Sécurité & Conformité

Architecture & hébergement

Vos données ne quittent pas votre périmètre

Halirom est conçu en architecture on-premise par défaut : l'application s'installe sur votre infrastructure (NAS Synology / QNAP, serveur, poste de travail) et toutes les données métier — emails, factures, devis, fiches chantier, documents — restent physiquement sur votre matériel.

Si vous préférez ne pas héberger vous-même, Halirom propose une option cloud souverain :

Hébergement en France (datacenter français certifié) ou en Allemagne (Hetzner, RGPD strict)
Aucune dépendance à AWS, Azure ou Google Cloud
Aucun transit de données hors UE
Chiffrement au repos et en transit (AES-256 + TLS 1.3)

Souveraineté juridique

Hors Cloud Act, hors FISA, hors Patriot Act

Halirom est une entreprise française, opérée par des équipes françaises, sur des infrastructures européennes. Aucun composant logiciel ou matériel critique n'est soumis à la juridiction américaine.

Concrètement : aucune autorité étrangère ne peut exiger vos données, même via une procédure secrète. Cette garantie est contractualisée dans le DPA (Data Processing Agreement) fourni à chaque client.

Conformité RGPD

RGPD by design — pas une couche en surface

Halirom intègre la conformité RGPD dès la conception de chaque module :

Minimisation : seules les données strictement nécessaires sont traitées
Droit à l'oubli : suppression complète des données client en moins de 30 jours sur demande
Portabilité : export complet de vos données en formats standards (JSON, CSV, PDF) à tout moment
Audit trail : journal complet horodaté de tous les accès et opérations sur les données
DPA contractuel : contrat de sous-traitance fourni à chaque client
DPO : un délégué à la protection des données est joignable à dpo@halirom.com

Sécurité technique

Mesures techniques en place

Chiffrement TLS 1.3 minimum pour toutes les communications
Chiffrement AES-256 des données au repos (vault Fernet)
Authentification forte (mot de passe + 2FA disponible)
Rotation automatique des secrets et clés API
Mises à jour de sécurité automatiques pilotées par l'orchestrateur Halirom
Sauvegardes chiffrées quotidiennes (chez vous ou cloud souverain au choix)
Tests de sécurité internes réguliers

[À VALIDER avec Halirom] — Les certifications externes (SecNumCloud ANSSI, ISO 27001, SOC 2 Type II) sont en cours d'instruction. Cette page sera mise à jour dès l'obtention de chaque certification. En attendant, la conformité RGPD et la souveraineté FR/UE sont contractuellement garanties.

En cas d'incident

Notre engagement de transparence

En cas d'incident de sécurité affectant vos données, Halirom s'engage à :

Vous notifier dans les 72 heures maximum (conformément à l'article 33 RGPD)
Notifier la CNIL dans les mêmes délais si requis
Fournir un rapport d'incident détaillé sous 7 jours
Maintenir une page de statut publique [À CRÉER] avec l'historique des incidents

Contact sécurité

Vous avez identifié une vulnérabilité ?

Halirom respecte une politique de divulgation responsable. Les chercheurs en sécurité peuvent nous contacter à security@halirom.com avec une description détaillée. Nous accusons réception sous 48h et coordonnons la divulgation.

Besoin d'un audit ou d'un DPA ?

Contactez-nous, nous vous fournissons l'ensemble de la documentation contractuelle nécessaire à votre mise en conformité.