Quick Event est-il conforme au RGPD ?

Oui, Quick Event est conforme à 100 % au RGPD depuis le premier jour : • Protection des données dès la conception : la protection des données est intégrée à l’architecture • Traitement des données dans l'UE : Toutes les données restent exclusivement dans des centres de données allemands/européens. • Accords de traitement des données : Des accords de traitement des données clairs sont disponibles. • Droits des personnes concernées : Mise en œuvre intégrale de tous les droits prévus par le RGPD • Suppression automatique : Durées de conservation configurables Conformité certifiée grâce à des audits de sécurité continus.

Où sont stockées mes données ?

Traitement des données 100 % UE garanti : Lieu principal : Francfort-sur-le-Main, Allemagne (base de données NEON) Lieux secondaires : Amsterdam, Paris, Munich, Madrid CDN/Edge : Serveurs périphériques européens de Cloudflare Aucun transfert de données hors de l'UE. Vos données ne quittent jamais l'espace juridique européen. Conformité : Avec la législation allemande et européenne en matière de protection des données.

Le transfert de données est-il sécurisé ?

Chiffrement de niveau entreprise à tous les niveaux : • TLS 1.3 : Norme de chiffrement la plus récente pour toutes les connexions • Chiffrement de bout en bout : Chiffrement de tous les appels API et transferts de données • AES-256 : Chiffrement des données au repos dans la base de données • SSL automatique : Certificats pour tous les domaines personnalisés Infrastructure Cloudflare Enterprise avec protection DDoS et WAF (pare-feu d'applications Web).

Quelles sont les certifications de sécurité dont dispose Quick Event ?

Sécurité d'entreprise via des partenaires certifiés : Cloudflare Entreprise : • Certifié SOC 2 Type II • Certifié ISO 27001 • Conforme à la norme PCI DSS niveau 1 Certifications d'infrastructure : • Base de données NEON : ISO 27001, SOC 2 • SendGrid : conforme à la norme SOC 2 et au RGPD • Stripe : PCI DSS niveau 1 Garantie de disponibilité de 99,99 % (SLA) avec support entreprise disponible.

Comment fonctionne le contrôle d'accès ?

Gestion granulaire des autorisations : Basé sur les rôles : • Rôle de l'utilisateur : Accès uniquement à ses propres événements • Rôle d'administrateur : Accès complet à l'organisation • Rôles personnalisés : ensembles d’autorisations individuels Dispositifs de sécurité : • L'authentification à deux facteurs est requise pour les comptes d'administrateur. • Gestion de session avec déconnexion automatique • Intégration OAuth (Google, Microsoft, GitHub) • Journaux d'audit pour toutes les modifications d'autorisation Le principe du moindre privilège est appliqué de manière systématique.

Que se passe-t-il en cas d'incident de sécurité ?

Plan d'intervention professionnel en cas d'incident : Mesures immédiates : • Détection automatique des menaces via l'IA de Cloudflare • Alertes en temps réel à l'équipe de sécurité • Isolement immédiat des systèmes affectés Communication: • Dans les 24 heures : informer les clients concernés • Dans les 72 heures : signaler les violations de données aux autorités compétentes. • Transparence totale concernant l'incident et les mesures prises Prévention : Surveillance et mises à jour continues de la sécurité.

Comment mes données seront-elles supprimées ?

Suppression automatique des données conformément au RGPD : Délais configurables : • Données d'événements : Standard 2 ans, personnalisables • Données des participants : par événement ou individuellement • Journaux d'audit : 7 ans pour la conformité Procédure de suppression : • Suppression automatique après expiration des délais • Suppression manuelle possible à tout moment sur demande • Suppression sécurisée de tous les systèmes et sauvegardes Le droit à l'oubli est pleinement mis en œuvre.

