byusage./Sécurité
Trust Center

Vos données RH.
Sous votre contrôle.

Bulletins, contrats, identités, IBAN : vos données RH sont parmi les plus sensibles que vous gériez. Chez byusage., elles sont chiffrées AES-256, hébergées dans l'UE en Allemagne, et restent votre propriété à tout moment.

Demander notre DPADécouvrir le produit
Hébergement UE (Allemagne)AES-256 + TLS 1.3RGPD natif
app.byusage.com/admin/security
Trust center

Sécurité de votre espace

Tout est conforme
Chiffrement AES-256
Transit + repos
Actif
DPA RGPD article 28
À l'inscription
Signé
Hébergement UE
Hetzner Falkenstein
Allemagne
Authentification 2FA
12/12 administrateurs
Activée
Sauvegarde quotidienne
Dernière : 03:00
OK
Export self-service. CSV, JSON, PDF disponibles 24h/24.
Notre approche

Trois engagements.
Pris dès la première minute.

Chiffrement de bout en bout

AES-256 au repos, TLS 1.3 en transit. Les clés de chiffrement sont sous contrôle exclusif byusage. : aucun fournisseur d'infrastructure ne peut lire vos données en clair, même avec un accès physique aux serveurs.

RGPD par construction

DPA conforme article 28 signé par défaut à la création de votre espace. Sous-traitants documentés, registre des traitements fourni, droits salariés (accès, rectification, effacement, portabilité) garantis techniquement.

Réversible à tout moment

Export CSV, JSON, PDF disponible 24h/24, en self-service, sans surcoût. À la résiliation, vous gardez 30 jours pour récupérer vos données. Aucun verrou propriétaire, aucune dépendance commerciale.

Vos données RH ne nous appartiennent pas.
Elles sont à vous. Toujours.

Nous ne revendons aucune donnée. Nous n'entraînons aucun modèle dessus. Nous ne les utilisons que pour vous fournir le service que vous payez. C'est dans le contrat, c'est techniquement appliqué, et c'est vérifiable.

Architecture sécurité

Le détail technique.
Sans langue de bois.

Voici exactement comment vos données sont protégées. Si vous avez un DSI ou un RSSI, donnez-lui cette page et il aura toutes les réponses.

Chiffrement
AES-256-GCM

Au repos, sur les disques de stockage. Clés gérées par AWS KMS (Frankfurt, eu-central-1), rotation automatique tous les 90 jours.

Transport
TLS 1.3

TLS 1.3 minimum, HSTS activé, certificats Let's Encrypt renouvelés automatiquement. Note A+ sur SSL Labs.

Hébergement
UE · Allemagne

Datacenters Hetzner Falkenstein (Allemagne) pour les serveurs applicatifs, AWS S3 Frankfurt (eu-central-1) pour les sauvegardes. Aucune donnée hors UE, aucun transfert hors UE.

Authentification
2FA + SSO

Authentification à deux facteurs disponible (TOTP). SSO SAML 2.0 pour les équipes qui le souhaitent. Sessions auto-expirantes.

Permissions
RBAC

Contrôle d'accès basé sur les rôles. Chaque collaborateur ne voit que ce que son rôle autorise. Permissions granulaires par module.

Monitoring & Audit
Observabilité interne

Logs d'audit immutables (accès, modifications, exports) conservés 1 an. Monitoring d'erreurs et observabilité hébergés sur notre propre cluster Hetzner · aucune donnée RH ne sort vers un SaaS tiers de monitoring.

Sauvegardes
Quotidiennes

Sauvegardes chiffrées toutes les 24h sur AWS S3 Frankfurt, conservées 30 jours. Restauration testée mensuellement. Réplication multi-zones intra-UE.

Paiements
Stripe PCI-DSS Niveau 1

Aucune donnée bancaire stockée par byusage.. Stripe certifié PCI-DSS Niveau 1. Cartes 3D Secure obligatoires.

Vulnérabilités
Bug bounty

Programme de divulgation responsable ouvert. Réponse sous 48h ouvrées. Patches critiques déployés sous 24h.

Conformité RGPD

Le RGPD.
Pas une option en plus.

Le RGPD contrainttout traitement de données de salariés. Pour une TPE ou une PME sans DPO, c'est lourd à porter seul. byusage. vous fournit tous les éléments par défaut, signés et utilisables tels quels en cas de contrôle CNIL.

