Sécurité & confidentialité

Documents clients — VDR tierce certifiée

Les documents sensibles transmis dans le cadre d'une due diligence (bilans non publiés, données financières pré-signing, VDR client) ne sont pas stockés sur l'infrastructure Diligio. Ils restent chez un prestataire de Virtual Data Room certifié ISO 27001 et SOC 2 (Datasite, Intralinks, Drooms ou équivalent selon l'opération).

Données dérivées publiques uniquement

Diligio stocke exclusivement les données issues de sources publiques : INPI/RNE, BODACC, INSEE Sirene. Ces données sont déjà accessibles à tout tiers sans restriction. Aucune donnée client non publiée n'est conservée sur les serveurs Diligio au-delà du traitement immédiat.

Uploads éphémères — purge automatique 3 h

Les fichiers uploadés via le module VDR de Diligio sont traités en mémoire vive (RAM tmpfs), jamais écrits sur disque persistant. Ils sont automatiquement purgés au bout de 3 heures et exclus de toute sauvegarde. Cette architecture « privacy by design » garantit qu'aucun document sensible ne persiste sur l'infrastructure au-delà de la durée nécessaire au traitement.

Livrables finalisés

Les rapports de due diligence et databooks générés (fichiers .docx et .xlsx) sont remis directement au cabinet commanditaire via téléchargement sécurisé. Diligio ne conserve pas de copie de ces livrables après la mise à disposition.

Chiffrement en transit — TLS 1.3

Toutes les communications entre votre navigateur et l'infrastructure Diligio sont chiffrées en TLS 1.3 (protocole minimum imposé). Les certificats HTTPS sont gérés automatiquement par Let's Encrypt et renouvelés avant expiration. HTTP strict (HSTS) est activé avec préchargement navigateur.

Hébergement dédié — OVH Paris, RGPD UE

L'infrastructure Diligio est hébergée sur un serveur dédié OVH Paris (datacenter France, Union européenne). Aucune donnée ne transite vers des serveurs hors UE. Ce choix garantit le respect du cadre RGPD et des exigences de localisation des données imposées par certains mandants.

Self-hosted — pas de CDN externe

Les assets techniques (scripts, polices, styles) sont intégralement auto-hébergés. Aucune ressource externe (CDN, Google Fonts, analytics tiers) n'est chargée lors de la consultation de Diligio, ce qui élimine les risques de fuite via des requêtes vers des tiers.

En-têtes de sécurité HTTP

Chaque réponse HTTP inclut les en-têtes de sécurité standards : Content Security Policy (CSP stricte, sans unsafe-inline), X-Frame-Options, X-Content-Type-Options, Permissions-Policy. Ces en-têtes défendent contre les attaques XSS, clickjacking et injection de contenu.

Journaux d'accès — 12 mois

Les journaux d'accès au serveur sont conservés 12 mois minimum, conformément aux exigences de piste d'audit M&A. Ces journaux permettent de tracer toute consultation d'un document en cas de litige ou d'enquête.

Accès administrateur protégé

L'accès aux interfaces d'administration est soumis à une authentification forte. Le pare-feu réseau (UFW) autorise uniquement les ports 22 (SSH), 80 et 443. fail2ban est actif pour bloquer les tentatives de force brute.

Droits d'accès, rectification et suppression

Conformément au Règlement général sur la protection des données (RGPD — Règlement UE 2016/679), vous disposez d'un droit d'accès, de rectification, d'effacement et de portabilité des données vous concernant. Pour exercer ces droits, contactez notre délégué à la protection des données : dpo@diligio.fr.

Notification en cas d'incident

En cas de violation de données, Diligio s'engage à vous notifier dans les 24 heures suivant la prise de connaissance de l'incident, et à notifier la CNIL dans les 72 heures conformément à l'article 33 du RGPD.

Contact et réclamations

Pour toute question relative à la protection de vos données, contactez : dpo@diligio.fr. Vous avez également le droit d'introduire une réclamation auprès de la CNIL si vous estimez que le traitement de vos données n'est pas conforme.