Centre d'aideSécurité et confidentialité

Sécurité et confidentialité

Protection des données, RGPD, authentification à deux facteurs et portail locataire sécurisé.

Chiffrement des données sensibles

MyGestia applique un chiffrement fort sur toutes les données sensibles :

Données bancaires (IBAN/BIC)

Chiffrées en AES-256-GCM, le standard le plus sûr. Les données ne sont déchiffrées qu'au moment de l'affichage ou de la génération de factures, jamais stockées en clair.

Mots de passe

Hachés avec bcrypt (12 rounds). Même en cas de fuite de la base de données, les mots de passe ne peuvent pas être retrouvés.

Sessions

Tokens JWT signés avec durée limitée à 24 heures. Les sessions expirent automatiquement et nécessitent une nouvelle connexion.

Authentification à deux facteurs (2FA)

L'authentification à deux facteurs ajoute une couche de sécurité supplémentaire à votre compte. Même si quelqu'un obtient votre mot de passe, il ne pourra pas se connecter sans le code 2FA.

1

Activez la 2FA

Allez dans Paramètres > Sécurité. Cliquez sur Activer la 2FA.

2

Scannez le QR code

Un QR code s'affiche. Scannez-le avec une application d'authentification (Google Authenticator, Authy, Microsoft Authenticator, etc.).

3

Confirmez avec un code

Entrez le code à 6 chiffres affiché par votre application pour confirmer l'activation. Conservez précieusement vos codes de récupération.

Attention

Si vous perdez l'accès à votre application d'authentification, les codes de récupération sont le seul moyen de vous reconnecter. Notez-les dans un endroit sûr.

Sécurité de l'application web

L'application applique automatiquement de nombreuses protections :

  • HTTPS obligatoire : toutes les communications sont chiffrées en transit
  • HSTS : force le navigateur à toujours utiliser HTTPS
  • CSP (Content Security Policy) : empêche l'injection de scripts malveillants
  • X-Frame-Options DENY : interdit l'intégration de l'application dans une iframe (protection clickjacking)
  • Rate limiting : limite le nombre de requêtes par seconde pour prévenir les attaques par force brute (3 tentatives de connexion par 10 secondes, 10 requêtes API par 10 secondes)
  • Nonce CSP : chaque page génère un jeton unique pour les scripts inline

Conformité RGPD

MyGestia est conforme au Règlement Général sur la Protection des Données (RGPD). Un module dédié est accessible depuis RGPD dans le menu.

Droits des personnes :

Le module RGPD permet de gérer les demandes d'exercice de droits des locataires et utilisateurs :

  • Droit d'accès : le locataire demande à connaître les données le concernant
  • Droit de rectification : correction des données inexactes
  • Droit de suppression : effacement des données (dans les limites légales)
  • Droit de portabilité : export des données dans un format lisible
  • Droit d'opposition : opposition au traitement de certaines données

Registre des traitements :

Le registre documente tous les traitements de données personnelles effectués par l'application : finalité, durée de conservation, base légale et catégories de données.

Durées de conservation :

Type de donnéesDurée
Locataire actifDurée du bail
Locataire archivé5 ans après fin de bail
Pièces d'identité3 ans après fin de relation
Données bancaires10 ans (obligation légale)
Logs d'activité1 an
Consentements3 ans après révocation

Portail locataire

Chaque locataire dispose d'un portail personnel sécurisé accessible via un lien individuel. Le locataire n'a pas besoin de créer de compte MyGestia.

Depuis son portail, le locataire peut :

  • Consulter ses factures et quittances
  • Télécharger ses documents (bail, états des lieux, diagnostics)
  • Voir le détail de ses charges
  • Consulter son attestation d'assurance
  • Effectuer des paiements en ligne

Exemple concret :

Jean Dupont, locataire de l'Apt 2B, reçoit un email avec un lien sécurisé vers son portail. Il clique, saisit son email, reçoit un code de connexion valable 24h. Sur son portail, il voit : ses 3 dernières factures (dont une en retard), sa quittance de mars, son bail PDF, et un bouton « Signaler un problème » qui crée un ticket de maintenance. Il ne peut voir aucune donnée des autres locataires.