Vous restez le responsable de traitement, byusage. est votre sous-traitant (article 28 RGPD). Le DPA est signé électroniquement à la création de votre espace, sans démarche supplémentaire.

Ce que vous obtenez par défautInclus
DPA signé électroniquement
Article 28 RGPD, conforme aux clauses CNIL
Liste des sous-traitants
Hetzner, AWS, Stripe, Yousign à jour, notification 30j avant changement
Registre des traitements
Pré-rempli, exportable, à inclure dans le vôtre
Politique de confidentialité salarié
Modèle conforme à insérer dans vos contrats
Droits salariés automatisés
Accès, rectification, effacement, portabilité en self-service
Procédure violation 72h
Notification CNIL automatique en cas de fuite
Tous ces documents sont accessibles depuis votre espace, à tout moment.
Sous-traitants

Qui touche à vos données.
Sans rien cacher.

Voici la liste exhaustive des sous-traitants qui peuvent techniquement accéder à une partie de vos données pour faire fonctionner le service. Quatre sous-traitants seulement, tous européens. Toute modification de cette liste vous est notifiée 30 jours en avance.

Hetzner Online GmbHUE
Hébergement applicatif principal
Falkenstein, Allemagne

Toutes les données applicatives chiffrées

Amazon Web ServicesUE
Stockage S3 (sauvegardes) + SES (emails transactionnels)
Frankfurt (eu-central-1)

Sauvegardes chiffrées AES-256, KMS pour les clés, emails sortants (notifications)

StripeUE
Paiements abonnement
Irlande (UE)

Email, nom de société, montants facturés

YousignUE
Signature électronique eIDAS
Caen (France)

Documents à signer, identité du signataire

Aucun transfert hors UE

Tous nos sous-traitants opèrent en Union Européenne, avec des données stockées exclusivement en UE. Aucune donnée RH n'est jamais transférée hors UE, contrairement à de nombreux SIRH américains qui s'appuient sur les clauses contractuelles types · toujours fragiles juridiquement depuis l'arrêt Schrems II de 2020.

Monitoring et observabilité hébergés en interne

Contrairement à la plupart des SIRH qui externalisent leur monitoring (Datadog, Sentry, New Relic, etc.), notre stack d'observabilité tourne sur notre propre cluster Hetzner. Logs d'erreurs, métriques, traces : aucune donnée applicative ne sort de notre périmètre vers un fournisseur SaaS de monitoring. C'est un sous-traitant de moins dans votre chaîne de conformité.

Tout est inclus

Ce que la sécurité byusage. couvre.

Chiffrement AES-256
Au repos sur les disques
TLS 1.3 minimum
En transit, HSTS activé
Hébergement UE (Allemagne)
Hetzner Falkenstein + AWS S3 Frankfurt
Authentification 2FA
TOTP, app authenticator
SSO SAML 2.0
Pour les équipes qui le veulent
RBAC granulaire
Permissions par rôle et module
Logs d'audit
Conservés 1 an, immutables
Monitoring interne
Sur notre cluster, sans SaaS tiers
Sauvegardes chiffrées
Quotidiennes, conservées 30j
DPA RGPD inclus
Article 28, signé par défaut
Droits salariés self-service
Accès, effacement, portabilité
Notification CNIL 72h
Procédure automatisée
Questions fréquentes

Sur la sécurité.

