Sécurité et conformité

Angmate est conçu dès le premier jour selon les principes Privacy by Design et Security by Design, exigés par l'article 25 du RGPD. Nos engagements :

- Données stockées en Union européenne, jamais aux États-Unis pour les données actives - Chiffrement systématique en transit (TLS 1.2+) et au repos (AES-256) - Aucune vente, aucune location, aucun partage commercial des données - Accès aux données limité au strict besoin de connaître (principe du moindre privilège) - Effacement réversible : un adhérent qui supprime son compte voit ses données effacées sous 30 jours

Cette approche est non négociable : elle est la condition d'accès aux marchés français et européen des chaînes.

Les données Angmate sont hébergées en France / Union Européenne :

- Hébergement principal : OVH (France), certifié ISO 27001 - Services secondaires : Firebase / Google Cloud (europe-west1, Belgique) - Sauvegarde : redondance multi-zone Europe + sauvegardes chiffrées quotidiennes

Les transferts ponctuels hors UE (notifications push via APNs/FCM, distribution stores Apple/Google, mesure d'audience et de performance via Vercel) sont encadrés par les Clauses Contractuelles Types (décision Commission européenne 2021/914), conformément aux articles 44 et suivants du RGPD.

Angmate est conforme au Règlement Général sur la Protection des Données (Règlement UE 2016/679) :

- Responsable de traitement : ANGREVIER TECHNOLOGIES SASU - Registre des traitements tenu à jour (article 30 RGPD) - Analyse d'impact (DPIA) réalisée pour les traitements à risque (article 35) - Bases légales documentées pour chaque finalité (contrat, consentement, intérêt légitime) - Procédure d'exercice des droits utilisateur (accès, rectification, effacement, portabilité, opposition, limitation) - Délai de réponse aux demandes : 30 jours, prorogeable une fois

Pour le détail complet, voir notre Politique de confidentialité.

Chiffrement - En transit : TLS 1.2 minimum (TLS 1.3 partout où possible) - Au repos : AES-256 côté Google Cloud - Mots de passe : hash cryptographique côté Firebase Authentication (jamais en clair)

Authentification et contrôle d'accès - Firebase Authentication (multi-facteurs disponible côté utilisateur) - App Check pour bloquer les requêtes non légitimes (jailbreak detection) - Règles de sécurité Firebase default-deny (validation côté serveur systématique) - Cloud Functions sandboxées, sans accès direct à la base depuis le client

Détection et réaction - Journalisation des accès administrateur, conservation 12 mois - Détection d'anomalies (rate limiting, login failure protection) - Procédure d'incident formalisée, équipe astreinte

ANGREVIER TECHNOLOGIES SASU fait appel aux sous-traitants suivants pour fournir le service :

- OVH (France), hébergement infrastructure principal, certification ISO 27001 - Google Ireland Limited (Firebase, Cloud), services secondaires (notifications push, analytics app) - Plausible Insights OU, mesure d'audience site web (sans cookie, sans identifiant personnel) - Vercel Inc. (Web Analytics, Speed Insights), mesure d'audience et de performance du site web sans cookie, États-Unis (SCC) - Microsoft Ireland Operations Limited (Microsoft Clarity), analytics comportementale web (cartes de chaleur, enregistrements de session), sur consentement - Expo / EAS, distribution des mises à jour mobiles - Stripe Payments Europe Ltd. (futur), traitement des paiements, certifié PCI DSS niveau 1 - Apple Inc. / Google LLC (Stores), distribution des applications

Un DPA (Data Processing Agreement) est signé avec chaque sous-traitant. La liste complète et à jour est disponible sur demande à dpo@angmate.fr.

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées :

- Notification à la CNIL dans les 72 heures de la prise de connaissance (article 33 RGPD) - Information des utilisateurs concernés dans les meilleurs délais si le risque est élevé (article 34 RGPD) - Documentation interne de toute violation, même non notifiable

Une procédure de gestion d'incident documentée est maintenue à jour en interne.

Les chaînes nationales et grands comptes exigent des certifications formelles. Notre feuille de route :

- 2026 : audit interne RGPD complet, désignation formelle d'un DPO externe - 2027 : préparation ISO 27001 (Système de Management de la Sécurité de l'Information) - 2028 : ISO 27701 (extension protection des données) + SOC 2 Type II

Nous mettons à disposition les attestations DPA, registre des traitements et documentation technique aux clients sous accord de confidentialité.

Pour toute question relative à la sécurité ou au traitement de vos données :

- Email DPO : dpo@angmate.fr - Adresse : ANGREVIER TECHNOLOGIES SASU, 15 Avenue Arthur Rimbaud, 60110 Méru, France - CNIL (autorité de contrôle) : www.cnil.fr, 01 53 73 22 22

Pour signaler une vulnérabilité (responsible disclosure) : dpo@angmate.fr.