Information

Le portail locataire utilise une authentification JWT séparée de l'application principale. Le locataire n'a pas besoin de créer de compte MyGestia et accède uniquement à ses propres données.

Logs d'activité et audit

Toutes les actions effectuées dans l'application sont enregistrées dans un journal d'audit : création, modification, suppression, consultation de données sensibles, envoi d'emails, connexions, etc.

Les logs sont accessibles depuis Mon compte > Activité ou depuis Administration > Audit (pour les administrateurs). Ils sont conservés pendant 1 an conformément au RGPD.

Chaque entrée du journal contient : la date et l'heure, l'utilisateur, l'action effectuée, l'entité concernée et les détails de la modification.

Hébergement et infrastructure

L'application est hébergée sur une infrastructure européenne conforme au RGPD :

  • Base de données : Supabase PostgreSQL (Frankfurt, Allemagne)
  • Fichiers : Supabase Storage (Frankfurt, Allemagne)
  • Application : Vercel (Edge Network Europe)
  • Cache : Upstash Redis (Frankfurt, Allemagne)
  • Monitoring : Sentry (serveurs européens)

Information

Toutes les données restent en Europe. Aucun transfert de données hors UE n'est effectué.

Questions fréquentes sur la sécurité

Comment activer la double authentification ?

Allez dans Paramètres > Sécurité > Activer la 2FA. Scannez le QR code avec une application comme Google Authenticator ou Authy, puis confirmez avec le code à 6 chiffres.

J'ai perdu mon téléphone, comment me reconnecter ?

Utilisez vos codes de récupération fournis lors de l'activation de la 2FA. Si vous les avez également perdus, contactez le support pour une procédure de vérification d'identité.

Mon compte est verrouillé, que faire ?

Après 5 tentatives de connexion échouées, le compte est automatiquement verrouillé pendant 15 minutes. Attendez ce délai puis réessayez, ou réinitialisez votre mot de passe via le lien "Mot de passe oublié".

Mes données sont-elles stockées en France ?

Les données sont stockées en Europe (Frankfurt, Allemagne) sur une infrastructure conforme RGPD. Aucun transfert de données hors Union Européenne n'est effectué.

Un locataire peut-il voir les données d'un autre locataire ?

Non, le portail locataire est totalement isolé. Chaque locataire ne voit que ses propres données : factures, documents, charges et paiements.

Comment exercer mes droits RGPD ?

Depuis le menu RGPD, cliquez sur Nouvelle demande. Choisissez le type de droit à exercer : accès, rectification, suppression ou portabilité des données.

Combien de temps mes données sont-elles conservées ?

Locataire actif : durée du bail. Locataire archivé : 5 ans après fin de bail. Données bancaires : 10 ans (obligation légale comptable). Logs d'activité : 1 an. Consentements : 3 ans après révocation.

L'application est-elle conforme RGPD ?

Oui, 100% conforme : consentement explicite, droits des personnes, registre des traitements, durées de conservation respectées et hébergement exclusivement européen.

Comment fonctionne le timeout d'inactivité ?

Après 10 minutes sans activité (souris, clavier), un avertissement apparaît. Si aucune action n'est effectuée dans la minute suivante, la session est automatiquement fermée pour protéger vos données.

Qui peut voir les logs d'activité ?

Les administrateurs (Admin Société et Super Admin) ont accès à tous les logs depuis Administration > Audit. Les utilisateurs standards ne voient que leur propre activité.

Cet article vous a-t-il été utile ?

Précédent

Tableau de bord et rapports

Suivant

Candidatures locataires

← Retour au centre d'aide