Documentation sécurité B2B
Fiche sécurité — Plateforme événements live
Document version 1.0 · Dernière mise à jour : mai 2026
01Résumé exécutif
La plateforme événementielle Nomacast (chat, Q&A modéré, sondages, quiz, boîte à idées, réactions, citations, replay vidéo, statistiques) est conçue pour les usages corporate B2B avec un haut niveau d'exigence sur la souveraineté des données, l'authentification nominative et la traçabilité.
| Hébergement opérationnel | Union européenne (Cloudflare zone européenne pour la base D1 nomacast-ue sous juridiction UE contractuelle, régions UE pour R2 et Stream) |
| Chiffrement en transit | TLS 1.3 sur l'ensemble du trafic, géré par Cloudflare (certificats automatiques) |
| Mots de passe | PBKDF2-SHA-256 avec 100 000 itérations et salt aléatoire par utilisateur |
| Adresses IP | Hashées HMAC-SHA-256, jamais stockées en clair |
| Conservation données d'événement | 90 jours par défaut, configurable 30 à 365 jours par le client organisateur |
| Conservation replay vidéo | 30 jours par défaut, téléchargement MP4 fourni pour archivage client, prolongation sur demande |
| Audit log d'authentification | 12 mois (table auth_logs), exportable CSV |
| Rôle RGPD | Sous-traitant au sens de l'article 4.8 du RGPD, DPA fourni avec le devis |
| Certifications de l'infrastructure | Cloudflare : ISO 27001, ISO 27018, SOC 2 Type II, PCI DSS Level 1 |
02Identification du fournisseur
Nomacast — Entreprise Individuelle, Jérôme Bouquillon
14 rue de l'Aubrac, 75012 Paris, France
Téléphone : +33 6 60 54 17 32 · Email : evenement@nomacast.fr
Directeur de la publication et délégué à la protection des données (DPO) : Jérôme Bouquillon
Référent unique pour la sécurité, la conformité et le support : Jérôme Bouquillon
03Périmètre couvert par cette fiche
La présente fiche couvre l'ensemble des traitements opérés par la plateforme événementielle, à savoir :
- Pages participant :
/i/<magic-token> (invités nominatifs), /chat/<slug> (accès public)
- Pages administration client :
/event-admin/<slug> (login/mot de passe), /presenter/<HMAC> (présentateur plein écran)
- Endpoints API :
/api/event-admin/*, /api/chat/*, /api/admin/*
- Diffusion vidéo et replay : Cloudflare Stream (région européenne)
- Partage d'écran live : Worker dédié
nomacast-signaling (Durable Object)
Sont hors périmètre de cette fiche : le site marketing nomacast.fr (cf. politique de confidentialité du site marketing) et les outils de captation vidéo sur site (matériel physique opéré par Jérôme Bouquillon).
04Hébergement et résidence des données
L'intégralité des données opérationnelles de la plateforme est hébergée en Union européenne.
- Base de données événementielle : Cloudflare D1
nomacast-ue, juridiction Union européenne garantie contractuellement par Cloudflare, hébergée dans la zone européenne de l'infrastructure Cloudflare.
- Stockage de fichiers (logos clients, slides PDF, documents partagés, vidéos replay highlights) : Cloudflare R2, buckets
nomacast-slides, nomacast-documents, nomacast-highlights, tous configurés en région européenne.
- Diffusion vidéo live et replay : Cloudflare Stream, infrastructure de delivery européenne.
- Stockage clé-valeur (codes partenaires, anti-spam) : Cloudflare Workers KV, instance EU.
- Edge computing (Pages Functions) : exécution sur le datacenter Cloudflare européen le plus proche du visiteur. Aucune donnée d'événement ne transite par les datacenters hors UE.
Toute nouvelle ressource Cloudflare créée pour le compte d'un client est, par contrainte interne, créée en région UE explicite (jamais en juridiction None). Cette règle est documentée et appliquée systématiquement.
05Architecture technique haut niveau
- Front-end : HTML / CSS / JavaScript vanilla, sans framework, servi via Cloudflare Pages (edge global).
- Back-end : Cloudflare Pages Functions, runtime V8 isolates, code sans état persistant côté serveur.
- Base de données relationnelle : Cloudflare D1 (SQLite distribué) sous juridiction UE.
- Stockage objet : Cloudflare R2 (S3-compatible), région UE.
