Trust Center · v1.0 · 2 mai 2026
Sécurité & Conformité.
En transparence radicale.
En un coup d'œil
Les chiffres clés que vous cherchez
Nouveau · v1.0 · 2 mai 2026
Notre audit de sécurité, public et signé
Méthodologie OWASP/ANSSI. 12 sections, contrôles vérifiés, gaps assumés, plan de remédiation à 6 mois. Aucun acteur cyber français n'expose ce niveau de transparence publiquement. C'est notre signature.
Hébergement souverain en France
Toutes les données de la plateforme Humanix Académie sont hébergées par Scaleway SAS (Paris, France), filiale du groupe Iliad. Datacenters en région parisienne, opérateur de droit français, non soumis au Cloud Act.
Aucun transfert de données vers un pays tiers (notamment États-Unis) n'est effectué dans le cadre du fonctionnement de la plateforme. Si nous devions un jour recourir à un sous-traitant hors UE, nous appliquerions les clauses contractuelles types de la Commission européenne.
- Datacenters certifiés ISO 27001, ISO 50001, HDS
- Chiffrement au repos AES-256
- Sauvegardes quotidiennes chiffrées, conservées 30 jours minimum
Conformité RGPD
- Politique de confidentialité détaillée : durées de conservation, droits, sous-traitants → la consulter
- Contrat de sous-traitance (DPA) systématiquement signé avec chaque client SaaS - modèle aligné sur les clauses types CNIL
- Registre des traitements tenu à jour (côté responsable de traitement et côté sous-traitant)
- Procédure violation de données : notification CNIL sous 72h, information des clients concernés
- Mesures de minimisation : nous ne collectons que ce qui est nécessaire à la finalité pédagogique
Sécurité technique de la plateforme
- TLS 1.3 pour toutes les connexions, redirection HTTPS forcée
- Headers de sécurité : HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy
- Authentification : magic link par email (Scaleway TEM) + sessions signées (Auth.js v5)
- Mots de passe : aucun mot de passe stocké côté Humanix - authentification sans mot de passe
- API keys hashées en SHA-256 ; révocation 1-clic ; expiration configurable
- Cloisonnement multi-tenant : isolation logique par
tenantIdsur toutes les requêtes, vérifié par tests automatisés - Principe du moindre privilège appliqué côté rôles applicatifs (LEARNER / MANAGER / ADMIN / SUPERADMIN)
- Logs d'accès conservés 12 mois, horodatés, immuables
- Limitation de débit et protection contre les abus de soumission
Gestion des secrets
- Aucun secret n'est commité dans le code source - vérifié par scan automatisé en CI
- Variables d'environnement injectées au runtime, jamais persistées dans les images Docker
- Rotation périodique des secrets de chiffrement et des clés signature
- Coffre de secrets pour les credentials administrateur
Sous-traitants techniques
Liste des sous-traitants impliqués dans le fonctionnement du service :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Scaleway SAS | Hébergement, infra cloud, sauvegardes | France 🇫🇷 |
| Scaleway TEM | Emails transactionnels (magic links, alertes, newsletter) | France 🇫🇷 (Paris) |
| Payplug SA | Prestataire de paiement (PCI-DSS niveau 1, tokenisation CB) | France 🇫🇷 (Paris) |
| Olinda SAS (Qonto) | Compte de paiement professionnel (réception virements) | France 🇫🇷 |
| Dougs SAS | Expertise comptable et facturation | France 🇫🇷 |
| Hiscox France | Assureur RC Pro (cas d'incident matériel uniquement) | France 🇫🇷 |
Tout nouveau sous-traitant impliquant des données personnelles fait l'objet d'une notification écrite aux clients, avec droit d'objection.
Continuité de service
- SLA cible : 99 % de disponibilité mensuelle moyenne
- Sauvegardes : quotidiennes, chiffrées, conservées 30 jours, testées par restauration mensuelle
- RPO (perte maximale de données acceptable) : 24h
- RTO (temps maximal de remise en service) : 24h
- Réversibilité : export des données au format CSV ou JSON sur simple demande, à tout moment
Engagement humain
- RC Pro Cybersécurité souscrite chez Hiscox France (assureur spécialisé en risques cyber et professions du numérique). Numéro de police et montants de garanties communiqués dans le DPA à la signature du contrat.
- Veille permanente sur les vulnérabilités (mise à jour des dépendances dans les 7 jours pour les CVE critiques)
- Référencement CyberMalveillance.gouv.fr en cours pour offrir un canal d'alerte officiel
- Ouverture aux audits : les clients peuvent réaliser leur propre audit sécurité, sur engagement écrit préalable
Roadmap conformité
- Q3 2026 : Référencement CyberMalveillance.gouv.fr finalisé
- Q4 2026 : Évaluation Label Cyber Expert AFNOR
- 2027 : Migration du code source vers une forge souveraine française (Forgejo auto-hébergé chez Scaleway, ou plateforme communautaire FR équivalente). GitHub reste utilisé en attendant pour la visibilité écosystème open source - la portabilité est garantie par Git lui-même.
- 2027 : Étude qualification PASSI ANSSI (audits) - selon évolution business
- Conformité NIS2 : application du référentiel ANSSI dès que applicable au volume d'activité
Intégration GRC native
Vos preuves de sensibilisation alimentent automatiquement votre outil GRC via l'API /api/v1/evidence-export. Connecteur Python prêt à l'emploi pour CISO Assistant (intuitem). Mappings ISO 27001, NIS2, RGPD, ANSSI HG documentés et auditables.
Pour aller plus loin
Une question sur notre sécurité ?
RSSI, DSI, dirigeant : nous fournissons sur demande le DPA, le registre des traitements, ou un dossier complet pour vos due diligence. Réponse personnelle sous 48 h ouvrées.
Demander notre dossier sécurité« La transparence n'est pas une vulnérabilité. C'est ce qui distingue la maîtrise du marketing. »
Page mise à jour à chaque évolution majeure. État au .