Documentation sécurité B2B

Fiche sécurité — Plateforme événements live

Document version 1.0 · Dernière mise à jour : mai 2026

Snapshot sécurité & conformité

Document destiné aux directions juridiques, achats, DSI, RSSI et DPO évaluant la plateforme événementielle Nomacast en amont d'un déploiement client. Toutes les informations sont vérifiables sur demande (DPA, copies des certifications fournisseurs, accès auditeur).

01Résumé exécutif

La plateforme événementielle Nomacast (chat, Q&A modéré, sondages, quiz, boîte à idées, réactions, citations, replay vidéo, statistiques) est conçue pour les usages corporate B2B avec un haut niveau d'exigence sur la souveraineté des données, l'authentification nominative et la traçabilité.

Hébergement opérationnelUnion européenne (Cloudflare zone européenne pour la base D1 nomacast-ue sous juridiction UE contractuelle, régions UE pour R2 et Stream)
Chiffrement en transitTLS 1.3 sur l'ensemble du trafic, géré par Cloudflare (certificats automatiques)
Mots de passePBKDF2-SHA-256 avec 100 000 itérations et salt aléatoire par utilisateur
Adresses IPHashées HMAC-SHA-256, jamais stockées en clair
Conservation données d'événement90 jours par défaut, configurable 30 à 365 jours par le client organisateur
Conservation replay vidéo30 jours par défaut, téléchargement MP4 fourni pour archivage client, prolongation sur demande
Audit log d'authentification12 mois (table auth_logs), exportable CSV
Rôle RGPDSous-traitant au sens de l'article 4.8 du RGPD, DPA fourni avec le devis
Certifications de l'infrastructureCloudflare : ISO 27001, ISO 27018, SOC 2 Type II, PCI DSS Level 1

02Identification du fournisseur

Nomacast — Entreprise Individuelle, Jérôme Bouquillon

14 rue de l'Aubrac, 75012 Paris, France

Téléphone : +33 6 60 54 17 32 · Email : evenement@nomacast.fr

Directeur de la publication et délégué à la protection des données (DPO) : Jérôme Bouquillon

Référent unique pour la sécurité, la conformité et le support : Jérôme Bouquillon

03Périmètre couvert par cette fiche

La présente fiche couvre l'ensemble des traitements opérés par la plateforme événementielle, à savoir :

Sont hors périmètre de cette fiche : le site marketing nomacast.fr (cf. politique de confidentialité du site marketing) et les outils de captation vidéo sur site (matériel physique opéré par Jérôme Bouquillon).

04Hébergement et résidence des données

L'intégralité des données opérationnelles de la plateforme est hébergée en Union européenne.

Toute nouvelle ressource Cloudflare créée pour le compte d'un client est, par contrainte interne, créée en région UE explicite (jamais en juridiction None). Cette règle est documentée et appliquée systématiquement.

05Architecture technique haut niveau

06Authentification des participants

07Authentification du client organisateur

08Authentification administrateur Nomacast

09Chiffrement

10Sécurité applicative

11Modération et contenu

12RGPD : rôles, finalités et bases légales

Rôles :

Finalités :

Base légale (définie par le client organisateur en tant que responsable de traitement) :

13Conservation et purge automatique

Données d'événement (chat, votes, présences, statistiques)90 jours par défaut, configurable 30 à 365 jours par le client organisateur
Replay vidéo30 jours par défaut à compter de la fin du live, téléchargement MP4 fourni en complément, prolongation par tranche de 30 j sur demande (50 € HT)
Audit log d'authentification (auth_logs)12 mois, exportable CSV sur demande
Adresses IP hashéesDurée alignée sur l'action associée (message, vote), puis suppression conjointe
Données contractuelles et de facturation10 ans (obligations légales comptables françaises)

Mécanisme de purge : un cron Cloudflare Workers (purge-retention + purge-expired-replays) s'exécute quotidiennement et supprime automatiquement les données arrivées à échéance. Suppression cascade : la suppression d'un événement entraîne celle de tous les invités, messages, réponses et statistiques associés.

14Sous-traitants techniques (sous-sous-traitants RGPD)

Cloudflare Ireland Ltd. (Dublin, Irlande, filiale RGPD de Cloudflare, Inc. États-Unis)

Services utilisés : Cloudflare Pages (hosting), D1 (base de données EU), R2 (stockage fichiers EU), Stream (vidéo EU), Workers KV (anti-spam), Turnstile (anti-bot), Workers (signalisation WebRTC).

Conformité : Cloudflare Data Processing Addendum + Clauses Contractuelles Types (Commission européenne).

Certifications : ISO 27001, ISO 27018, ISO 27701, SOC 2 Type II, SOC 3, PCI DSS Level 1, FedRAMP Moderate, HIPAA-eligible.

Resend Inc. (États-Unis, livraison via Amazon SES eu-west-1 Irlande)

Services utilisés : envoi des emails d'invitation participants depuis noreply@nomacast.fr.

Conformité : Resend Data Processing Addendum + Clauses Contractuelles Types. Données limitées à l'adresse email et au contenu transactionnel de l'invitation.

Google Ireland Ltd. (Dublin, Irlande)

Services utilisés : messagerie professionnelle Google Workspace pour la boîte evenement@nomacast.fr (réception des demandes d'exercice de droits et de la correspondance liée aux événements).

Conformité : Google Data Processing Addendum + Clauses Contractuelles Types.

Important : aucun usage de Google Analytics ou Google Ads sur les pages plateforme (/i/<token>, /chat/<slug>, /event-admin/<slug>). Pas de tracking publicitaire côté participant.

La liste complète des sous-sous-traitants est tenue à jour et communiquée au client organisateur en cas d'évolution. Tout ajout d'un nouveau sous-sous-traitant fait l'objet d'une notification préalable avec droit d'opposition.

15Audit log et traçabilité

16Backup, haute disponibilité et plan de continuité

17Notification d'incident de sécurité

En cas de violation de données personnelles au sens de l'article 4.12 du RGPD :

18Droit à l'oubli et exercice des droits RGPD

19Conformité sectorielle

Des configurations spécifiques sont disponibles sur demande pour les secteurs régulés :

20Documents complémentaires disponibles sur demande

Pour toute demande de document complémentaire, contactez evenement@nomacast.fr en précisant votre besoin et le contexte (cadre d'évaluation fournisseur, RFP, due diligence).

Cette fiche est synchronisée avec les mentions légales, la politique de confidentialité du site marketing et la politique de confidentialité de la plateforme événementielle. En cas d'incohérence apparente, ces documents officiels prévalent.

Une question, un audit, un appel d'offres ?

Pour toute évaluation fournisseur, due diligence, demande de DPA signé ou cadrage RSSI/DSI, je réponds personnellement sous 24 heures.

Contacter Jérôme Bouquillon