- Vidéo : Cloudflare Stream (RTMPS ingest, HLS/DASH delivery, replay VOD).
- Real-time : Worker dédié avec Durable Objects pour la signalisation WebRTC (partage d'écran).
- Aucun service hors-UE n'est utilisé pour le traitement de données d'événement.
06Authentification des participants
- Lien nominatif unique par participant invité : magic token signé HMAC-SHA-256, longueur 24 caractères base64url-safe, lié à l'événement.
- Aucune création de compte, aucun mot de passe à mémoriser côté participant.
- Mode public optionnel : accès libre avec mot de passe d'événement partagé (configurable par le client organisateur).
- Cookies de session : flags
HttpOnly, Secure, SameSite=Lax, signés HMAC, sans information identifiante en clair.
- Filtrage anti-bot : Cloudflare Turnstile sur les formulaires sensibles, champ honeypot invisible côté formulaire de contact.
07Authentification du client organisateur
- Login + mot de passe par client, stockage en PBKDF2-SHA-256, 100 000 itérations, salt aléatoire unique par utilisateur (jamais en clair, jamais en MD5/SHA-1).
- Rate limit : 5 tentatives de connexion par minute par adresse IP, anti-force brute.
- Audit log complet (table
auth_logs) : timestamp, IP hashée, événement (login_success, login_failed), user-agent. Conservation 12 mois.
- Cookie de session
nomacast_session : HttpOnly, Secure, SameSite=Lax, signé HMAC, durée configurable.
- Token client HMAC pour les endpoints API : SHA-256 du slug événement + secret
ADMIN_PASSWORD, base64url-safe, 24 caractères. Rotation du secret invalide tous les tokens simultanément.
08Authentification administrateur Nomacast
- HTTP Basic Authentication sur les routes
/admin/*, identifiants stockés dans les variables d'environnement Cloudflare Pages (ADMIN_USERNAME, ADMIN_PASSWORD).
- Accès strictement limité à Jérôme Bouquillon (un seul administrateur).
- Rotation des secrets sur demande client ou en cas d'incident, sans interruption de service.
- Aucun accès tiers, aucun partage d'identifiants administrateur avec sous-traitants ou prestataires externes.
09Chiffrement
- En transit : TLS 1.3 sur l'intégralité du trafic, certificats automatiquement gérés et renouvelés par Cloudflare. Politiques de cipher modernes (AES-256-GCM, ChaCha20-Poly1305), HSTS activé.
- Au repos : chiffrement transparent au niveau de l'infrastructure Cloudflare (D1, R2, Stream, KV).
- Adresses IP : hashées en HMAC-SHA-256, jamais stockées en clair (impossibilité de reconstituer l'IP originale).
- Mots de passe utilisateurs : PBKDF2 avec 100 000 itérations SHA-256, salt unique de 16 octets aléatoire par compte.
- Tokens HMAC : SHA-256 avec secret partagé, base64url-safe pour transport URL.
10Sécurité applicative
- Content Security Policy (CSP) avec nonce par requête, allowlist stricte des sources scripts, anti-XSS.
- Protection CSRF : validation de l'en-tête Origin/Referer, cookie SameSite=Lax, tokens anti-CSRF pour les actions sensibles.
- Anti-XSS : échappement systématique du contenu utilisateur via
escapeHtml côté serveur, validation stricte des entrées (longueur, type, regex).
- Anti-injection SQL : utilisation exclusive de prepared statements paramétrés (API Cloudflare D1).
- Anti-injection d'en-têtes : sanitisation systématique avant envoi d'email Resend.
- Rate limit : 5 tentatives de login/min/IP, 30 messages chat/min/participant, 100 votes/min par sondage.
- Anti-bot : Cloudflare Turnstile sur le formulaire de devis et les pages d'inscription publiques.
- Pages plateforme non indexables : meta
robots: noindex, nofollow, noarchive sur toutes les pages participant pour éviter l'exposition publique.
- Isolation des événements : impossible d'accéder aux données d'un autre événement avec un token donné (vérification systématique du slug/HMAC à chaque requête).
11Modération et contenu
- Modération manuelle : interface dédiée pour le modérateur désigné par le client organisateur, validation explicite avant publication en mode Q&A modéré.
- Modération automatique multi-couches : filtrage mots interdits configurable, anti-flood (token bucket par participant), anti-spam URL (regex + table de lookup).
