Clawpilot
Retour

Sécurité

Comment nous protégeons vos données et notre infrastructure

EN

1. Notre engagement

La protection de vos données est une priorité absolue pour Clawpilot. Ce document décrit les mesures techniques et organisationnelles mises en place pour sécuriser notre infrastructure, nos applications et les données qui nous sont confiées.

Nous appliquons le principe de privacy by design : la sécurité est intégrée dès la conception de chaque fonctionnalité, pas ajoutée après coup.

2. Infrastructure

2.1 Hébergement et localisation des données

  • Serveurs applicatifs : OVH SAS — centre de données en France (UE)
  • Base de données : Supabase — région EU Frankfurt (Allemagne, UE)
  • E-mails transactionnels : Resend — infrastructure UE

L'ensemble des données utilisateurs est hébergé exclusivement dans l'Union européenne, sans réplication hors UE.

2.2 Chiffrement en transit

Toutes les communications entre votre navigateur et nos serveurs sont chiffrées via TLS 1.2 minimum (Transport Layer Security). Les connexions HTTP non sécurisées sont automatiquement redirigées vers HTTPS.

2.3 Chiffrement au repos

  • Les données sont chiffrées au repos au niveau du système de stockage
  • Les tokens d'accès OAuth sont stockés chiffrés en base de données
  • Les mots de passe sont hashés avec un sel aléatoire (bcrypt)

2.4 Disponibilité et sauvegardes

  • Sauvegardes automatiques quotidiennes chiffrées de la base de données
  • Supabase garantit une rétention des sauvegardes sur 7 jours minimum
  • Surveillance du statut de l'infrastructure en temps réel par nos équipes

3. Sécurité applicative

3.1 Pratiques de développement

  • Revue de code systématique avant mise en production
  • Audit régulier des vulnérabilités des dépendances
  • Respect des recommandations OWASP Top 10 (injection, XSS, CSRF, etc.)
  • Séparation stricte des environnements et des secrets

3.2 Authentification

  • Authentification gérée par Supabase Auth — aucun mot de passe stocké en clair
  • Sessions sécurisées avec tokens JWT à durée de vie limitée
  • OAuth 2.0 pour la connexion aux plateformes sociales
  • Support de l'authentification à deux facteurs (2FA) pour les comptes Clawpilot

3.3 Gestion des tokens OAuth

  • Les tokens d'accès aux APIs sociales sont stockés chiffrés, jamais exposés côté client
  • Les tokens à longue durée de vie sont renouvelés automatiquement
  • La révocation d'un compte connecté invalide immédiatement les tokens associés côté Clawpilot

4. Contrôle d'accès

4.1 Accès aux données

  • Architecture Row Level Security (RLS) sur toutes les tables sensibles — chaque organisation n'accède qu'à ses propres données
  • Système de rôles (RBAC) : administrateur, membre, lecture seule — selon les permissions définies par l'organisation
  • L'accès aux systèmes de production est restreint au personnel autorisé via authentification SSH et 2FA obligatoire

4.2 Isolation des organisations

Chaque organisation Clawpilot dispose d'un espace de données isolé, protégé par des politiques Row Level Security (RLS) appliquées au niveau de la base de données. Chaque requête est filtrée par ces politiques avant d'atteindre les données, indépendamment de la couche applicative.

4.3 Journaux d'audit

Les connexions et actions sensibles (modifications de compte, invitations, révocations) sont journalisées. Les journaux sont conservés 30 jours.

5. Gestion des incidents

En cas de violation de données avérée ou suspectée, nous nous engageons à :

  • Notifier les utilisateurs affectés dans les 72 heures après la détection de l'incident
  • Déclarer l'incident à la CNIL conformément à l'article 33 du RGPD si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes
  • Documenter les mesures correctives prises et les communiquer aux parties concernées

6. Signaler une vulnérabilité

Si vous découvrez une vulnérabilité de sécurité sur Clawpilot, nous vous encourageons à nous la signaler de façon responsable. Merci de ne pas la divulguer publiquement avant que nous ayons pu la corriger.

Signalement de sécurité

Envoyez un e-mail à legal@clawpilot.com avec :

  • Une description de la vulnérabilité
  • Les étapes pour la reproduire
  • L'impact potentiel estimé

Nous accuserons réception dans les 48 heures et travaillerons avec vous pour résoudre le problème rapidement.

7. Contact

Pour toute question relative à la sécurité de la plateforme :

legal@clawpilot.com

CLAWPILOT — 59 Rue de Ponthieu, Bureau 326, 75008 Paris, France