STAGING — Environnement de test · Les données ne sont pas réelles
VetCare
CGUConfidentialitéMentions légalesSLASécuritéSe connecter

Sécurité

La sécurité des données de santé animale et des informations clients est une priorité absolue pour VetCare. Voici un aperçu transparent des mesures techniques et organisationnelles en place.

Dernière mise à jour : 7 avril 2026

Hébergement UETLS 1.3AES-256RGPD2FA TOTPAudit logsRate limitingMulti-tenant isolé

1. Infrastructure & hébergement

Toutes les données VetCare sont hébergées exclusivement dans l'Union européenne, conformément aux exigences du RGPD.

Application (frontend & API)Vercel — région EU (Frankfurt)
Base de donnéesSupabase — région EU West (Ireland)
Fichiers & documentsScaleway Object Storage — Paris (PAR)
PaiementsStripe — PCI DSS niveau 1
Monitoring & logsBetterStack — région EU
Rate limiting distribuéUpstash Redis — région EU

Aucune donnée de production n'est transférée en dehors de l'UE sans mécanisme de protection adéquat (clauses contractuelles types ou décision d'adéquation).

2. Chiffrement des données

En transit

• TLS 1.3 sur toutes les connexions HTTPS

• HSTS activé (Strict-Transport-Security)

• Certificats Let's Encrypt / Vercel Edge

• Connexions DB via SSL obligatoire

Au repos

• AES-256 sur la base de données (Supabase)

• AES-256 sur les fichiers (Scaleway)

• Mots de passe hachés (bcrypt, coût 10)

• Clés secrètes stockées en variables d'environnement

3. Authentification & contrôle d'accès

L'authentification est gérée par better-auth, une bibliothèque open-source auditée, avec sessions signées côté serveur.

Double authentification (2FA)TOTP (Google Authenticator, Authy…)
SessionsCookies HttpOnly, SameSite=Lax, signés HMAC
Durée de session7 jours (renouvelée à chaque activité)
Rate limiting — authentification10 tentatives / 60 s par IP (Upstash Redis)
Rate limiting — API120 requêtes / 60 s par IP (Upstash Redis)
Rôlesadmin, veterinarian, assistant, receptionist

Chaque utilisateur appartient à une organisation (clinique) et ne peut accéder qu'aux données de sa propre organisation. Les droits sont vérifiés à chaque appel API côté serveur.

4. Surveillance & journalisation

VetCare dispose d'une double couche de surveillance : monitoring de disponibilité et journalisation des événements de sécurité.

Monitoring (BetterStack)

• Sondes de disponibilité toutes les 3 minutes

• Alertes immédiates (email + webhook) en cas de panne

• Logs d'erreurs et d'avertissements centralisés

• Blocages de rate-limiting loggés avec IP, bucket et path

• Status page publique : status.maximedumesny.fr

Audit logs métier

• Chaque création / modification / suppression de dossier patient est tracée

• Chaque facture créée est enregistrée dans le journal

• Chaque rendez-vous (create / update / delete) est journalisé

• Les logs incluent : utilisateur, organisation, action, entité, horodatage

• Rétention : illimitée (non purgeable par les utilisateurs)

5. Isolation des données clients

VetCare est une application multi-tenant. Chaque clinique (tenant) est strictement isolée des autres au niveau applicatif et base de données.

Isolationtenant_id sur chaque table, vérifié à chaque requête
VérificationCôté serveur (tRPC middleware) — non contournable côté client
Partage de donnéesAucun — les tenants ne se voient pas entre eux
ExportsLimités aux données du tenant authentifié
Principe du moindre privilège : chaque appel API vérifie l'appartenance de la ressource au tenant avant toute lecture ou écriture. Une erreur de routing ne peut pas exposer des données d'une autre clinique.

6. Conformité RGPD

Responsable du traitementÉditeur de VetCare (voir Mentions légales)
FinalitésGestion de clinique vétérinaire (agenda, dossiers, facturation)
Base légaleContrat (abonnement SaaS) + Obligations légales
Durée de conservationDurée de l'abonnement + 3 ans (obligations comptables)
Sous-traitantsVercel, Supabase, Scaleway, Stripe (DPA signés)
Droit d'accès / effacementSur demande à contact@maximedumesny.fr
DPOcontact@maximedumesny.fr

En cas de violation de données, la CNIL est notifiée dans les 72 heures (Art. 33 RGPD), et les clients concernés sont informés sans délai injustifié.

La politique de confidentialité complète est disponible sur /confidentialite.

7. Signalement de vulnérabilité (Responsible Disclosure)

Si vous découvrez une vulnérabilité de sécurité dans VetCare, nous vous encourageons à nous la signaler de manière responsable avant toute divulgation publique.

Comment nous contacter

Envoyez un email à contact@maximedumesny.fr avec une description détaillée de la vulnérabilité, les étapes pour la reproduire, et l'impact potentiel.

Nos engagements :

• Accusé de réception sous 48 heures ouvrées

• Qualification et correction dans un délai adapté à la sévérité

• Reconnaissance dans nos notes de version (si vous le souhaitez)

• Aucune action légale contre les chercheurs de bonne foi

Sont exclus du périmètre : les attaques nécessitant un accès physique, les attaques DDoS, le spam, et toute technique d'ingénierie sociale.

CGUPolitique de confidentialitéMentions légalesSLA