Sécurité #
EthicsPortal traite des données sensibles de lanceurs d’alerte. Cette page documente les mesures techniques et organisationnelles spécifiques que nous avons mises en place. Elle est rédigée à l’attention des responsables conformité, des DPO et des équipes juridiques évaluant la plateforme.
Dernière mise à jour : avril 2026.
Chiffrement des données #
Tous les champs sensibles sont chiffrés au repos à l’aide du chiffrement ActiveRecord Encryption de Rails avec un chiffrement non déterministe (chaque opération de chiffrement produit un texte chiffré unique, empêchant l’analyse de motifs).
| Champ | Chiffré | Déterministe |
|---|---|---|
| Description du signalement | Oui | Non |
| Nom du lanceur d’alerte | Oui | Non |
| Coordonnées du lanceur d’alerte | Oui | Non |
| Corps du message (communication lanceur d’alerte–gestionnaire) | Oui | Non |
Le chiffrement non déterministe signifie que ces champs ne peuvent pas être interrogés par valeur au niveau de la base de données. Même avec un accès complet à la base de données, un attaquant ne peut pas rechercher un nom de lanceur d’alerte spécifique dans l’ensemble des enregistrements.
Toutes les connexions à EthicsPortal utilisent HTTPS/TLS. Les requêtes HTTP non chiffrées sont redirigées.
Anonymat et confidentialité #
Anonymisation des adresses IP #
EthicsPortal ne stocke jamais les adresses IP. Les routes du portail (soumission de signalement, consultation de dossier, messagerie) utilisent un hachage SHA256 à sens unique de l’adresse IP uniquement pour la limitation de débit. Le hachage n’est pas réversible — il est impossible de retrouver l’adresse IP d’origine à partir de la valeur stockée.
Cela s’applique à tous les points d’accès publics du portail. Aucune adresse IP n’est inscrite dans aucun journal, champ de base de données ou système d’analyse.
Suppression des métadonnées des fichiers #
Les fichiers téléchargés sont automatiquement nettoyés de leurs métadonnées d’identification avant le stockage :
| Type de fichier | Métadonnées supprimées | Méthode |
|---|---|---|
| Images (JPEG, PNG, TIFF, WebP) | Données EXIF : coordonnées GPS, modèle de l’appareil photo, numéro de série de l’appareil, auteur, horodatages | Traitement d’image Vips |
| Documents PDF | Auteur, application de création, historique des modifications | exiftool |
| Fichiers vidéo | GPS, informations sur l’appareil, logiciel d’enregistrement | exiftool |
| Fichiers audio | Appareil d’enregistrement, GPS, balises logicielles | exiftool |
Les lanceurs d’alerte n’ont pas besoin de faire confiance quant à la sécurité de leurs fichiers — les métadonnées sont supprimées côté serveur, quel que soit le contenu du fichier.
Analyse antivirus #
Tous les fichiers téléchargés sont automatiquement analysés à la recherche de logiciels malveillants à l’aide de ClamAV, un moteur antivirus open source. L’analyse s’effectue côté serveur dans un processus en arrière-plan après le téléchargement. Les fichiers infectés sont supprimés automatiquement et n’atteignent jamais les gestionnaires de dossiers.
Les fichiers sont analysés sur l’infrastructure d’EthicsPortal — aucune donnée de fichier n’est envoyée à des services d’analyse tiers.
Anonymat du gestionnaire #
Les lanceurs d’alerte ne voient jamais les noms réels ni les adresses e-mail des personnes qui traitent leur signalement. Tous les messages des gestionnaires sont affichés sous le nom « Gestionnaire du dossier ». Cela protège l’identité du gestionnaire et empêche l’ingénierie sociale.
Aucun traçage #
EthicsPortal n’utilise pas de cookies de traçage tiers, de pixels publicitaires ni de scripts de fingerprinting. Nous utilisons Cloudflare Web Analytics uniquement sur les pages marketing — sans cookies, sans collecte de données personnelles et entièrement conforme au RGPD. Le portail de signalement lui-même ne comporte aucune analyse.