Sécurité et protection des données

Lorsque vous gérez des données d'événements ( listes de participants , coordonnées, informations de paiement), la sécurité n'est pas une option, c'est une nécessité. Quick Event a été conçu dès le départ en intégrant la protection des données et la sécurité des entreprises : conformité totale au RGPD, traitement des données exclusivement au sein de l'UE et chiffrement de bout en bout à tous les niveaux.

Quick Event est conforme au RGPD depuis sa création ; il ne s’agit pas d’une adaptation a posteriori, mais d’un développement conforme au principe de protection des données dès la conception . La protection des données est intégrée à l’architecture, et non ajoutée comme une fonctionnalité supplémentaire.

Concrètement, cela signifie que nous fournissons un accord de traitement des données (ATD) complet conforme aux exigences de l'article 28 du RGPD. L'ATD définit clairement les données traitées, leur finalité et les mesures techniques et organisationnelles mises en œuvre pour leur protection.

Tous les droits des personnes concernées sont pleinement respectés : droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité des données et droit d’opposition. Les participants peuvent consulter, corriger ou supprimer leurs données à tout moment, soit directement via la plateforme, soit en en faisant la demande auprès de l’organisateur.

De plus, Quick Event propose des durées de conservation configurables avec suppression automatique. Une fois la période définie expirée, les données personnelles sont automatiquement et définitivement supprimées de tous les systèmes, sans intervention manuelle.

Traitement des données de l'UE

Toutes les données sont traitées et stockées exclusivement au sein de l'Union européenne. Aucune donnée n'est transférée vers des pays tiers, que ce soit pour la base de données, l'informatique de périphérie ou les sauvegardes.

Le site principal est situé à Francfort-sur-le-Main, en Allemagne. C'est là que se trouve la base de données NEON, qui stocke toutes les données relatives aux événements, aux participants et à l'organisation. Des sites secondaires à Amsterdam et à Paris servent de sauvegardes et de mise en cache périphérique via le réseau Cloudflare. D'autres sites européens, comme Munich et Madrid, sont utilisés pour la diffusion du contenu.

L'ensemble de l'infrastructure est soumis au droit allemand et européen de la protection des données . La juridiction allemande s'applique à toutes les opérations de traitement des données. Pour les organisateurs d'événements, cela garantit une sécurité juridique maximale, sans évaluation complexe des transferts vers des pays tiers.

Cryptage

Quick Event utilise un chiffrement multicouche qui protège à la fois les données pendant leur transmission et les données stockées.

Cryptage pendant la transmission

Toutes les connexions utilisent TLS 1.3 , la norme de chiffrement la plus récente. Cela s'applique aux communications entre le navigateur et le serveur, entre les services internes et à tous les appels d'API. Les versions TLS antérieures et non sécurisées ne sont pas prises en charge.

Chiffrement au repos

Toutes les données stockées dans la base de données sont chiffrées avec AES-256 , la même norme utilisée par les banques et les organismes gouvernementaux. Cela inclut les données des participants, les informations de réservation , le contenu des courriels et les fichiers téléchargés sur Cloudflare R2.

Certificats SSL automatiques

Si vous utilisez votre propre nom de domaine pour les pages de votre événement, Quick Event fournit automatiquement un certificat SSL, sans intervention manuelle ni frais supplémentaires. Les certificats sont renouvelés automatiquement, garantissant ainsi à vos participants une connexion toujours sécurisée.

Contrôle d'accès

Le système d'autorisations de Quick Event repose sur le principe du moindre privilège : chaque utilisateur ne reçoit que les droits nécessaires à l'exécution de sa tâche. Ni plus, ni moins.

Système d'autorisation basé sur les rôles

Quick Event propose trois niveaux d'autorisation. Le rôle Utilisateur limite l'accès à ses propres événements ; il est idéal pour les membres d'une équipe projet qui gèrent uniquement leurs propres événements. Le rôle Administrateur donne un accès complet à tous les événements et paramètres de l'organisation, y compris la gestion d'équipe et la facturation. De plus, il est possible de créer des rôles personnalisés avec des ensembles d'autorisations spécifiques afin de fournir le niveau d'accès précis requis.

