Sécurité & RGPD

Cloudflare protège le trafic, OVHcloud héberge les données, Modalys chiffre les contenus sensibles.

L'objectif n'est pas de faire joli sur un slide, mais de tenir une promesse solide : conformité RGPD, maîtrise des données et transparence technique.

Hébergement 100 % OVHcloud, en France

Toutes les données métiers (clients, devis, factures, documents GED, comptabilité, RH…) sont stockées et traitées sur des serveurs OVHcloud situés en France. Modalys n'héberge pas vos données sur des clouds américains.

Sauvegardes, bases de données, fichiers GED, logs techniques : tout reste côté OVHcloud.

Transit protégé par Cloudflare (DDoS, WAF, CDN)

Le trafic HTTP(S) passe par Cloudflare afin de bénéficier d'une protection DDoS, d'un WAF avancé et d'un CDN performant. Cloudflare protège le réseau, mais ne remplace pas votre base de données ERP.

Cloudflare voit du trafic, pas vos tables MySQL ni vos documents GED au repos.

Chiffrement : TLS en transit + AES-256 au repos

Toutes les communications entre votre navigateur et Modalys sont chiffrées en TLS 1.2+ (HTTPS), afin de protéger le trafic en transit.

Les bases de données, sauvegardes et volumes sont chiffrés au repos en AES-256 sur les infrastructures OVHcloud, ce qui protège les données en cas d'accès physique non autorisé ou de perte de support.

Pour les données particulièrement sensibles (par exemple IBAN, informations RH ou certains payloads critiques), Modalys prépare une option de chiffrement applicatif par tenant pour ses offres Enterprise.

Cette fonctionnalité fera l'objet d'une communication dédiée lorsqu'elle sera disponible, et ne doit pas être considérée comme active par défaut aujourd'hui.

IA locale & IA fédérée sans fuite de contenu

Les modules AutoOps et Advisor IA peuvent fonctionner en local (sur votre propre infrastructure) ou en mode fédéré. En mode fédéré, seules des métriques techniques chiffrées (latence, erreurs, charges, anomalies) sont partagées, jamais le contenu de vos factures, devis ou documents GED.

Aucune donnée métier n'est utilisée pour entraîner des modèles externes généralistes.

Sous-traitants limités et documentés

Modalys s'appuie sur un nombre volontairement limité de sous-traitants : OVHcloud pour l'hébergement, Cloudflare pour le transit, un prestataire de paiement pour les prélèvements ou paiements récurrents, et éventuellement un TSP (DocuSign) si vous activez la signature électronique qualifiée.

Chaque sous-traitant fait l'objet d'un accord de traitement (DPA) et d'une analyse de conformité RGPD.

Multi-tenant strict et isolation des données

L'ERP est conçu pour une isolation stricte par tenant (company_id). L'ensemble des modèles métier respecte ce principe, des audits réguliers sont réalisés pour éviter les fuites croisées.

RBAC granulaire avec Spatie, middleware de vérification, scopes automatiques sur les requêtes. En savoir plus sur notre architecture multi-tenant et notre conformité Factur-X.