Données & Sauvegardes
Cette page décrit où sont hébergées vos données, comment elles sont protégées, les exports disponibles depuis l’interface, et vos droits en matière de protection des données.
Localisation des données
Toutes les données utilisateurs et organisationnelles de Hasfy sont hébergées sur un serveur OVHcloud situé dans le datacenter de Gravelines (GRA), en France.
| Composant | Hébergement | Localisation |
|---|---|---|
| Base de données PostgreSQL (Supabase self-hosted) | OVH Gravelines | 🇫🇷 France |
| Authentification (Supabase Auth) | OVH Gravelines | 🇫🇷 France |
| Elasticsearch + Kibana + Fleet (agents) | OVH Gravelines | 🇫🇷 France |
| API backend (Next.js) | OVH Gravelines | 🇫🇷 France |
| Interface web (frontend) | OVH Gravelines | 🇫🇷 France |
RGPD : la totalité de vos données organisationnelles (tickets, équipements, utilisateurs, audit) est physiquement localisée en France.
Chiffrement
En transit
Toutes les communications entre votre navigateur, l’agent de supervision, l’API et nos serveurs sont chiffrées en HTTPS/TLS.
Au repos
| Données | Chiffrement au repos |
|---|---|
| Volume disque OVH (PostgreSQL, Elasticsearch…) | ❌ Non chiffré au niveau disque |
| Tickets, équipements, profils, tickets (PostgreSQL) | ❌ Pas de chiffrement disque — protégés par RLS et contrôles réseau |
| Mots de passe CalDAV et tokens OAuth calendrier | ✅ AES-256-GCM (chiffrement applicatif) |
Le chiffrement applicatif AES-256-GCM s’applique spécifiquement aux secrets de connexion calendrier (CalDAV, Google Calendar, Outlook). La clé de chiffrement est stockée en variable d’environnement serveur et n’est jamais exposée côté client.
Note : l’absence de chiffrement disque est compensée par des contrôles d’accès stricts : le serveur PostgreSQL n’est pas exposé sur l’internet public, l’accès est restreint au réseau privé OVH, et toutes les tables appliquent le Row Level Security (RLS) Supabase — chaque requête est filtrée par
organization_id.
Sauvegardes
Hasfy utilise le mécanisme de sauvegarde automatique de Supabase self-hosted :
- pg_dump quotidien : export complet de la base PostgreSQL chaque nuit
- WAL archiving (Write-Ahead Log) : enregistrement continu des transactions, permettant une restauration point-in-time (PITR) à n’importe quel moment dans la fenêtre d’archivage
RPO / RTO : les objectifs de point de reprise (RPO) et de délai de reprise (RTO) sont en cours de définition avec notre équipe infrastructure. Contactez-nous via Nous contacter pour toute question sur la continuité de service.
Isolation des données entre organisations
L’isolation des données entre organisations est appliquée à deux niveaux indépendants :
- Row Level Security (RLS) : toutes les tables Supabase filtrent automatiquement chaque requête par
organization_idau niveau de la base de données - Validation applicative : toutes les routes API vérifient l’appartenance de l’utilisateur à l’organisation avant d’autoriser toute lecture ou écriture
Ces deux couches sont indépendantes : une compromission de l’une ne suffit pas à exposer les données d’une autre organisation.
Exports de données
Hasfy ne propose pas (encore) de centre de téléchargement unique pour l’ensemble de vos données. Plusieurs exports sont en revanche disponibles directement depuis les pages concernées :
| Donnée | Où l’exporter | Format |
|---|---|---|
| Parc d’équipements | Page Équipements, bouton « Exporter les équipements » (permission requise) | CSV / JSON / Markdown |
| Tickets | Page Assistance, export des tickets | CSV / JSON / Markdown |
| Journal d’audit | Paramètres > Audit, avec filtres par sévérité et plage de dates | CSV / JSON / Markdown |
Export via API
L’API REST de Hasfy permet également de récupérer vos données par programmation. Consultez la documentation API pour la liste des endpoints disponibles.
Vos droits RGPD
Hasfy traite des données à caractère personnel dans le cadre de son service et respecte les droits prévus par le RGPD : droit d’accès, de rectification, d’effacement, de portabilité et d’opposition.
Pour exercer l’un de ces droits, contactez-nous via la page Nous contacter. Vous pouvez également supprimer votre compte directement depuis Paramètres > Compte (voir Gestion du compte).
Sous-traitants et partenaires techniques
| Sous-traitant | Usage | Localisation des données |
|---|---|---|
| OVHcloud | Hébergement serveur principal | 🇫🇷 France (Gravelines) |
| Supabase (self-hosted) | Base de données, authentification, stockage | 🇫🇷 France (OVH Gravelines) |
| Elasticsearch / Kibana | Métriques de supervision des agents | 🇫🇷 France (OVH Gravelines) |
| Mollie | Paiements (abonnement Hasfy) | 🇪🇺 UE |
| Brevo | Emails transactionnels (invitations, confirmations) | 🇪🇺 UE |
| Mistral AI | Traitement IA (si add-on activé) | Hors UE — voir Assistant IA |
| Pennylane | Comptabilité (si intégration activée) | 🇫🇷 France |
Suppression de compte ou d’organisation
Suppression de l’organisation
Le rôle Owner peut supprimer définitivement l’organisation depuis Paramètres > Organisation :
- Ouvrez la zone de danger de la page Organisation
- Saisissez le nom exact de l’organisation pour confirmer
- Ressaisissez votre mot de passe
- Confirmez la suppression
La suppression d’organisation entraîne une cascade sur l’ensemble des données associées : équipements, tickets, messages, membres, connexions calendrier, tokens API, données de facturation.
Cette action est irréversible. Si vous souhaitez conserver l’organisation mais changer de Owner, utilisez « Transférer la propriété » depuis la même page.
Suppression de votre compte personnel
Consultez la section dédiée dans Gestion du compte pour le détail complet de la procédure de suppression de compte utilisateur.