Hébergement en France & conformité RGPD
Où sont hébergées vos données, comment elles sont protégées, et comment exercer vos droits RGPD.
Mis à jour le 20 avril 2026
La conformité est au cœur de TrackDéchets Compagnon : nous traitons des données opérationnelles (BSDs, sites, déchets dangereux) qui doivent être protégées par défaut.
Où sont hébergées vos données ?
L'intégralité de vos données est hébergée en France métropolitaine, dans deux centres de données certifiés ISO 27001 et HDS (Hébergeur de Données de Santé) opérés par notre partenaire OVHcloud :
- Data center principal : Roubaix (RBX)
- Data center de réplication : Strasbourg (SBG)
Aucune donnée n'est stockée ou répliquée en dehors de l'Union européenne. Nous n'utilisons aucun service américain soumis au CLOUD Act pour le stockage primaire.
Chiffrement
- En transit : TLS 1.3 obligatoire — HSTS, cipher suite forte, perfect forward secrecy
- Au repos : AES-256 sur les disques de la base de données et des stockages objets
- Sauvegardes : chiffrées et répliquées entre les deux data centers, rétention de 30 jours
Les mots de passe sont hachés avec Argon2id (paramètres OWASP 2024). Nous ne stockons jamais votre mot de passe en clair.
Authentification
- Web admin : authentification unique (SSO) via votre compte TrackDéchets. Aucun mot de passe Compagnon à retenir
- Mobile technicien : e-mail + PIN à 6 chiffres (TTL 30 jours), avec rate-limit (5 tentatives, lockout 30 min) et stockage SecureStore côté appareil
- Portails externes (transporteurs sans compte) : code d'enlèvement à usage unique avec TTL de 24h
Vos droits RGPD
En tant que personne concernée, vous bénéficiez des droits suivants :
- Accès — récupérer une copie de toutes vos données personnelles (export JSON)
- Rectification — modifier les données inexactes depuis votre profil
- Effacement — supprimer définitivement votre compte et les données associées
- Portabilité — recevoir vos données dans un format structuré et lisible par machine
- Limitation — geler temporairement le traitement de vos données
- Opposition — vous opposer à un traitement spécifique
Comment exercer un droit ?
Trois canaux :
- Auto-service : la plupart des actions sont disponibles dans Réglages → Mon compte → Confidentialité (export, suppression)
- E-mail : dpo@trdc.cloud — réponse sous 30 jours maximum
- Courrier : DPO Compagnon, voir mentions légales
Sous-traitants
Nous tenons à jour une liste publique de nos sous-traitants ultimes :
| Sous-traitant | Usage | Localisation |
|---|---|---|
| OVHcloud | Hébergement principal | France |
| Postmark | E-mails transactionnels | UE (DE) |
| Sentry | Suivi d'erreurs (anonymisé) | UE (DE) |
| TrackDéchets API | Émission de BSDs | France |
Tout ajout fait l'objet d'une notification 30 jours à l'avance par e-mail aux Owners des comptes Pro et plus.
Audit & traçabilité
Toutes les actions sensibles (création de BSD, modification de SIRET, suppression de site, export de données) sont enregistrées dans un journal d'audit immuable consultable par les Admins du tenant :
- Rétention : 5 ans
- Format : JSON structuré, exportable CSV
- Hash chain : chaque entrée est cryptographiquement liée à la précédente — toute altération est détectable
Incident & violation de données
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits :
- Vous serez notifié sous 72h maximum (obligation RGPD article 34)
- Le DPO publie un post-mortem transparent dans les 30 jours
- La CNIL est notifiée selon la procédure réglementaire
Pour aller plus loin
- Politique de confidentialité
- Mentions légales
- Demander notre rapport SOC 2 Type II (sous NDA) — écrivez à support@trdc.cloud
Astuce : si vous êtes responsable RGPD chez un client final, nous fournissons un DPA (accord de sous-traitance) standard à signer en deux clics — disponible dans Réglages → Conformité.