- Suppression / masquage : possibilité de masquer ou supprimer un message à tout moment depuis l'interface modération.
- Exclusion participant : possibilité d'exclure un participant pour la durée restante de l'événement.
- Mode lecture seule : annonces du modérateur uniquement, désactivation des contributions participants.
12RGPD : rôles, finalités et bases légales
Rôles :
- Responsable de traitement : le client organisateur de l'événement (article 4.7 RGPD).
- Sous-traitant : Nomacast (article 4.8 RGPD), encadré par un Data Processing Agreement (DPA) annexé au devis.
- Sous-sous-traitants : Cloudflare Ireland Ltd. (Dublin), Resend Inc. (USA), Google Ireland Ltd. (Dublin) — détails en section 14.
Finalités :
- Animation en direct de l'événement (affichage des messages, votes, réactions, présence) pour le compte du client organisateur.
- Production de statistiques agrégées d'engagement et de présence (reporting post-événement).
- Rejeu (replay vidéo) de l'événement pendant la période de conservation, lorsque activé.
Base légale (définie par le client organisateur en tant que responsable de traitement) :
- Exécution d'un contrat ou de mesures précontractuelles (article 6.1.b RGPD) pour les événements destinés aux clients/prospects.
- Intérêt légitime (article 6.1.f RGPD) pour les événements internes, conférences pros, événements B2B.
- Consentement explicite (article 6.1.a RGPD) pour les événements grand public sur inscription libre.
13Conservation et purge automatique
| Données d'événement (chat, votes, présences, statistiques) | 90 jours par défaut, configurable 30 à 365 jours par le client organisateur |
| Replay vidéo | 30 jours par défaut à compter de la fin du live, téléchargement MP4 fourni en complément, prolongation par tranche de 30 j sur demande (50 € HT) |
Audit log d'authentification (auth_logs) | 12 mois, exportable CSV sur demande |
| Adresses IP hashées | Durée alignée sur l'action associée (message, vote), puis suppression conjointe |
| Données contractuelles et de facturation | 10 ans (obligations légales comptables françaises) |
Mécanisme de purge : un cron Cloudflare Workers (purge-retention + purge-expired-replays) s'exécute quotidiennement et supprime automatiquement les données arrivées à échéance. Suppression cascade : la suppression d'un événement entraîne celle de tous les invités, messages, réponses et statistiques associés.
14Sous-traitants techniques (sous-sous-traitants RGPD)
Cloudflare Ireland Ltd. (Dublin, Irlande, filiale RGPD de Cloudflare, Inc. États-Unis)
Services utilisés : Cloudflare Pages (hosting), D1 (base de données EU), R2 (stockage fichiers EU), Stream (vidéo EU), Workers KV (anti-spam), Turnstile (anti-bot), Workers (signalisation WebRTC).
Conformité : Cloudflare Data Processing Addendum + Clauses Contractuelles Types (Commission européenne).
Certifications : ISO 27001, ISO 27018, ISO 27701, SOC 2 Type II, SOC 3, PCI DSS Level 1, FedRAMP Moderate, HIPAA-eligible.
Resend Inc. (États-Unis, livraison via Amazon SES eu-west-1 Irlande)
Services utilisés : envoi des emails d'invitation participants depuis noreply@nomacast.fr.
Conformité : Resend Data Processing Addendum + Clauses Contractuelles Types. Données limitées à l'adresse email et au contenu transactionnel de l'invitation.
Google Ireland Ltd. (Dublin, Irlande)
Services utilisés : messagerie professionnelle Google Workspace pour la boîte evenement@nomacast.fr (réception des demandes d'exercice de droits et de la correspondance liée aux événements).
Conformité : Google Data Processing Addendum + Clauses Contractuelles Types.
Important : aucun usage de Google Analytics ou Google Ads sur les pages plateforme (/i/<token>, /chat/<slug>, /event-admin/<slug>). Pas de tracking publicitaire côté participant.
La liste complète des sous-sous-traitants est tenue à jour et communiquée au client organisateur en cas d'évolution. Tout ajout d'un nouveau sous-sous-traitant fait l'objet d'une notification préalable avec droit d'opposition.
15Audit log et traçabilité
- Table
auth_logs : journal complet des authentifications (login_success, login_failed, logout) avec timestamp, IP hashée, slug événement, user-agent.
