Skip to content
Sécurité

Sécurité

Comment Alpha Analytics s.r.o. protège les données qui lui sont confiées sur la plateforme Carsdata.com — nos contrôles, notre hébergement et nos pratiques.

Dernière mise à jour9 juin 2026

Notre approche de la sécurité

Carsdata fonctionne comme une infrastructure de données pour le marché automobile européen, et la confidentialité, l'intégrité et la disponibilité des données qui nous sont confiées sont fondamentales pour ce rôle. Nous adoptons une approche de défense en profondeur : la sécurité est intégrée à la manière dont nous concevons, construisons et exploitons la plateforme, plutôt qu'ajoutée par la suite. Cette page résume les mesures techniques et organisationnelles que nous maintenons. Elle est fournie à des fins de transparence et ne fait partie d'aucun contrat ; les engagements spécifiques sont énoncés dans le contrat de service pertinent et l'Accord de traitement des données.

Gouvernance et conformité

Notre programme de sécurité est conçu autour des contrôles et des critères des services de confiance (Trust Services Criteria) énoncés dans des référentiels reconnus à l'échelle internationale — notamment ISO/IEC 27001 et SOC 2 — et nous évaluons et améliorons continuellement nos pratiques au regard de ceux-ci. Nous traitons les données à caractère personnel conformément au RGPD, et notre traitement pour le compte des clients est régi par notre Accord de traitement des données.

La sécurité relève de la responsabilité de la direction, appuyée par des politiques documentées couvrant l'usage acceptable, le contrôle d'accès, la classification des données, la gestion des changements, la gestion des fournisseurs et la réponse aux incidents. Les politiques sont réexaminées périodiquement et après tout changement significatif de notre environnement.

Hébergement des données et infrastructure

La plateforme fonctionne sur l'infrastructure de prestataires de services en nuage établis qui exploitent des centres de données certifiés et physiquement sécurisés. Les données à caractère personnel sont principalement hébergées au sein de l'Union européenne / de l'Espace économique européen. Notre infrastructure est logiquement cloisonnée, déployée sur des zones de disponibilité résilientes et gérée au moyen de l'infrastructure-as-code afin que les environnements soient cohérents, vérifiables et reproductibles.

Chiffrement

Les données en transit sont chiffrées au moyen de TLS sur les réseaux publics. Les données au repos sont chiffrées au moyen d'algorithmes robustes et conformes aux normes du secteur. Les clés de chiffrement sont gérées par les services de gestion des clés de nos prestataires de services en nuage, avec un accès restreint aux systèmes et au personnel autorisés.

Contrôle d'accès

L'accès aux systèmes et aux données suit les principes du moindre privilège et du besoin d'en connaître. L'accès administratif requiert une authentification multifacteur, est accordé en fonction des rôles, est journalisé, et est réexaminé périodiquement et révoqué rapidement lorsqu'il n'est plus nécessaire. Lorsque cela est pris en charge, l'accès des clients à la plateforme peut être fédéré au moyen de l'authentification unique (SSO).

Sécurité du réseau et des applications

Notre réseau est protégé par des pare-feu, des groupes de sécurité et une segmentation qui restreignent le trafic à ce qui est nécessaire. Les applications sont protégées contre les vulnérabilités web courantes au moyen d'une conception sécurisée, de la validation des entrées et de configurations renforcées, et les points d'accès publics sont protégés par des dispositifs contre les attaques volumétriques et applicatives.

Cycle de développement sécurisé

Les modifications de la plateforme passent par un système de gestion de versions, une revue de code par les pairs et des tests automatisés avant leur mise en production. Nous utilisons une analyse automatisée des dépendances et des vulnérabilités dans nos pipelines, séparons les environnements de développement, de pré-production et de production, et suivons un processus contrôlé de gestion des changements afin que les mises en production soient traçables et réversibles.

Surveillance, journalisation et détection

Nous collectons de manière centralisée les journaux applicatifs, d'infrastructure et d'accès et surveillons les activités anormales et les problèmes de disponibilité. Les alertes sont acheminées vers l'équipe responsable afin que les problèmes potentiels puissent être examinés et traités rapidement.

Gestion des vulnérabilités et tests

Nous analysons régulièrement nos systèmes et nos dépendances à la recherche de vulnérabilités connues et y remédions en fonction d'une priorisation des risques. Nous faisons appel à des tiers qualifiés pour réaliser des tests d'intrusion périodiques et traitons les constatations en fonction de leur gravité.

Sauvegardes et continuité d'activité

Les données font l'objet de sauvegardes régulières, ces sauvegardes étant chiffrées et stockées séparément des systèmes primaires. Nous maintenons des plans de continuité d'activité et de reprise après sinistre assortis d'objectifs de reprise définis, et nous testons notre capacité à rétablir le service afin de pouvoir nous remettre d'une perturbation avec un impact minimal.

Sécurité du personnel

Le personnel est lié par des obligations de confidentialité et reçoit une formation en matière de sécurité et de protection des données adaptée à son rôle, tant lors de son intégration que de manière continue. L'accès aux données de production est limité aux personnes qui en ont besoin pour leur travail et est supprimé lorsqu'elles changent de rôle ou quittent l'entreprise.

Sous-traitants ultérieurs et gestion des fournisseurs

Nous faisons appel à un nombre limité de sous-traitants ultérieurs soigneusement sélectionnés — principalement des prestataires d'infrastructure et de stockage en nuage — pour fournir les Services. Nous évaluons le niveau de sécurité de nos fournisseurs, les lions par des obligations contractuelles appropriées en matière de protection des données et de sécurité, et tenons à jour une liste des sous-traitants ultérieurs telle que mentionnée dans notre Accord de traitement des données.

Réponse aux incidents

Nous maintenons un processus documenté de réponse aux incidents couvrant la détection, le tri, le confinement, l'éradication, la reprise et la revue post-incident. En cas de violation de données à caractère personnel affectant les données des clients, nous notifions les clients concernés sans retard injustifié et les soutenons dans le respect de leurs propres obligations de notification, conformément au RGPD et à notre Accord de traitement des données.

Protection des données et vie privée

La sécurité et la protection de la vie privée sont traitées conjointement. Nous appliquons les principes de minimisation des données et de limitation des finalités, traitons les données à caractère personnel conformément au RGPD, et régissons le traitement effectué pour le compte des clients au moyen de notre Accord de traitement des données. Pour plus de détails sur la manière dont nous traitons les données à caractère personnel, voir notre Politique de confidentialité.

Signaler une vulnérabilité

Nous accueillons favorablement les signalements des chercheurs en sécurité et des utilisateurs. Si vous pensez avoir découvert une vulnérabilité de sécurité dans Carsdata.com, veuillez nous contacter à info@carsdata.com en fournissant suffisamment de détails pour reproduire le problème. Nous vous demandons de nous laisser une possibilité raisonnable d'enquêter et de remédier au problème avant toute divulgation publique, et d'éviter d'accéder à des données qui ne vous appartiennent pas ou de les modifier. Nous accuserons réception de votre signalement et vous tiendrons informé de notre progression.

Coordonnées de la société
Alpha Analytics s.r.o.
Siège social
Gustav Mahlerplein 2
1082 MA Amsterdam
Pays-Bas
Identifiant de la société (IČO)
228 01 154
Registre du commerce
Krajský soud v Ústí nad Labem
Numéro de dossier C 32406

Des questions concernant ce document ? Écrivez-nous à info@carsdata.com.