Authentification et gestion de session

L'authentification à deux facteurs (2FA) est disponible pour les comptes administrateurs afin d'empêcher tout accès non autorisé, même en cas de mot de passe compromis. Les sessions sont automatiquement fermées après une période d'inactivité configurable. Les utilisateurs peuvent également se connecter via OAuth avec leurs comptes Google, Microsoft ou GitHub existants, sans avoir à gérer de mot de passe supplémentaire.

Toutes les modifications d'autorisation sont enregistrées dans les journaux d'audit , ce qui permet de retracer qui a gagné ou perdu quels droits d'accès et à quel moment.

Certifications des partenaires

Quick Event s'appuie sur des partenaires d'infrastructure éprouvés qui répondent aux normes de sécurité les plus exigeantes. Chaque composant de la plateforme est exploité par un fournisseur faisant l'objet d'audits et de certifications indépendants.

Éclat nuageux

En tant que plateforme de calcul en périphérie, de protection contre les attaques DDoS et de diffusion de contenu, Cloudflare est certifiée SOC 2 Type II , ISO 27001 et PCI DSS niveau 1. Son pare-feu d'applications Web (WAF) protège contre les 10 principales menaces de l'OWASP et son réseau mondial offre une disponibilité de 99,99 %.

Base de données NEON

La base de données PostgreSQL est hébergée chez NEON, certifiée ISO 27001 et SOC 2. Son emplacement à Francfort, au sein de l'UE, garantit que les requêtes et le stockage de la base de données sont entièrement conformes à la législation européenne.

Bande

Pour le traitement des paiements, Quick Event utilise Stripe, certifié PCI DSS niveau 1 , la norme de sécurité la plus élevée du secteur des cartes de paiement. Les données de cartes bancaires ne sont jamais stockées sur les serveurs de Quick Event ; elles sont traitées exclusivement par Stripe.

SendGrid

Les courriels sont envoyés via SendGrid, certifié SOC 2 et entièrement conforme au RGPD. Tous les serveurs de messagerie sont situés dans l'UE et le chiffrement du transport via TLS est systématique pour chaque message sortant.

Intervention en cas d'incident

En cas d'incident de sécurité survenant malgré toutes les mesures de protection, un plan de réponse aux incidents défini, assorti de responsabilités et d'échéances claires, sera activé.

La détection automatisée des menaces par l'IA de Cloudflare identifie les anomalies en temps réel. Dès qu'un incident est confirmé, le système affecté est immédiatement isolé afin d'empêcher toute propagation. Simultanément, des alertes en temps réel sont envoyées à l'équipe de sécurité.

La communication est effectuée selon des délais précis : les clients concernés sont informés sous 24 heures . En cas de violation de données telle que définie par le RGPD, les autorités compétentes sont notifiées sous 72 heures , conformément à la loi. La transparence est primordiale : les parties concernées reçoivent des informations complètes sur l’incident, les mesures prises et les dispositions mises en œuvre pour prévenir tout incident futur.

Durées de conservation et de suppression des données

Quick Event offre aux organisateurs d'événements un contrôle total sur la durée de conservation des données personnelles. Les périodes de conservation sont configurables pour chaque événement et appliquées automatiquement.

Par défaut , les données relatives aux événements sont conservées pendant deux ans après l'événement ; cette période peut être raccourcie ou prolongée selon les besoins. Les données des participants peuvent être supprimées après l'événement ou après une période définie par l'utilisateur. Les journaux d'audit sont conservés pendant sept ans afin de respecter les obligations légales.

La suppression est automatique à l'expiration du délai de conservation, sans intervention manuelle. Elle reste possible à tout moment sur demande , par exemple si un participant exerce son droit à l'oubli. Dans ce cas, les données sont définitivement et irrévocablement supprimées de tous les systèmes et sauvegardes.