Sécurité & conformité
Collasio traite les données de vos collaborateurs — tailles, adresses, commandes, dotations. Voici comment nous les protégeons.
Collasio héberge et traite des données professionnelles sensibles : identités collaborateurs, tailles, adresses de livraison, historiques de commandes, budgets et dotations. Nous le prenons au sérieux.
Ce document et les guides téléchargeables décrivent comment la plateforme est conçue, hébergée et opérée pour protéger les données de votre organisation — en langage clair, sans jargon inutile.
Pour un arbitrage formel (DPA, registre sous-traitants, fiche IT complète), utilisez les documents en tête de page. Pour toute question : contact@collasio.com.
Les 4 piliers de notre approche
Données en Europe
Hébergement et sous-traitants prioritairement dans l'UE. Clauses RGPD et DPA disponibles.
Chiffrement systématique
TLS 1.2+ en transit. Chiffrement au repos côté infrastructure cloud. Pas de carte bancaire stockée chez Collasio.
Accès strictement limités
Authentification manager, droits par profil/établissement. Moindre privilège pour l'équipe Collasio.
Transparence
Registre sous-traitants public, notification d'incident conforme RGPD, politique de conservation documentée.
Documents pour équipes IT & achats
Guides complets pour due diligence IT, achats et juridique — architecture, chiffrement, RGPD, paiements, incidents et sous-traitants. Export PDF via votre navigateur (Imprimer → Enregistrer en PDF).
Guide sécurité & conformité Collasio
Document complet pour équipes IT et achats : architecture, chiffrement, accès, RGPD, paiements, sauvegardes, gestion des incidents et continuité de service.
~12 pages · Mis à jour le 1 juin 2026
Accord de traitement des données (DPA / RGPD)
Cadre contractuel Art. 28 RGPD : finalités, catégories de données, mesures de sécurité, sous-traitants, notification de violation et fin de contrat.
~8 pages · Mis à jour le 1 juin 2026
Registre des sous-traitants & transferts
Liste détaillée des prestataires (hébergement, emails, paiements, analytics), finalités, localisation des données et garanties contractuelles.
~4 pages · Mis à jour le 1 juin 2026
Export PDF : ouvrez le document HTML, puis Fichier → Imprimer → Enregistrer en PDF.
Périmètre & responsabilités
Collasio édite une plateforme SaaS B2B : boutiques entreprise brandées où les collaborateurs commandent vêtements, EPI, dotations et goodies. Les managers et RH pilotent catalogues, budgets, validations et statistiques.
En tant que sous-traitant au sens du RGPD, Primtee SARL (Collasio) traite des données personnelles pour le compte de votre organisation (le responsable de traitement). Les finalités et la base légale sont définies par vos règles internes et le contrat commercial.
- Données traitées : identité, email pro, service/établissement, tailles, adresses, historique commandes, dotations
- Données non collectées par défaut : numéros de carte (PCI-DSS chez le prestataire paiement), données de santé
- Séparation logique : site marketing collasio.com ≠ application produit (boutiques clients)
Architecture & hébergement
Le site marketing (collasio.com) et l'API de contact sont hébergés chez OVHcloud (2 rue Kellermann, 59100 Roubaix, France). L'application produit (boutiques, back-office manager, API métier) repose sur une infrastructure cloud sécurisée, avec réplication et supervision.
Nous appliquons une séparation des environnements (production / préproduction / développement). Les données de production ne sont pas utilisées en environnement de test sans anonymisation.
- Connexions chiffrées HTTPS (TLS) sur 100 % des parcours utilisateur
- Pare-feu et filtrage réseau sur l'infrastructure
- Sauvegardes automatiques avec rétention définie et tests de restauration périodiques
- Journalisation des accès administrateurs et des opérations sensibles
Chiffrement & protection des données
Toutes les communications entre navigateur, application mobile et serveurs Collasio passent par TLS. Les données au repos bénéficient du chiffrement natif de l'infrastructure cloud (disques, bases de données).
Les mots de passe manager sont stockés de manière sécurisée (hachage adaptatif, jamais en clair). Les secrets techniques (clés API, tokens) sont gérés via des coffres sécurisés, non versionnés dans le code.
- Chiffrement en transit : TLS 1.2 minimum
- Chiffrement au repos : fournisseur cloud (AES-256 ou équivalent)
- Aucun stockage de numéro de carte complet sur les serveurs Collasio
- Minimisation : seules les données nécessaires au service sont collectées
Contrôle d'accès & authentification
L'espace de pilotage (manager / admin) est protégé par authentification individuelle. Les droits sont configurables : par profil, service, établissement ou site — un collaborateur ne voit que le catalogue et les budgets qui le concernent.
