Sécurité et conformité, par conception
Vos documents et données sont protégés par des mesures de sécurité de niveau professionnel.
Conformité réglementaire
Sesign respecte les cadres juridiques européens et français applicables à la signature électronique et à la protection des données personnelles.
eIDAS SES
Conforme au règlement européen eIDAS (UE 910/2014). Signature électronique simple recevable en justice dans les 27 États membres de l'Union européenne.
RGPD
Protection des données personnelles dès la conception (privacy by design). Minimisation des données, bases légales documentées, droit à la suppression. Conformité vérifiable auprès de la CNIL.
Code civil français
Conforme aux articles 1366 et 1367 du Code civil français. Identification fiable de l'auteur et garantie d'intégrité du document signé.
Chiffrement
Vos documents sont protégés à chaque étape : pendant le transfert, pendant le stockage et tout au long de leur cycle de vie.
TLS 1.2+ en transit
Toutes les communications entre votre navigateur et nos serveurs sont chiffrées via TLS 1.2 ou supérieur. Les protocoles obsolètes (TLS 1.0, 1.1, SSL) sont désactivés. Les certificats sont émis et renouvelés automatiquement.
AES-256 au repos
Tous les documents uploadés et signés sont chiffrés au repos avec AES-256, le standard utilisé par les institutions financières et gouvernementales. Les clés de chiffrement sont gérées par l'infrastructure Scaleway et ne quittent jamais le territoire français.
Empreinte SHA-256
Chaque document est hashé en SHA-256 au moment de l'upload et après chaque signature. Ces empreintes cryptographiques sont stockées dans la piste d'audit et permettent de prouver qu'un document n'a pas été altéré après signature.
Infrastructure souveraine
Sesign est intégralement hébergé en France, sur une infrastructure cloud conçue pour la conformité européenne.
Scaleway, cloud français
Notre infrastructure repose sur Scaleway, fournisseur cloud français dont les datacenters sont situés en Ile-de-France (DC2 et DC3). L'infrastructure Scaleway est certifiée ISO 27001 et HDS, garantissant des standards élevés de sécurité physique et logique.
Zéro transfert hors UE
Aucune donnée personnelle, aucun document et aucune métadonnée ne quitte le territoire de l'Union européenne. Le stockage objet (documents PDF), la base de données (PostgreSQL), les files d'attente et les logs applicatifs sont tous localisés en France. Aucun sous-traitant extra-européen n'a accès aux données.
URLs pré-signées
L'accès aux documents stockés sur Scaleway Object Storage se fait exclusivement via des URLs pré-signées avec une expiration automatique de 60 minutes. Aucun document n'est accessible publiquement. Les liens expirent et deviennent inutilisables après le délai imparti.
Sauvegardes et disponibilité
Les données sont répliquées automatiquement au sein de l'infrastructure Scaleway. Les sauvegardes de la base de données sont effectuées quotidiennement et conservées de manière chiffrée sur le territoire français.
Contrôle d'accès
Zéro mot de passe, zéro risque de fuite de credentials. L'authentification Sesign repose sur des mécanismes modernes et éprouvés.
Authentification OTP par email
Les utilisateurs se connectent via un code unique (OTP) envoyé par email. Aucun mot de passe n'est stocké, ce qui élimine les risques de fuite de credentials, de réutilisation de mots de passe faibles et d'attaques par force brute.
Magic links pour les signataires
Les signataires accèdent aux documents via un lien unique et personnel envoyé par email. Ce lien est à usage limité et associé à un token signé côté serveur, rendant tout accès non autorisé impossible.
Sessions avec expiration
Les tokens de session ont une durée de vie limitée et sont automatiquement invalidés après expiration. Chaque session est liée à un utilisateur unique et ne peut être réutilisée depuis un autre contexte.
Rate limiting sur tous les endpoints
Chaque endpoint de l'API est protégé par un rate limiter qui bloque les requêtes excessives. Cette mesure empêche les attaques par déni de service (DoS) et les tentatives de brute force sur les codes OTP.
Piste d'audit conforme eIDAS
Chaque signature génère un dossier de preuve complet et inaltérable. Cette piste d'audit constitue la preuve juridique de la signature conformément au règlement eIDAS. Voici les éléments capturés automatiquement :
- Email du signataire — Adresse email utilisée pour recevoir l'invitation et valider l'identité
- Adresse IP — Adresse IP publique du signataire au moment exact de la signature
- User agent — Identifiant du navigateur et du système d'exploitation du signataire
- Horodatage UTC — Date et heure précises de la signature, enregistrées en temps universel coordonné (UTC) pour éliminer toute ambiguïté de fuseau horaire
- Consentement explicite — État de la case de consentement cochée par le signataire avant validation, prouvant l'acte volontaire de signature
- Empreinte SHA-256 du document — Hash cryptographique calculé avant et après signature, permettant de prouver mathématiquement que le document n'a pas été modifié
Cette piste d'audit est immuable : une fois enregistrée, aucune donnée ne peut être modifiée ou supprimée. En cas de litige, le dossier de preuve complet peut être présenté devant un tribunal comme élément de preuve de la signature électronique.
Conformité RGPD
La protection des données personnelles est intégrée à chaque décision technique et fonctionnelle de Sesign, conformément au Règlement Général sur la Protection des Données.
Minimisation des données
Sesign ne collecte que les données strictement nécessaires au processus de signature : email, nom et données de la piste d'audit. Aucune donnée superflue n'est demandée ni conservée.
Droit à l'effacement
Conformément à l'article 17 du RGPD, les utilisateurs peuvent demander la suppression de leurs données personnelles. Les documents et métadonnées associés sont supprimés de manière irréversible.
Politique de rétention
Les documents signés sont conservés selon une politique de rétention configurable. Passé le délai défini, les documents et leurs métadonnées sont automatiquement purgés du système.
Zéro tracker tiers
Sesign n'intègre aucun tracker publicitaire, aucun pixel de suivi et aucun outil d'analytics tiers. Aucune donnée de navigation n'est transmise à des services externes. Les polices sont servies localement.
Privacy by design
La protection de la vie privée est intégrée dès la conception de chaque fonctionnalité. Chaque nouveau développement passe par une évaluation de son impact sur les données personnelles.
Contact DPO
Pour toute question relative à vos données personnelles, vous pouvez contacter notre délégué à la protection des données à l'adresse privacy@sesign.fr.
Sécurité applicative
Au-delà du chiffrement et de l'infrastructure, chaque couche de l'application est durcie contre les attaques courantes.
En-têtes de sécurité
Content Security Policy (CSP), CORS restrictif, X-Content-Type-Options, X-Frame-Options et Strict-Transport-Security (HSTS) sont configurés sur l'ensemble des réponses HTTP.
Validation des entrées
Toutes les entrées utilisateur sont validées côté serveur avec Zod. Les requêtes SQL sont paramétrées via l'ORM Drizzle, éliminant les risques d'injection SQL.
hCaptcha et honeypot
Les formulaires publics (contact, inscription) sont protégés par hCaptcha pour bloquer les bots, complété par des champs honeypot invisibles pour filtrer les soumissions automatisées.
La sécurité n'est pas une option
Protégez vos documents et ceux de vos clients avec Sesign.