Sécurité Technique — Spiribase

Résumé exécutif

Ce document décrit les mesures de sécurité technique de Spiribase, la procédure de gestion des violations de données, et les contrôles d'accès aux documents de conformité.

Contexte réglementaire

RGPD Art. 32 — Sécurité du traitement
RGPD Art. 33 — Notification violation à l'autorité de contrôle (72h)
RGPD Art. 34 — Communication violation aux personnes concernées
AI Act Art. 15 — Exactitude, robustesse et cybersécurité

Références légales

RGPD : https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng

US-173 — Sécurité et localisation des données

Mesures de sécurité techniques confirmées par audit

Mesure	Implémentation	Fichier/Code	Statut
Chiffrement AES-256 au repos	email, téléphone, adresse chiffrés	`src/lib/encryption.ts` (encrypt/decrypt)	Actif
TLS en transit	Toutes communications API	Configuration Vercel/Neon	Actif
Multi-tenancy	Isolation par organizationId	Toutes requêtes Prisma	Actif
Authentification	Better-auth avec sessions	`src/lib/auth.ts`	Actif
Tokens API	Validation apiToken	`src/lib/api-token-utils.ts`	Actif
Rotation clés LLM	Cascade multi-clés	`src/lib/ai/client.ts` getProviderKeys()	Actif
Logs d'audit	auditLog()	`src/lib/audit.ts`	Actif
2FA	Supporté via Better-auth	—	Actif

Localisation des données

Voir subprocessors.md — Section US-173

US-174 — Gestion des violations de données

Procédure de notification (Art. 33 RGPD — délai 72h)

Étape 1 : Détection (J0)

L'incident est détecté par monitoring, alerte ou signalement utilisateur
Notification immédiate à Kamel Msaoubi (kamel@spiritek.io) et Nader Laroussi (nader@spiritek.io)
Ouverture d'un ticket d'incident avec horodatage

Étape 2 : Qualification (J0 — H+2)

Évaluation : violation avérée ou tentative ?
Données concernées : quelles catégories ? Quels candidats ? Quelle organisation ?
Niveau de risque : probabilité de préjudice pour les personnes ?

Étape 3 : Notification CNIL (J0 — H+72 maximum)

Si violation avérée avec risque pour les droits et libertés :

Notification à la CNIL via téléservice : https://notifications.cnil.fr/notifications/
Contenu : nature violation, catégories données, nombre personnes, conséquences probables, mesures prises

Étape 4 : Notification aux personnes concernées (si risque élevé)

Communication directe aux candidats affectés
Information claire sur la nature de l'incident et les mesures prises

Étape 5 : Actions correctives

Isolation et correction de la vulnérabilité
Renforcement des mesures de sécurité
Post-mortem documenté

Étape 6 : Documentation

Toutes les violations sont documentées même si elles ne nécessitent pas notification CNIL
Registre des violations maintenu par le Référent IA

Types d'incidents à traiter

Type	Exemples	Sévérité
Accès non autorisé	Accès externe à la base de données	CRITIQUE
Fuite de données	Export non autorisé de données candidats	CRITIQUE
Perte de données	Suppression accidentelle sans backup	HAUTE
Corruption de données	Modification non autorisée	HAUTE
Violation IA	Biais grave détecté en production	HAUTE
Incident fournisseur	Fuite chez OpenAI/Anthropic/Google	CRITIQUE

US-197 — Sécurisation des accès aux documents de conformité

Contrôles d'accès recommandés

Document	Accès recommandé	Justification
docs/compliance/ (ce dossier)	Équipe interne seulement	Contient l'analyse des GAPs
DPA clients	Signataires + direction	Données contractuelles
DPIA	Référent IA + DPO	Document réglementaire sensible
Registre des sous-traitants	Référent IA + conformité	Données stratégiques
Trust Center public (/legal/trust)	Public	Transparence clients

Logs d'accès

Tous les accès aux documents de conformité via l'application doivent être loggés avec userId, timestamp, document consulté.

Responsables

Kamel Msaoubi — kamel@spiritek.io — Référent IA & DPO technique
Nader Laroussi — nader@spiritek.io — Responsable conformité IA

Historique des versions

Version	Date	Auteur	Modifications
1.0.0	2026-03-23	K. Msaoubi / N. Laroussi	Création initiale Sprint 9