Dossier de conformité

Conformité & Certifications

Mon Rempart respecte les obligations légales et les standards de sécurité attendus par les collectivités, cabinets et entreprises françaises. Cette page récapitule de manière transparente notre niveau de conformité actuel.

Cartographie transparente

Où sont stockées vos données ?

Nous distinguons clairement chaque catégorie de données et son hébergeur. Le contenu sensible (vos fichiers de sauvegarde) reste exclusivement en France. La télémétrie technique nécessaire au fonctionnement du SaaS utilise un hébergeur européen sous RGPD strict.

Fichiers de sauvegarde

État civil, comptabilité, archives, documents administratifs

FranceScaleway·France
Datacenter Paris
Sensibilité critique

Comptes et télémétrie

Emails, agents enregistrés, logs (date/taille de backup), abonnements

Supabase·UE (Allemagne)
Datacenter Frankfurt — RGPD strict
Sensibilité moyenne

Hébergement du site web

Code Next.js compilé, ressources statiques, CDN

Vercel·États-Unis (CCT)
Clauses contractuelles types — pas de données métier
Sensibilité faible

Emails transactionnels

Confirmations, alertes backup, rapport diagnostic

Resend·États-Unis (CCT)
Clauses contractuelles types — pas de données métier
Sensibilité faible

Engagement de transparence : nous tenons cette cartographie à jour à chaque changement de sous-traitant. Tout ajout ou retrait fait l'objet d'une notification préalable de 30 jours à nos clients par email. La liste détaillée des sous-traitants ultérieurs (art. 28 RGPD) est consultable ci-dessous.

Documents téléchargeables

Vos documents de conformité prêts à être joints à un dossier d'achat, un appel d'offres ou un dossier d'assurance cyber.

Demander le DPARegistre des traitements

Conformités & certifications

RGPD (UE 2016/679)

Actif

Conformité totale au Règlement Général sur la Protection des Données. DPO désigné, registre des traitements à jour, procédures d'exercice des droits documentées.

  • Désignation d'un DPO externe (mise à jour janvier 2026)
  • Registre des activités de traitement complet (art. 30 RGPD)
  • PIA (analyse d'impact) réalisée pour les données sensibles
  • Procédure de notification CNIL en moins de 72h en cas d'incident
  • Consentement explicite collecté pour tout traitement non contractuel

Architecture Zero Knowledge

Actif

Vos données sont chiffrées sur votre poste avant tout transfert. Mon Rempart ne peut techniquement pas y accéder, même sur réquisition légale.

  • Chiffrement client AES-256 via Restic (open-source audité)
  • Clé de chiffrement détenue exclusivement par le client
  • Aucune copie de la clé sur nos serveurs
  • Vérification d'intégrité (HMAC-SHA-256) systématique

Souveraineté française

Actif

Les sauvegardes sont stockées en France, chez un hébergeur français, sous juridiction française et européenne.

  • Stockage : Scaleway DC3 (Paris)
  • Aucun transfert de données de sauvegarde hors UE
  • Choix d'un fournisseur non soumis au CLOUD Act américain
  • Plan de migration prévu vers une infrastructure 100 % française (T2 2026)

NIS2 — préparation

En cours

La Directive NIS2 (transposée fin 2024) renforce les obligations de cybersécurité pour les entités essentielles dont les collectivités > 50 agents. Mon Rempart vous aide à y répondre.

  • Journalisation immuable des accès et des opérations
  • Génération automatique de rapports de conformité mensuels
  • Test de restauration mensuel automatisé
  • Procédure de notification d'incident sous 24h

HDS — via partenaire

Via partenaire

Notre hébergeur Scaleway est certifié Hébergeur de Données de Santé (HDS), permettant à Mon Rempart d'être utilisé par des structures médico-sociales et collectivités gérant des données de santé.

  • Certification HDS du datacenter DC3 Scaleway
  • Procédures de continuité d'activité conformes au référentiel
  • Accord de sous-traitance HDS disponible sur demande

France Num & Cybermalveillance

En cours

Référencement en cours auprès du dispositif France Num (DGE) et du portail Cybermalveillance.gouv.fr pour figurer dans le catalogue officiel des solutions cybersécurité françaises.

  • Dossier France Num : déposé T1 2026
  • Référencement Cybermalveillance : prévu T2 2026
  • Adhésion à Hexatrust : étudiée pour T3 2026

Liste des sous-traitants (art. 28 RGPD)

Conformément à l'article 28 du RGPD, voici la liste exhaustive des sous-traitants ultérieurs intervenant dans notre chaîne de traitement de données.

Liste des sous-traitants de Mon Rempart, leur rôle, leur localisation et leurs certifications.
Sous-traitantRôleLocalisationCertifications
Scaleway SAS
Hébergement infrastructure et stockage des sauvegardesFranceParis, France
ISO 27001ISO 27017ISO 27018HDSSOC 2 Type II
Supabase Inc. (région UE)
Authentification et base de données métier (métadonnées : comptes, agents, logs de sauvegarde, abonnements). Ne contient PAS le contenu des sauvegardes.Frankfurt, Allemagne (UE)
SOC 2 Type IIHIPAA-ready
Vercel Inc.
Hébergement du site web et des API (CDN edge). Aucune donnée client stockée durablement.États-Unis + nœuds edge en UE (transfert encadré par CCT)
SOC 2 Type IIISO 27001
Stripe Payments Europe Ltd.
Encaissement des abonnements (cartes bancaires, SEPA)Dublin, Irlande (UE)
PCI-DSS Level 1SOC 1 & 2
Resend
Envoi des emails transactionnels (confirmations, rapports diagnostic, alertes)États-Unis (transfert encadré par CCT)
SOC 2 Type II
Sentry
Monitoring technique des erreurs (anonymisé, sans données métier)États-Unis (transfert encadré par CCT)
SOC 2 Type IIISO 27001

Tout changement de sous-traitant fait l'objet d'une notification préalable de 30 jours auprès de nos clients via email.

Notre engagement de transparence

Mon Rempart est édité par une jeune structure française. Nous avons choisi de communiquer dès aujourd'hui de manière transparente sur notre niveau de conformité, y compris ce qui est en cours ou obtenu via partenaire.

Nous nous engageons à mettre à jour cette page à chaque évolution (nouvelle certification, changement de sous-traitant, audit). La date de dernière mise à jour est indiquée en bas de page.

Une question sur la conformité ?

Contactez directement notre Délégué à la Protection des Données (DPO) pour toute demande relative au RGPD ou à la conformité.

dpo@mon-rempart.fr

Dernière mise à jour : Avril 2026 — version 1.0