Contrôle d’accès #
L’autorisation est appliquée au niveau applicatif à l’aide de politiques Pundit.
| Rôle | Peut voir les signalements | Peut gérer les paramètres de l’organisation | Peut assigner des gestionnaires |
|---|---|---|---|
| Administrateur | Tous les signalements | Oui | Oui |
| Gestionnaire | Uniquement les signalements assignés | Non | Non |
- Les gestionnaires ne peuvent pas voir les signalements qui ne leur sont pas assignés.
- Les lanceurs d’alerte n’ont pas de compte utilisateur — ils accèdent à leur signalement via un code d’accès unique, généré aléatoirement.
- Chaque action de contrôleur vérifie l’autorisation. Les tentatives d’accès non autorisées sont bloquées et enregistrées.
Limitation de débit #
Les points d’accès publics du portail sont limités en débit pour prévenir les abus et les attaques par énumération :
| Point d’accès | Limite |
|---|---|
| Soumission de signalement | 5 par 10 minutes par IP anonymisée |
| Consultation de dossier (code d’accès) | 10 par 3 minutes par IP anonymisée |
| Soumission de message | 10 par 3 minutes par IP anonymisée |
La limitation de débit utilise le hachage à sens unique de l’adresse IP décrit ci-dessus — aucune adresse IP réelle n’est stockée.
Audit et conformité #
Journal d’audit immuable #
Chaque action dans EthicsPortal est enregistrée avec :
- Horodatage (UTC)
- Acteur (quel utilisateur ou processus système a effectué l’action)
- Type d’action (signalement créé, statut modifié, message envoyé, gestionnaire assigné, signalement consulté, signalement exporté, signalement supprimé, etc.)
Les entrées du journal d’audit sont en mode ajout uniquement. Elles ne peuvent être ni modifiées ni supprimées par aucun utilisateur, y compris les administrateurs de l’organisation. Le journal d’audit complet est inclus dans les exports PDF des dossiers pour l’examen réglementaire.
Conservation des données #
Les organisations configurent leur propre durée de conservation : 12, 24, 36 ou 60 mois après la clôture d’un signalement. Lorsque la durée de conservation expire, le signalement et toutes les données associées (messages, pièces jointes, entrées du journal d’audit) sont automatiquement et définitivement supprimés par un processus en arrière-plan.
Cela satisfait les exigences de limitation de la conservation du RGPD (Art. 5(1)(e)) et les obligations de tenue de registres de la Directive 2019/1937 (Art. 17–18).
Protection CSRF #
Toutes les soumissions de formulaires sont protégées contre les attaques de falsification de requêtes intersites grâce aux jetons CSRF intégrés de Rails.
Infrastructure #
| Composant | Fournisseur | Localisation |
|---|---|---|
| Serveur d’application et base de données | Hetzner | Nuremberg, Allemagne (UE) |
| Stockage de fichiers | Cloudflare R2 | UE |
| E-mail transactionnel | Postmark | États-Unis (avec traitement dans l’UE, clauses contractuelles types) |
| Traitement des paiements | Stripe | UE |
- Tout le traitement principal des données a lieu au sein de l’Union européenne.
- Aucun numéro de carte de crédit ni identifiant de paiement n’est stocké sur les serveurs d’EthicsPortal. Toutes les données de paiement sont gérées par Stripe.
- Postmark est utilisé pour les e-mails transactionnels (notifications aux gestionnaires, pas aux lanceurs d’alerte). L’acheminement des e-mails vers les serveurs américains est couvert par les clauses contractuelles types.
Divulgation responsable #
Si vous découvrez une vulnérabilité de sécurité dans EthicsPortal, veuillez la signaler à support@ethicsportal.eu. Nous vous demandons de :
- Ne pas divulguer publiquement la vulnérabilité avant que nous ayons eu l’occasion de la corriger.
- Fournir suffisamment de détails pour que nous puissions reproduire et résoudre le problème.
- Ne pas accéder aux données d’autres clients ni les modifier.
Nous accuserons réception de votre signalement dans un délai de 2 jours ouvrés et nous nous efforcerons de résoudre rapidement les vulnérabilités confirmées.