Sécurité et conformité dedgetech.org

Vos données hôtelières — profils invités, réservations, folios — vivent principalement dans votre tenant D-EDGE. Nos modules add-on ne mettent en cache que le strict nécessaire pour fonctionner. Voici le détail des mesures de sécurité et de conformité.

Cadre juridique

  • Opérateur : D-Edge Technologies SAS, SIREN 897 452 631, 25 rue de la Boétie, 75008 Paris, France
  • Loi applicable : droit français, RGPD (règlement UE 2016/679), Loi Informatique et Libertés 78-17
  • Autorité de contrôle : Commission Nationale de l'Informatique et des Libertés (CNIL)
  • Déclaration CNIL : n° 2 187 458
  • Directeur de la publication : Sébastien Leclerc
  • DPO : dpo@dedgetech.org

Hébergement et localisation des données

Site vitrine et checkout : Shopify EU (Dublin, Irlande). Cache API modules : OVHcloud Roubaix, France. Aucune donnée hôtelière ne sort de l'UE. Vos données originales restent dans votre tenant D-EDGE (hébergé par D-Edge Technologies SAS — voir leur documentation pour la localisation).

Chiffrement

  • En transit : TLS 1.3 partout, HSTS activé, certificats Let's Encrypt rénouvés automatiquement
  • Au repos : AES-256 sur tous les volumes de stockage OVHcloud
  • Secrets applicatifs : chiffrés au niveau du KMS OVHcloud, rotation trimestrielle
  • Jetons API D-EDGE : chiffrés côté serveur, jamais logés en clair

Contrôle d'accès

Authentification par lien magique email pour tous les clients (pas de mot de passe stocké). 2FA activable optionnellement pour les comptes admin. Sessions expiration 8h par défaut, 30 min si inactif.

Rétention et suppression

  • Cache API : 90 jours max après révocation du jeton D-EDGE
  • Journaux applicatifs : 90 jours
  • Journaux d'audit : 2 ans (obligation article 32 RGPD)
  • Données de facturation : 10 ans (obligation Code de commerce)
  • Emails marketing : consentement explicite, opt-out en un clic, purge 30 jours après désabonnement

Audits et certifications

  • ISO 27001 : en cours de certification (audit initial prévu Q3 2026)
  • PCI DSS : conformité SAQ-A (paiements via acquireur PCI-DSS Level 1, aucune carte stockée chez nous)
  • Pénétration tests : externe une fois par an (dernière : mars 2026, rapport disponible sur NDA)
  • Bug bounty : programme non-public, contacter security@dedgetech.org

Droits des personnes concernées

Vos invités hôteliers, dont les données transitent via nos modules, disposent des droits RGPD standards (accès, rectification, effacement, portabilité, opposition, limitation). Demandes à dpo@dedgetech.org. Réponse sous 30 jours calendaires.

Sous-traitants (article 28 RGPD)

Liste à jour des sous-traitants disponibles sur demande via dpo@dedgetech.org. Principaux : OVHcloud (hébergement), Shopify (checkout), Postmark (emails transactionnels), SendGrid (emails marketing), Aviagram/Zenthoryx (paiements carte).

Notification incidents

En cas de violation de données à caractère personnel : notification CNIL sous 72h, notification clients concernés dans les meilleurs délais avec description de la nature de l'incident et mesures prises. Voir article 33 et 34 RGPD.