Thème 1 : Accessibilité
- Programme informatique via le navigateur internet de votre ordinateur PC ou Mac (pour les connaisseurs : React JavaScript)
- Protection : librairie du code totalement formalisée et protégée. Accès au service par identifiant et mot de passe fort, ou par SSO
- Pas de programme installé sur votre appareil
- Dépôt de cookies à but strictement technique, pas commercial : pour l’optimisation de votre affichage (6 cookies) et la connexion à votre compte (3 cookies). À l’intérieur de nos services, aucun cookie.
- Sécurité des accès : bien contrôler vos options de mémorisation que vous autorisez à votre navigateur internet.
- Programme informatique déposé sur Apple Store ou Google Play Store Android (pour les connaisseurs : Flutter)
- Protection : librairie du code totalement formalisée et protégée, mécanismes de contrôles anti-virus et anti-fraude intégrés, connexion sécurisée par l’intermédiaire d’une clé logique (token) avec l’application cœur de métier
- Accès au service par identifiant et mot de passe fort, ou par SSO, ou par contrôle d’authentification biométrique de l’appareil (Touch ID)
- Sécurité du code validée par le Store avant téléchargement.
- Programmes informatiques (pour les connaisseurs : Node Javascript, Symfony, Tesseract, MySQL)
- Protection : librairie du code totalement formalisée et protégée
- Accès protégé à notre environnement informatique par chiffrement des postes de travail et des connexions aux ressources techniques
- Procédure de sauvegardes des données sur les 11 derniers jours et de relances automatisées de l’application en cas d’incident ou de malveillance
- Environnements séparés de production et de développement ou de test des applications.
- Opérateur : Budget Insight, agent agréé ACPR
- Hébergeur : OVH Strasbourg, Sewan
- Protection : redondance entre serveurs
- Codes chiffrés avec un algorithme très fort (AES 256)
- Interfaces informatiques entre Treasy et Budget Insight protégées par des clés de chiffrement.
- Hébergeur : Amazon Web Services (AWS), 3 centres localisés dans des lieux confidentiels en Ile-de-France
- Protection : sites redondés entre eux, reliés par des liaisons sécurisées et chiffrées
- Chaque fichier est encrypté, découpé en morceaux et enregistré dans des serveurs distincts.
- Aucun accès possible à vos fichiers depuis les programmes et outils informatiques de Treasy.
- En cas d’incident, procédure de récupération des fichiers hautement sécurisée et redondée, sans latence.
- Pérennité garantie de vos fichiers dans le temps.
- Hébergeur : OVH, 2 centres de données redondés localisés à Gravelines
- Protection : Clé d’identification chiffrée, données personnelles et d’utilisation protégées par codes d’accès dans la console de gestion des données (au sens RGPD : données dites PII, Personally Identifiable Information ou Donnée à Caractère Personnel)
- Supervision et toutes diligences sur l’audit de conformité de nos processus par notre DPO (Délégué à la Protection des Données).
- Règles strictes de non-divulgation de vos données à des tiers, et de destruction de vos données en cas de résiliation de votre compte.
- Opérateur du paiement par ordinateur : Stripe, agent d’exécution de paiement agréé DSP2 par les autorités européennes et françaises
- Hébergeur : AWS Irlande
- Protection : redondance entre serveurs
- Codes chiffrés avec un algorithme très fort (AES 256)
- Supervision anti-fraude.
- Apple Pay ou Google Pay : opérateurs de transfert de paiement via smartphone
- Hébergement : AWS, Google ou Microsoft, dans et hors Union Européenne
- Protection : chiffrement et utilisation d’une clé couplée avec votre banque
Thème 2 : Confidentialité
Les trois applications informatiques qui permettent à Treasy de proposer ses services, ainsi que notre base de données enregistrant les données personnelles des utilisateurs, sont hébergées sur des serveurs sécurisés et « mirrorés » (redondants les uns envers les autres), dans un centre de données sécurisé situé en région Nord Pas-de-Calais (Gravelines), avec accès par clés de chiffrement fortes.