- Conservation : 12 mois pour répondre aux obligations de traçabilité de sécurité.
- Export : disponible au format CSV sur demande client.
- Détection d'anomalies : rate limit anti-force brute, alerting interne en cas de tentatives répétées.
- Traçabilité actions admin : timestamps de création/modification/suppression conservés sur toutes les entités D1.
16Backup, haute disponibilité et plan de continuité
- Cloudflare D1 : réplication automatique multi-zone, snapshots quotidiens conservés par Cloudflare, point-in-time recovery disponible.
- Cloudflare R2 : durabilité 11 nines (99,999999999 %), réplication multi-AZ en région européenne.
- Cloudflare Stream : réplication multi-région EU automatique, delivery CDN distribué.
- RPO (Recovery Point Objective) : 24 heures (snapshot quotidien).
- RTO (Recovery Time Objective) : 4 heures en cas d'incident majeur.
- Plan de continuité : failover automatique au niveau Cloudflare, communication client via canal alternatif (téléphone, email) en cas d'interruption prolongée.
17Notification d'incident de sécurité
En cas de violation de données personnelles au sens de l'article 4.12 du RGPD :
- Notification au client organisateur (responsable de traitement) : sous 72 heures après la prise de connaissance de l'incident, conformément à l'article 33 du RGPD.
- Contenu de la notification : nature de la violation, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises ou envisagées pour remédier.
- Assistance au responsable de traitement : Nomacast assiste activement le client dans la notification éventuelle à la CNIL et l'information des personnes concernées (article 28.3.f du RGPD).
- Détection : monitoring Cloudflare (logs, alerting), supervision quotidienne par Jérôme Bouquillon.
- Chaîne d'escalade : email + SMS à Jérôme Bouquillon en cas d'incident critique, communication client sous 24 h.
18Droit à l'oubli et exercice des droits RGPD
- Voie prioritaire : auprès du client organisateur (responsable de traitement), via la fonction d'effacement anticipé disponible dans l'interface admin
/event-admin/<slug>.
- Voie alternative : auprès de Nomacast (sous-traitant) par email evenement@nomacast.fr, transmission au responsable de traitement et assistance.
- Délai de réponse : 30 jours maximum conformément à l'article 12 du RGPD.
- Suppression effective : cascade immédiate de toutes les données associées (messages, votes, présences, statistiques, hash IP) sur l'ensemble de l'infrastructure (D1, R2, Stream).
- Vérification d'identité : peut être demandée en cas de doute raisonnable, sans excéder l'information minimale nécessaire.
19Conformité sectorielle
Des configurations spécifiques sont disponibles sur demande pour les secteurs régulés :
- Pharma et santé : mention DPO dédiée dans la documentation, watermark dynamique sur les replays, conservation personnalisée par événement, audit log étendu.
- Finance et bancaire : chiffrement client-side optionnel, traçabilité étendue des actions modérateurs, exports SOC.
- Secteur public et défense : confirmation contractuelle de l'hébergement en juridiction Union européenne (Cloudflare), option de stockage souverain France via Scaleway sur devis (région fr-par exclusive, juridiction strictement française).
- Autres cas particuliers (assurance, énergie, télécoms, RH critique) : nous consulter pour un cadrage RSSI/DSI dédié.
20Documents complémentaires disponibles sur demande
- Data Processing Agreement (DPA) : contrat type de sous-traitance RGPD, annexé au devis.
- Copies des certifications fournisseurs : Cloudflare ISO 27001, ISO 27018, SOC 2 Type II, etc.
- Liste détaillée des sous-sous-traitants avec adresses et coordonnées DPO.
- Politique de gestion des incidents et procédure d'escalade détaillée.
- Cartographie complète des données traitées par traitement et par finalité.
- Plan d'assurance sécurité (PAS) pour les processus achats grands comptes.
- Audit log d'un événement passé (exemple anonymisé) sur demande.
Pour toute demande de document complémentaire, contactez evenement@nomacast.fr en précisant votre besoin et le contexte (cadre d'évaluation fournisseur, RFP, due diligence).
Cette fiche est synchronisée avec les mentions légales, la politique de confidentialité du site marketing et la politique de confidentialité de la plateforme événementielle. En cas d'incohérence apparente, ces documents officiels prévalent.