Mes données RH sont-elles vraiment hébergées dans l'UE ?
Oui, exclusivement. Nos serveurs applicatifs sont chez Hetzner Online GmbH à Falkenstein (Allemagne). Les sauvegardes et les emails transactionnels sont sur AWS dans la région Frankfurt (eu-central-1, datacenters physiquement situés en Allemagne). Aucune donnée n'est transférée hors UE, contrairement à de nombreux SIRH américains qui dépendent des Clauses Contractuelles Types · toujours juridiquement fragiles depuis l'arrêt Schrems II de 2020.
Pourquoi un hébergement en Allemagne plutôt qu'en France ?
Trois raisons. (1) Hetzner offre une qualité opérationnelle supérieure pour notre cas d'usage : datacenters certifiés ISO 27001, uptime au-delà de 910%, infrastructure réseau de premier rang européen. (2) L'Allemagne est dans l'UE, le RGPD s'applique pleinement, et il n'y a aucun transfert hors-UE. La 'data sovereignty' n'est pas une question de drapeau, c'est une question de juridiction. (3) Hetzner est une entreprise allemande non soumise au US Cloud Act ; AWS sur la région Frankfurt opère sous droit allemand pour le stockage. Nous avons étudié les alternatives françaises ; Hetzner reste à ce stade le meilleur compromis qualité/conformité/coût pour notre infrastructure principale.
Combien de sous-traitants ont accès à mes données ?
Quatre, tous européens : Hetzner (hébergement applicatif), AWS Frankfurt (stockage S3 + emails SES), Stripe (paiements abonnement), Yousign (signature électronique eIDAS). C'est volontairement court. Notre stack de monitoring et d'observabilité tourne sur notre propre cluster Hetzner · contrairement à la plupart des SIRH qui externalisent ces flux vers Datadog, Sentry ou New Relic, ce qui ajoute des sous-traitants supplémentaires (souvent américains) à votre chaîne RGPD.
byusage. est-il certifié ISO 27001 ou SOC 2 ?
Pas encore officiellement. Nous suivons les principes ISO 27001 et SOC 2 dès aujourd'hui (chiffrement, gestion des accès, logs d'audit, sauvegardes, plan de reprise), mais les audits formels coûtent plusieurs dizaines de milliers d'euros et seraient répercutés sur votre tarif. Nous les passerons quand notre taille le justifiera. Note : Hetzner et AWS Frankfurt, nos sous-traitants principaux, sont eux certifiés ISO 27001 et SOC 2. En attendant nos propres certifications, notre architecture est documentée et auditable sur demande pour les prospects qui le souhaitent.
Que se passe-t-il en cas de fuite de données ?
Nous suivons la procédure RGPD article 33 : notification à la CNIL sous 72h, et information de chaque personne concernée si la fuite présente un risque élevé pour ses droits. Nous avons un plan d'incident response documenté, testé annuellement. Depuis le début de notre activité, aucun incident de sécurité avéré. Si ça arrive, vous serez averti avant les autres.
Est-ce que byusage. utilise mes données RH pour entraîner des IA ?
Non, jamais. Aucune donnée client n'est utilisée pour entraîner des modèles d'IA, ni les nôtres ni ceux de tiers. Si nous utilisons de l'IA pour des fonctionnalités produit (ex : OCR sur les notes de frais, analyse de candidatures), elle tourne sur nos serveurs ou sur des fournisseurs européens contractuellement engagés à ne pas réutiliser les données. C'est explicite dans le DPA.
Si byusage. met la clé sous la porte, qu'est-ce que je deviens ?
Vous restez propriétaire de vos données. En cas de cessation d'activité, nous nous engageons contractuellement à vous donner 90 jours pour récupérer l'intégralité de vos données via export self-service. Notre code n'est pas open source, mais nos formats d'export sont standards (CSV, JSON, PDF) et compatibles avec la plupart des autres SIRH du marché. Vous ne serez jamais bloqué.
Qui peut accéder à mes données chez byusage. ?
Notre équipe d'ingénierie a un accès technique aux infrastructures (pour la maintenance, le debug), mais elle ne consulte jamais vos données en clair sans votre demande explicite. Toutes les actions sont tracées dans nos logs d'audit. Si vous ouvrez un ticket de support qui nécessite que nous regardions vos données, nous demandons votre autorisation explicite et l'accès est tracé.
Comment je récupère mes données si je veux partir ?
Depuis votre espace byusage., section Paramètres → Export. Vous choisissez le format (CSV, JSON, PDF) et les piliers concernés (Équipe, Temps, Paie, Talent). Vous obtenez un fichier téléchargeable en quelques minutes. C'est en self-service, gratuit, sans intervention de notre support, sans limite de fréquence.
Mes salariés peuvent-ils consulter ce que vous savez d'eux ?
Oui, c'est un droit RGPD (article 15). Chaque salarié a un espace personnel byusage. où il voit toutes les données qui le concernent : dossier, contrats, bulletins, congés, frais, entretiens. Il peut demander rectification ou effacement directement, vous validez. C'est conçu pour qu'un salarié puisse exercer ses droits RGPD sans avoir à passer par la DRH ou un avocat.
Contact

Une question, un audit, une faille ?

Nos canaux dédiés selon votre besoin. Toutes les demandes sécurité sont traitées en priorité.

Vos données.
Sous votre contrôle.

Chiffrement AES-256, hébergement UE en Allemagne, RGPD natif, réversibilité totale. Démarrez sereinement, partez librement.

Démarrer l'essai gratuit14 jours gratuits · Sans carte bancaire · Prêt en 2 minutes