Aller au contenu

Sécurité & audit

Votre comptabilité, vos factures, les coordonnées de vos clients : ce sont les données les plus sensibles de votre entreprise. Cette section explique comment YADA les protège et comment vous pouvez vérifier qu'elles le sont bien.

Architecture de sécurité

Hébergement

  • Hébergé en France chez un prestataire certifié ISO 27001 (sécurité de l'information) et HDS (Hébergeur de Données de Santé — au cas où vous facturez à des professions médicales)
  • Datacenters redondants — si un incident majeur touche un site, bascule automatique vers un second site sans perte de données
  • Aucune donnée ne sort de l'Union européenne (conformité RGPD + souveraineté)

Chiffrement

Type de donnée Chiffrement
En transit (navigation, API) TLS 1.3 obligatoire — HTTP seul refusé
Au repos (base de données) AES-256
Documents (PDF, Kbis, RIB) AES-256 + clé de déchiffrement par client
Sauvegardes AES-256 + chiffrement au transport vers le stockage d'archive
Mots de passe Argon2id (algorithme recommandé par l'ANSSI) — jamais réversibles

Ce que cela implique concrètement

Même nos équipes techniques ne peuvent pas lire vos mots de passe, et ne peuvent accéder à vos documents qu'avec votre autorisation explicite (procédure de support, tracée dans le journal d'audit).

Sauvegardes

  • Quotidiennes automatiques, à 3h du matin
  • Conservées 30 jours en accès rapide
  • Archives longue durée : snapshots mensuels conservés 7 ans
  • Point de restauration : en cas de perte (erreur humaine, sinistre), restauration possible jusqu'à la sauvegarde du matin

Authentification forte

Mot de passe

Rappel des règles (voir aussi Premiers pas → Se connecter) :

  • 12 caractères minimum, majuscule + minuscule + chiffre + caractère spécial
  • Rotation recommandée tous les 12 mois (pas obligatoire — l'ANSSI considère désormais que la rotation forcée pousse à des mots de passe plus faibles)
  • Interdiction de réutiliser les 5 derniers mots de passe

Double authentification (MFA)

Fortement recommandée pour les rôles Propriétaire et Administrateur.

  1. Paramètres → Sécurité → Activer la double authentification.
  2. Scannez le QR code avec une app TOTP (Google Authenticator, Authy, 1Password, Bitwarden…).
  3. Saisissez le code à 6 chiffres pour valider.
  4. Sauvegardez les codes de récupération — en cas de perte de votre téléphone, ce sont eux qui vous dépanneront.

Pas de SMS

YADA n'utilise pas la double authentification par SMS. Raison : le SIM swapping (vol de ligne téléphonique) rend le SMS non fiable pour des données comptables. Seul le TOTP via app mobile ou clé physique (FIDO2, à venir) est accepté.

Sessions

  • Durée : 15 minutes d'inactivité avant déconnexion automatique
  • Changement de mot de passe = toutes les sessions actives sont coupées (vous et vos autres appareils)
  • Depuis Paramètres → Sécurité → Sessions actives, vous voyez vous êtes connecté (appareil, navigateur, IP masquée, date) et pouvez révoquer une session à distance

Journal d'audit

Chaque action sensible dans YADA est tracée dans un journal immuable — on ne peut ni le modifier, ni en supprimer des lignes, même en tant que propriétaire.

Actions tracées

  • Authentification : connexion, déconnexion, échec de connexion
  • Facturation : création, modification, validation, envoi, signature électronique d'une facture
  • Clients : création, modification, archivage
  • Documents administratifs : upload, consultation, téléchargement, suppression
  • Équipe : invitation, changement de rôle, révocation
  • Paramètres : changement de mot de passe, activation/désactivation MFA, rotation de clé API
  • Support YADA : toute intervention de nos équipes sur votre dossier (avec raison indiquée)

Consulter le journal

Réservé aux rôles Propriétaire et Administrateur.

  1. Paramètres → Journal d'audit.
  2. Filtrez par :
    • Période (de / à)
    • Utilisateur (qui a fait l'action)
    • Type d'action (connexion, facture, document…)
  3. Chaque ligne affiche : qui, quoi, quand, depuis quelle IP (masquée en /24 pour les utilisateurs non-admin).

Export pour audit externe

Si un auditeur (commissaire aux comptes, URSSAF, contrôle fiscal) demande à voir l'historique :

  1. Filtrez sur la période concernée.
  2. Cliquez sur Exporter en CSV.
  3. Le fichier exporté inclut une signature cryptographique attestant qu'il n'a pas été modifié depuis l'export.

Conformité RGPD

Ce qu'on stocke à votre sujet

  • Informations entreprise (raison sociale, SIRET, TVA, adresse)
  • Informations utilisateurs (nom, prénom, email, téléphone optionnel)
  • Données de facturation (factures émises, reçues, devis, clients)
  • Logs techniques (date de connexion, IP, navigateur — conservés 13 mois)

Vos droits

  • Droit d'accès : téléchargez toutes vos données au format JSON via Paramètres → RGPD → Exporter mes données
  • Droit de rectification : modifiez vos informations à tout moment
  • Droit à l'effacement : demandez la suppression de votre compte par email à dpo@yada.fr
  • Droit à la portabilité : récupérez vos factures et FEC à tout moment (voir Exports)

Effacement différé

Si vous demandez l'effacement complet, nous conservons :

  • Les factures et écritures comptables pendant 10 ans (obligation fiscale)
  • Les journaux d'audit pendant 5 ans (obligation légale commerciale)

Le reste (préférences UI, brouillons, sessions) est supprimé sous 30 jours.

Sous-traitants

YADA partage certaines données avec :

Sous-traitant Données Localisation
Bridge (agrégateur bancaire) Transactions bancaires si vous activez la connexion France
Hébergeur ISO 27001 Toutes les données en chiffrement France
Provider email transactionnel Emails envoyés à vos clients (facture, relance) UE
Outil de signature eIDAS Hash des factures signées électroniquement UE

La liste complète des sous-traitants et leur DPA (Data Processing Agreement) est consultable sur yada.fr/sous-traitants.

Que faire en cas d'incident

Activité suspecte sur votre compte

Si vous recevez un email de connexion inhabituelle (« Nouvelle connexion depuis Varsovie ») ou que vous constatez des factures que vous n'avez pas créées :

  1. Changez immédiatement votre mot de passe.
  2. Allez dans Paramètres → Sécurité → Sessions activesRévoquer toutes les autres sessions.
  3. Activez la MFA si ce n'était pas déjà fait.
  4. Signalez-nous : security@yada.fr — nous examinons le journal d'audit gratuitement.

Fuite de données de notre côté

En cas d'incident de sécurité touchant vos données, nous notifions :

  • Vous, par email, sous 72 heures maximum
  • La CNIL, si l'incident le justifie (obligation RGPD article 33)
  • La presse spécialisée en cas d'incident majeur (transparence)

Notre historique des incidents est public sur yada.fr/status/incidents.

Ce qu'il faut retenir

  • Hébergement France, certifié ISO 27001 et HDS, chiffrement AES-256 partout.
  • MFA fortement recommandée — TOTP via app, pas par SMS.
  • Journal d'audit immuable pour toute action sensible, exportable pour audit externe.
  • RGPD : vos droits sont exerçables en self-service, effacement différé selon obligations légales.
  • Incident ? 72h max pour être notifié. Signalez toute activité suspecte à security@yada.fr.

Étape suivante : FAQ / Dépannage →