Côté Collasio, l'accès aux données clients en production est réservé au personnel autorisé, tracé, et limité au strict nécessaire (support, incident, maintenance).
- Authentification obligatoire pour l'espace manager
- Droits granulaires par organisation cliente
- Principe du moindre privilège pour l'équipe Collasio
- SSO SAML / OIDC disponible en offre Premium
- Révocation immédiate des accès en cas de départ collaborateur Collasio
Sécurité applicative
Le développement Collasio intègre des pratiques de sécurité : revue de code, dépendances suivies, environnements isolés, validation des entrées utilisateur, protection CSRF/XSS sur les surfaces web.
Les formulaires publics (contact, lead magnet) intègrent rate limiting, honeypot anti-spam et validation serveur pour limiter les abus.
- Mises à jour de sécurité applicatives déployées de façon contrôlée
- Séparation des rôles : un collaborateur boutique ≠ un manager ≠ un admin Collasio
- Logs d'audit sur les actions sensibles (validation commande, modification budget)
- Pas de revente ni de profilage publicitaire des données clients
RGPD & droits des personnes
Collasio aide le Client à respecter les droits des personnes concernées (accès, rectification, effacement, portabilité, opposition). Les demandes peuvent être adressées au Client ou à contact@collasio.com.
Un DPA (Accord de traitement des données) est disponible et décrit les obligations Art. 28 RGPD : instructions documentées, confidentialité, mesures de sécurité, sous-traitants, notification de violation.
- DPO / contact données : contact@collasio.com
- Conservation formulaires marketing : 36 mois après dernier contact
- Données boutique : durée du contrat + délai de restitution/suppression convenu
- Registre des activités de traitement tenu par le Client ; Collasio fournit les éléments nécessaires
Paiements & données financières
Les paiements sur les boutiques Collasio sont traités par un prestataire certifié PCI-DSS Level 1. Collasio n'a jamais accès aux numéros de carte complets et ne les stocke pas.
Les entreprises peuvent configurer dotations, prises en charge partielles ou codes promo — la logique métier reste côté plateforme, le flux financier côté prestataire certifié.
- Tunnel de paiement sécurisé (redirection ou iframe certifiée)
- Tokenisation côté prestataire — pas de PAN stocké chez Collasio
- Conformité PCI-DSS déléguée au prestataire paiement
Sous-traitants & chaîne de confiance
Collasio s'appuie sur des sous-traitants techniques soigneusement sélectionnés. Chaque prestataire n'accède qu'aux données strictement nécessaires à sa finalité et est lié par des clauses RGPD.
La liste complète, les localisations et les garanties sont disponibles dans le registre téléchargeable « Sous-traitants ».
- Hébergement : OVHcloud
- Infrastructure cloud application produit (UE)
- Emails transactionnels : Brevo / Resend
- Paiements : prestataire PCI-DSS
- Analytics site marketing : Plausible (sans cookies publicitaires)
Sauvegardes, continuité & incidents
Des sauvegardes automatiques sont effectuées sur l'infrastructure produit. Des procédures de restauration sont testées périodiquement. Un plan de continuité vise à limiter l'impact d'une indisponibilité technique.
En cas de violation de données personnelles affectant vos collaborateurs, Collasio notifiera le Client dans un délai compatible avec l'article 33 RGPD (72 h après prise de conscience), avec les informations disponibles pour votre notification à la CNIL si nécessaire.
- Sauvegardes chiffrées avec rétention multi-jours
- Procédure d'escalade incident documentée en interne
- Communication client en cas d'incident impactant les données
- Post-mortem et mesures correctives après incident majeur
Fin de contrat & portabilité
À la résiliation du contrat, les données du Client peuvent être exportées (format structuré) sur demande. Passé le délai convenu, les données sont supprimées des systèmes actifs et des sauvegardes selon le cycle de rétention, sauf obligation légale de conservation.
- Export des données commandes / collaborateurs sur demande
- Suppression certifiée à l'issue du délai de rétention post-résiliation
- DPA disponible pour formaliser ces engagements
Site marketing & mesure d'audience
Le site collasio.com utilise Plausible Analytics : statistiques agrégées, sans cookies publicitaires, sans revente de données, hébergé en UE. Les intégrations tierces optionnelles (ex. vidéo Loom) ne s'activent que lorsque vous les utilisez volontairement.
Due diligence & contact sécurité
Votre équipe IT ou juridique prépare un arbitrage ? Téléchargez le Guide sécurité, le DPA et le registre sous-traitants ci-dessus. Pour un questionnaire personnalisé ou une session technique :
- DPO / sécurité : contact@collasio.com
- Commercial : contact@collasio.com
Voir aussi politique de confidentialité, mentions légales et CGU. Dernière mise à jour : juin 2026.