Nous utilisons le stockage local pour mémoriser vos préférences et mesurer l'audience de façon anonyme (Vercel Analytics — aucune donnée personnelle collectée). Politique de confidentialité
Document destiné aux équipes IT et DSI
Cette page répond aux questions les plus fréquentes des équipes informatiques lors de l'évaluation de HealthWatch Global. Si votre IT utilise une checklist standard, envoyez-la directement — nous répondons par écrit sous 2 jours ouvrés.
Réponse écrite sous 2 jours ouvrés. Format compatible avec vos procédures d'homologation.
Où sont hébergées les données ?
Base de données et authentification : Supabase, région AWS eu-central-1 (Frankfurt, Allemagne). Application web et API : Vercel, région edge Europe activée. Emails transactionnels : Brevo (Sendinblue SAS), Paris, France. Toutes les données restent dans l'Union Européenne.
Les données sont-elles transférées hors de l'UE ?
Non pour les données de santé publique et de compte. Les logs d'infrastructure peuvent transiter par des CDN edge mondiaux (Vercel), couverts par des Standard Contractual Clauses (SCCs). Aucun transfert vers des pays tiers non couverts par une décision d'adéquation ou des SCCs.
L'application est-elle disponible en mode déconnecté ou sur site (on-premise) ?
Non. HealthWatch Global est un service SaaS cloud uniquement. Un déploiement on-premise n'est pas disponible à ce stade.
Chiffrement en transit
HTTPS obligatoire sur toutes les routes. TLS 1.2 minimum, TLS 1.3 recommandé. Les connexions HTTP non sécurisées sont redirigées automatiquement vers HTTPS.
Chiffrement au repos
AES-256 géré par Supabase (AWS RDS encrypted volumes). Les mots de passe utilisateurs ne sont jamais stockés en clair — hashés avec bcrypt via Supabase Auth.
Chiffrement des données de sauvegarde
Les sauvegardes automatiques Supabase sont chiffrées au même niveau que les données de production (AES-256, même région AWS).
Comment l'accès aux données est-il contrôlé ?
Row-Level Security (RLS) Supabase activé sur toutes les tables : chaque utilisateur ne peut accéder qu'aux données de son organisation. Les API routes utilisent le service role Supabase uniquement pour les opérations système (crons, webhooks) — jamais exposé côté client.
Principe de moindre privilège
Les rôles applicatifs sont distincts : rôle utilisateur (lecture seule de son org), rôle service (opérations cron, lecture-écriture limitée aux tables système), rôle admin (accès restreint à l'interface /admin, protégé par Supabase Auth + vérification de rôle en base).
Authentification multi-facteurs (MFA) disponible ?
Non nativement à ce stade. L'authentification repose sur Supabase Auth (JWT sécurisés, sessions expirantes). La MFA est sur la feuille de route Enterprise.
Gestion des sessions
Sessions JWT avec expiration et rotation automatique via Supabase Auth. En cas de déconnexion ou de résiliation de compte, les tokens sont invalidés immédiatement.
Fréquence des sauvegardes
Sauvegardes automatiques quotidiennes de la base de données Supabase. Point-in-time recovery (PITR) disponible sur le plan Pro Supabase (rétention 7 jours).
Objectif de disponibilité (SLA)
Objectif de disponibilité 99,9 % (infrastructure Vercel + Supabase combinée). Un SLA écrit est inclus dans les abonnements Team et Enterprise.
Temps de récupération en cas d'incident (RTO / RPO) ?
RTO estimé : < 4 heures pour une restauration complète. RPO : < 24 heures (fréquence des sauvegardes quotidiennes). Ces valeurs sont indicatives et peuvent être formalisées par contrat pour les abonnements Enterprise.
Délai de notification en cas de violation de données
Notification au Responsable du traitement dans un délai de 24 heures après prise de connaissance, conformément à l'Art. 33 RGPD. La notification inclut : nature de la violation, catégories et volume de données concernées, mesures prises et mesures correctives envisagées.
Processus de réponse aux incidents
1) Détection (monitoring Sentry + alertes Supabase) → 2) Confinement (révocation des accès compromis) → 3) Notification du Responsable < 24h → 4) Notification CNIL si risque élevé < 72h → 5) Rapport post-incident fourni sur demande.
Disclosure de vulnérabilités
Les rapports de vulnérabilités peuvent être envoyés à security@healthwatch-global.com. Nous répondons sous 5 jours ouvrés avec un accusé de réception et une estimation du calendrier de correction.
Liste des sous-traitants (sous-processors RGPD)
Supabase Inc. (DB & Auth, Frankfurt), Brevo/Sendinblue SAS (emails, Paris), Vercel Inc. (hébergement & CDN, edge EU), Stripe Inc. (paiements, UE/US — SCCs). La liste complète avec DPA de chaque sous-traitant est disponible dans notre DPA Art. 28.
Notification en cas de changement de sous-traitant
Conformément à l'Art. 28(2) RGPD, le Responsable sera notifié de tout ajout ou remplacement de sous-traitant avec un préavis raisonnable, lui laissant la possibilité de s'y opposer.
Êtes-vous certifiés ISO 27001 ?
Non. HealthWatch Global est une infrastructure early-stage. Nous appliquons les mesures techniques équivalentes (chiffrement, RLS, RBAC, monitoring, backup) et les documentons de manière vérifiable. La certification ISO 27001 est envisagée à partir de 2027.
Audit de sécurité ou test d'intrusion réalisé ?
Pas de pentest formel à ce stade. Un audit de code source peut être organisé pour les abonnements Enterprise sur demande. Nous fournissons l'accès au dépôt privé pour review technique.
Rapport SOC 2 disponible ?
Non. Supabase (notre fournisseur de base de données) est SOC 2 Type II certifié — le rapport est disponible via leur Trust Center. Vercel dispose également d'attestations SOC 2.
Votre IT a une checklist spécifique ?
Envoyez-nous votre liste de questions standard (format libre, Word, PDF ou email). Nous répondons point par point par écrit sous 2 jours ouvrés — dans le format requis par votre procédure d'homologation.