Vos fichiers déposés chez Treasy sont enregistrés sur des serveurs distincts et redondés sur 3 sites d’Amazon Web Services (AWS), tous situés en Ile de France à bonne distance les uns des autres et diversifiant les risques systémiques, sismiques ou climatiques.
Entre l’application cœur de métier de Treasy, qui vous permet de gérer vos espaces, répertoires et rangements de fichiers, et ces centres de données d’AWS, tous les échanges de fichiers font l’objet d’un chiffrement de bout en bout au moyen d’outils synchronisés, appelés « Key Management Service » (KMS), offrant un contrôle centralisé pour faire appel et accéder aux clés de chiffrement protégeant vos données. Une fois les fichiers reçus dans ses centres de données, AWS procède à leur fragmentation volontaire (procédé appelé « hashage ») pour les rendre non seulement pérennes en cas d’incident sur l’un des centres, mais aussi inviolables et illisibles en cas d’attaque.
Enfin, il va sans dire que Treasy et ses équipes internes et de prestataires ne disposent d’aucun accès aux contenus de nos utilisateurs ; la télécollecte, le téléversement manuel (ou « import », « upload »), le téléchargement (ou « export », « download ») de ces fichiers passent par l’utilisation d’une clé forte (token), équivalente aux protections algorithmiques des cartes bancaires, interdisant là encore toute perte d’intimité dans l’utilisation des services.
Aucun code de connexion de l’utilisateur n’est visible ou mémorisé d’aucune manière par Treasy, ni par son partenaire en charge de la collecte des fichiers, BI. Ce partenaire bénéficie de l’agrément du gendarme financier français, l’ACPR, qui vérifie avec exigence le respect de la plus stricte confidentialité et protection des informations des utilisateurs, à l’équivalent de ce que proposent votre banque ou le site impôts.gouv.
Chez Treasy, la protection de vos données dans le strict respect du RGPD vous est garanti : nous ne commercialisons aucune donnée de nos utilisateurs, nous ne les communiquons pas et nous nous assurons que nos méthodes et outils de travail garantissent l’intimité de nos utilisateurs.
Treasy ne conserve aucune donnée de votre moyen de paiement. Ses prestataires sous-traitants (qui gèrent le paiement de vos abonnements) sont seuls susceptibles, le cas échéant, de détenir et sécuriser ces informations.
Dans le cas d’un paiement en ligne depuis le navigateur de votre ordinateur, c’est à la plateforme de paiement Stripe que Treasy a confié le soin de sécuriser la transaction. Stripe effectue un chiffrement total de vos coordonnées bancaires, à l’équivalent de ce que réalise votre banque.
Dans le cas d’un paiement depuis notre app mobile Treasy, vos coordonnées de paiement ne sont pas connues, ni mémorisées, de la part d’Apple (paiement Apple Pay depuis un iPhone ou un iPad) ou de Google (paiement Google Pay depuis un téléphone Android). En effet, ces opérateurs chiffrent les données de votre moyen de paiement (carte virtuelle, e-wallet, saisie des informations de la carte bancaire), génèrent une clé unique (appelée « Device Acount Number ») authentifiable uniquement par votre banque et transitant par le réseau interbancaire sécurisé. Plus tard, ils ne conservent que la trace de la transaction aux fins de sécurité et de contrôle de fraude. Lors du paiement de la prochaine échéance de votre abonnement, l’opérateur crée une nouvelle clé unique, elle-même authentifiée et partagée par le même procédé.
Aucun accès caché (appelé « backdoor ») n’est consenti à des tiers pour consulter tout ou partie des données personnelles, codes ou fichiers des utilisateurs, à l’insu de ces derniers, pas même les services de renseignements ou de police, sans un titre exécutoire de justice.
Chacun de nos utilisateurs dispose d’une liberté totale de récupérer l’ensemble de ses fichiers déposés chez Treasy, à tout moment, y compris ceux obtenus par télécollecte, dans le cas où cet utilisateur renonce au service ou se trouve dans l’incapacité de poursuivre son contrat d’abonnement.
Comme cela est décrit dans nos CGU, Treasy ne conserve aucune trace de vos fichiers, codes ou données au terme du contrat de service, lorsque la période de récupération de vos informations est écoulée.