Cadre réglementaire
eIDAS (EU)
Règlement européen sur l'identification électronique et les services de confiance.
| Exigence | Implémentation ProbatioVault |
| Signature électronique | RSA-PSS 4096 bits via HSM |
| Horodatage qualifié | TSA conforme RFC 3161 |
| Conservation qualifiée | S3 Object Lock WORM |
| Intégrité | SHA3-256 (FIPS 202) |
RGPD (EU)
Règlement général sur la protection des données.
| Principe | Implémentation |
| Minimisation | Métadonnées minimales serveur |
| Chiffrement | Zero-Knowledge, AES-256-GCM |
| Droit à l'oubli | Soft delete (hash préservé pour intégrité) |
| Portabilité | Export données utilisateur |
| Consentement | Opt-in explicite |
NF Z42-013 (France)
Norme française sur l'archivage électronique.
| Exigence | Implémentation |
| Intégrité | Hash SHA3-256 unique |
| Pérennité | Stockage WORM 10+ ans |
| Traçabilité | Audit trail complet |
| Confidentialité | Chiffrement bout-en-bout |
Exigences cryptographiques
NIST / FIPS
| Standard | Usage | Conformité |
| FIPS 140-2 Level 3 | HSM | AWS CloudHSM certifié |
| FIPS 202 | Hash | SHA3-256 |
| NIST SP 800-38D | Chiffrement | AES-256-GCM |
| NIST SP 800-38F | Key Wrapping | AES-KWP |
RFC
| RFC | Usage | Conformité |
| RFC 9106 | KDF | Argon2id |
| RFC 5869 | KDF | HKDF |
| RFC 3161 | Timestamp | TSA |
| RFC 6979 | Signature | Déterministe |
Données personnelles
Classification
| Catégorie | Données | Protection |
| Identifiants | email, user_id | Pseudonymisation possible |
| Documents | fichiers utilisateur | Chiffrement Zero-Knowledge |
| Métadonnées | dates, tailles | Minimisation |
| Logs | actions utilisateur | Anonymisation après rétention |
Durées de rétention
| Type | Durée | Base légale |
| Documents certifiés | 10 ans min | Prescription civile |
| Logs d'audit | 5 ans | Obligations légales |
| Données compte | Durée compte + 3 ans | RGPD |
| Logs techniques | 1 an | Sécurité |
Responsabilités
ProbatioVault (Responsable de traitement)
- Définir les finalités du traitement
- Assurer la sécurité des données
- Respecter les droits des personnes
- Tenir le registre des traitements
- Notifier les violations (72h)
Sous-traitants
| Sous-traitant | Service | DPA |
| AWS | Hébergement, HSM | ✅ Signé |
| OVH | Serveurs | ✅ Signé |
| TSA Provider | Horodatage | ✅ Signé |
Audits et certifications
Cibles
| Certification | Périmètre | Échéance |
| ISO 27001 | SMSI global | Q4 2025 |
| SOC 2 Type II | Sécurité, disponibilité | Q2 2026 |
| eIDAS QTSP | Services de confiance | Q4 2026 |
Audits réguliers
- Pentest annuel
- Audit code semestriel
- Revue architecture trimestrielle
- Scan vulnérabilités mensuel
Documentation requise
| Document | Statut | Localisation |
| Politique de sécurité | ✅ | security-compliance/ |
| Registre des traitements | ✅ | RGPD interne |
| AIPD (analyse d'impact) | ✅ | RGPD interne |
| Plan de continuité | ✅ | runbooks/ |
| Procédure violation | ✅ | security-compliance/ |