Pulse·propulsé parOcéan Bleu
Sécurité · Confidentialité · RGPD

La sécurité de tes données, sans concession.

Pulse traite des données RH sensibles : évaluations, plans de développement, commentaires managériaux. Tu mérites une transparence totale sur où elles sont, comment elles sont protégées et qui peut y accéder.

Télécharger le modèle de DPA Une question juridique ?

Où sont stockées tes données ?

Hébergeur
OVHcloud (France)
Datacenters Gravelines / Roubaix, UE. Acteur certifié ISO 27001, ISO 27017/27018, conforme RGPD.
Région
France · Union européenne
Application + base de données 100% hébergées dans l'UE. Aucun transfert de ces données hors UE.
Base de données
MongoDB (UE)
Hébergée dans l'UE chez OVHcloud. Chiffrement au repos (AES-256), accès restreint au backend uniquement.
Sauvegardes
Quotidiennes
Snapshots automatiques · rétention 30 jours · au sein de l'UE.

Hébergement 100% européen

L'infrastructure Pulse (application et base de données) tourne sur OVHcloud, en France (Gravelines / Roubaix), au sein de l'Union européenne. Tes données applicatives ne quittent jamais l'UE. Le déploiement est opéré via la plateforme Emergent sur cette infrastructure OVH UE.

Les emails transactionnels passent par Brevo et les suggestions IA par Mistral AI — deux sociétés françaises hébergées dans l'UE. Aucune donnée applicative ne quitte l'Union européenne.

Chiffrement de bout en bout

  • TLS 1.3 en transit — toutes les communications navigateur ↔ serveur sont chiffrées (HTTPS).
  • Mots de passe : bcrypt — jamais stockés en clair. Même Océan Bleu ne peut pas lire les mots de passe de ses clients.
  • Base de données chiffrée au repos — AES-256 côté MongoDB / OVHcloud (UE).
  • Tokens JWT signés — sessions utilisateurs sécurisées avec secret rotatif.
  • Tokens d'invitation à usage unique — expiration 7 jours, invalidés après utilisation.

Conformité RGPD

Pulse est conçu pour respecter le Règlement Général sur la Protection des Données (RGPD / GDPR). En tant que sous-traitant au sens du RGPD, nous t'aidons à respecter tes obligations de responsable de traitement.

Droit d'accès
Chaque utilisateur peut consulter ses propres données via son compte.
Droit de rectification
L'utilisateur peut corriger ses infos personnelles depuis Mon Compte.
Droit à l'oubli
Suppression définitive d'un utilisateur (et de ses données) sur demande de l'admin client.
Portabilité
Export complet des données utilisateur en JSON / Excel sur demande.
Durée de conservation
Les données sont conservées tant que le contrat est actif. Suppression définitive sous 30 jours après résiliation.
DPA disponible
Modèle de Data Processing Agreement téléchargeable et signable par Océan Bleu.

Sous-traitants et tiers utilisés

En toute transparence, voici l'ensemble des tiers qui peuvent traiter techniquement tes données pour faire fonctionner Pulse.

Sous-traitantFinalitéLocalisationConformité
OVHcloudHébergement application + base de donnéesFrance (Gravelines / Roubaix) · Union européenneISO 27001, 27017, 27018 · RGPD · chiffrement AES-256
EmergentPlateforme de déploiement (PaaS) sur infra OVH UEDéploiement sur OVHcloud (UE)SCC, accès restreint, audit log
BrevoEnvoi des emails transactionnels (email + nom)France · Union européenneRGPD, hébergement UE, DKIM/DMARC, chiffrement TLS
Mistral AISuggestions IA sur verbatims anonymisésFrance · Union européenneRGPD, hébergement UE, pas d'entraînement sur tes données

Cette liste est mise à jour en cas d'ajout ou de changement de sous-traitant, avec préavis aux clients sous contrat.

Références juridiques Emergent (PaaS de déploiement) : Privacy Policy · Terms of Service.Liste formelle des sous-traitants Emergent non publiée à ce jour ; consultable sur demande RSSI/DPO via leur support Enterprise.

Qui peut voir tes données ?

  • Toi et tes utilisateurs autorisés uniquement — selon la hiérarchie de rôles (collab voit sa fiche, DR voit son équipe, etc.).
  • Aucun support Océan Bleu ne consulte tes données sans ton accord explicite écrit (sauf demande de support sur incident technique).
  • Isolation multi-tenant stricte — chaque client a son propre espace logique, aucune fuite possible entre clients.
  • Logs d'accès — toutes les actions sensibles (création user, modification éval) sont tracées.

En cas d'incident de sécurité

  • Notification sous 72h — conformément au RGPD article 33, en cas de violation de données.
  • Plan de réponse documenté — détection, contention, communication, retour à la normale.
  • Contact : oceanbleufb@gmail.com · réponse sous 24h ouvrées.

Un audit IT / RSSI à mener ?

On répond à tous tes questionnaires sécurité (CISO, DPO, audit RGPD) en moins de 5 jours ouvrés. Pas de blabla, des réponses factuelles.

Demander un échange RSSI
Dernière mise à jour : 12 juin 2026 · Pulse · Océan Bleu · Retour à l'accueil

Made with Emergent