Guide sécurité & conformité Collasio

Collasio · Primtee SARL · Version 2026-06-01 · collasio.com/securite · contact@collasio.com

Document confidentiel — destiné aux équipes IT, achats et juridiques dans le cadre d'une due diligence.

1. Objet de ce document

Ce guide s'adresse aux équipes IT, RSSI, achats et juridiques qui évaluent Collasio avant un déploiement. Il décrit comment la plateforme protège les données des organisations clientes et des collaborateurs qui commandent sur les boutiques entreprise.

Collasio est édité par Primtee SARL, 5 rue de Belle-Borne, 49100 Angers. Contact sécurité et DPO : contact@collasio.com.

2. Périmètre du service

Collasio est une plateforme SaaS B2B. Chaque client dispose d'une boutique en ligne brandée (sous-domaine collasio.fr) où ses collaborateurs, adhérents ou membres commandent des produits textile, EPI, dotations ou goodies.

Le back-office manager permet de configurer catalogues, budgets, dotations, validations, codes promo et d'accéder aux statistiques. La production textile et la logistique sont optionnelles, via un réseau d'ateliers partenaires.

3. Architecture & hébergement

Le site marketing et l'API de contact sont hébergés chez OVHcloud (2 rue Kellermann, 59100 Roubaix, France). L'application produit repose sur une infrastructure cloud sécurisée, avec séparation stricte des environnements production / staging / développement.

Les données de production ne sont pas réutilisées en environnement de test sans anonymisation. L'architecture vise la résilience : sauvegardes, supervision, et procédures de restauration documentées.

4. Chiffrement & stockage

Toutes les communications client-serveur sont chiffres en transit via TLS. Les données au repos bénéficient du chiffrement natif de l'infrastructure cloud (disques, bases de données — AES-256 ou équivalent selon le fournisseur).

Les mots de passe des comptes manager sont stockés avec un algorithme de hachage adaptatif (bcrypt/argon2 ou équivalent), jamais en clair. Les secrets techniques (clés API, tokens) sont stockés dans des coffres sécurisés, hors du code source.

5. Contrôle d'accès

Principe du moindre privilège appliqué à deux niveaux : (1) au sein de chaque organisation cliente — un collaborateur ne voit que son catalogue et ses dotations ; un manager valide selon ses droits ; (2) au sein de Collasio — seuls les collaborateurs autorisés accèdent aux données production, avec traçabilité.

6. Sécurité applicative

Le cycle de développement intègre des revues de code, la mise à jour des dépendances, des tests avant déploiement et un déploiement contrôlé. Les entrées utilisateur sont validées côté serveur. Les surfaces web sont protégées contre les vulnérabilités courantes (XSS, CSRF, injection).

Les API publiques (contact, lead magnet) intègrent rate limiting, honeypot anti-spam et validation stricte pour limiter les abus automatisés.

7. Données personnelles & RGPD

Collasio agit en qualité de sous-traitant (Art. 28 RGPD) pour les données des collaborateurs traitées via la plateforme. Le Client reste responsable de traitement et définit les finalités (dotations, tenues, EPI, merch).

Collasio s'engage à : traiter uniquement sur instruction documentée ; garantir la confidentialité ; mettre en œuvre des mesures Art. 32 ; assister le Client pour les droits des personnes ; notifier les violations dans les délais légaux.

8. Paiements

Les transactions sur les boutiques passent par un prestataire certifié PCI-DSS Level 1. Collasio n'a jamais accès aux numéros de carte complets (PAN) et ne les stocke pas. Le flux de paiement est isolé du reste de l'application.

9. Sous-traitants

Collasio recourt à des sous-traitants pour l'hébergement, les emails, les paiements et l'analytics site. Chaque prestataire est évalué, contractuellement encadré (clauses RGPD Art. 28) et limité aux données nécessaires. Le registre détaillé est disponible dans le document « Sous-traitants ».

10. Sauvegardes & continuité

Des sauvegardes automatiques couvrent les bases de données et fichiers critiques. Des tests de restauration sont réalisés périodiquement. Un plan de continuité vise à rétablir le service en cas d'incident majeur, avec communication transparente aux clients impactés.

11. Gestion des incidents

En cas de violation de données personnelles, Collasio notifie le Client dans un délai compatible avec l'Art. 33 RGPD (72 h après prise de conscience), avec : nature de la violation, catégories de données, mesures prises, recommandations pour la notification CNIL si requise.

Chaque incident majeur fait l'objet d'un post-mortem interne et de mesures correctives pour éviter la récurrence.

12. Fin de contrat

À la résiliation, le Client peut demander un export structuré de ses données (commandes, profils, historique). Après le délai convenu, Collasio procède à la suppression des données actives et à leur retrait des sauvegardes selon le cycle de rétention, sauf obligation légale.

13. Ce que Collasio ne fait pas

14. Contact & documents complémentaires

Questions sécurité, demande de DPA ou due diligence : contact@collasio.com. Documents disponibles sur collasio.com/securite : DPA, registre sous-traitants, politique de confidentialité, CGU.