27001).
Logs HTTP Apache : 90 jours (avec rotation gzip).
Sessions inactives : invalidation automatique après 12 heures sans activité.
Sauvegardes automatiques : 30 jours glissants (BDD + master key + shards).

6. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (UE 2016/679), vous disposez des droits suivants :

Droit d'accès — obtenir copie des données vous concernant.
Droit de rectification — modifier vos données (directement depuis « Profil & Sécurité »).
Droit à l'effacement — suppression de votre compte et données associées. Les fichiers déjà chiffrés sont écrasés avec des octets aléatoires (suppression sécurisée).
Droit à la portabilité — export de vos métadonnées de transferts au format JSON sur demande.
Droit d'opposition et de limitation du traitement.
Droit de retirer votre consentement à tout moment (notamment pour les emails de notification).
Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

Pour exercer vos droits, contactez-nous à contact@ddv-secure.com. Réponse sous 30 jours maximum.

7. Sécurité des données

Mesures techniques et organisationnelles mises en œuvre :

Chiffrement TLS 1.3 (avec HSTS preload) de toutes les communications.
Chiffrement au repos AES-256-GCM avec dérivation HKDF-SHA256 unique par fichier.
Fragmentation Shamir Secret Sharing 2-of-3 : la clé est découpée en 3 parts dont 2 suffisent à reconstituer — aucun point de compromission unique.
Mode E2EE optionnel : la clé est générée et reste exclusivement dans le navigateur de l'émetteur.
Mots de passe hachés bcrypt cost=12 (résistant aux attaques GPU).
Authentification à deux facteurs (TOTP RFC 6238) disponible, obligatoire pour les comptes administrateurs.
Cookies HttpOnly + SameSite + Secure (en production HTTPS).
Antivirus ClamAV avec signatures mises à jour quotidiennement, scan automatique de tous les uploads.
Filigrane automatique (email + IP + date) sur previews PDF et images, anti-fuite documentaire.
Audit log immuable de toutes les actions sensibles (accès aux clés, lecture procédures, modifications utilisateur).
Pare-feu UFW, anti-bruteforce fail2ban, confinement AppArmor sur PHP-FPM et Apache.
Sauvegardes automatiques quotidiennes chiffrées (BDD + master key + shards), rétention 30 jours.
Hébergement exclusif sur serveur dédié OVHcloud (Roubaix, France) — aucune mutualisation.

8. Transferts hors Union européenne

L'infrastructure principale est hébergée intégralement en France (Roubaix). Aucun transfert régulier de données hors UE n'a lieu.

Le seul cas potentiel de transfert hors UE concerne les emails transactionnels lorsque l'organisation cliente utilise un fournisseur de messagerie tiers (par exemple Microsoft 365 via Graph API, Gmail, etc.). Ces fournisseurs disposent de leurs propres certifications (Data Privacy Framework, clauses contractuelles types) et le contenu des emails reste sous la responsabilité de l'organisation cliente.

9. Cookies et traceurs

Aucun cookie publicitaire ou de tracking n'est utilisé. Le seul cookie déposé est strictement nécessaire au fonctionnement (session de connexion). Voir notre Politique de cookies pour le détail complet.

10. Modifications de la politique

Nous pouvons être amenés à modifier cette politique pour refléter des évolutions techniques, légales ou organisationnelles. La date de dernière mise à jour est indiquée en bas de page. En cas de modification substantielle, vous serez informé par email ou par notification dans l'application.

11. Contact

Pour toute question relative à la confidentialité ou à l'exercice de vos droits, contactez-nous à contact@ddv-secure.com.

Dernière mise à jour : Mai 2026 · Retour à l'accueil