Mesures Techniques et Organisationnelles (MTO) - TRACE.App

Les présentes Mesures Techniques et Organisationnelles (MTO) décrivent les mesures de sécurité mises en œuvre par TRACE Electricity GmbH en tant que responsable du traitement conformément à l'Art. 32 RGPD pour le service TRACE.App. Ces mesures visent à protéger les données personnelles des utilisateurs de TRACE.App et correspondent à l'état de la technique.

Annexe B au Contrat de Traitement de Données TRACE.App : Ce document décrit les mesures techniques et organisationnelles (MTO) conformément à l'Art. 32 RGPD que TRACE Electricity GmbH met en œuvre en tant que sous-traitant pour le service TRACE.App. Il fait partie intégrante du Contrat de Traitement de Données (DPA-App).

• L'infrastructure serveur est exploitée exclusivement dans des centres de données AWS (certifiés ISO 27001, SOC 2 Type II). AWS garantit un contrôle d'accès physique complet, incluant l'authentification multi-facteurs, la vidéosurveillance et le personnel de sécurité.
• Aucun accès physique aux serveurs par les employés de TRACE. TRACE Electricity GmbH gère l'infrastructure exclusivement via des accès API distants chiffrés.
• Infrastructure CDN et edge Cloudflare avec des points de présence (PoPs) mondiaux certifiés ISO ; la sécurité physique relève entièrement de Cloudflare.
• L'accès aux locaux de TRACE à Hambourg est sécurisé par un système de verrouillage électronique avec données d'accès personnelles et journal d'accès.

• L'authentification à deux facteurs (2FA/MFA) est obligatoire pour tous les systèmes internes, consoles cloud (AWS Management Console) et plateformes de développement (GitHub).
• Authentification multi-facteurs (MFA) : Pour tous les comptes administrateurs (administrateurs d'entreprises B2B), la MFA est activée de manière obligatoire. Pour les comptes utilisateurs finaux réguliers, la MFA est vivement recommandée et peut être rendue obligatoire par l'administrateur.
• Gestionnaire de mots de passe (1Password ou Bitwarden) pour tous les employés ; exigences minimales : 16 caractères, règle de complexité (majuscules/minuscules, caractères spéciaux, chiffres). Aucune réutilisation de mots de passe.
• Contrôle d'accès basé sur les rôles (RBAC) selon le principe du moindre privilège. Les droits d'accès sont révoqués immédiatement en cas de changement de rôle ou de départ.
• Déconnexion automatique après 30 minutes d'inactivité dans toutes les interfaces d'administration internes.
• Toutes les données d'accès sont stockées exclusivement sous forme chiffrée ; les mots de passe en clair ne sont persistés nulle part.

• Les accès à la base de données s'effectuent exclusivement via des points de terminaison API authentifiés et autorisés. Aucune connexion directe à la base de données depuis le frontend.
• Tous les accès des employés aux systèmes de production et aux données clients sont consignés et auditables (pistes d'audit).
• La base de données de production est configurée sans accès direct des développeurs. Les accès à la base de données dans les environnements de production nécessitent un processus d'approbation séparé et documenté.
• Les environnements de staging et de production sont strictement séparés l'un de l'autre. Les données de production ne sont pas utilisées dans les environnements de test.
• Les mots de passe de base de données et les clés API sont stockés exclusivement dans AWS Secrets Manager et renouvelés automatiquement. Les droits d'accès à la base de données sont appliqués via les politiques AWS IAM et les politiques basées sur les ressources selon le principe du moindre privilège.

• Toutes les transmissions de données entre l'utilisateur final et TRACE.App sont chiffrées exclusivement via TLS 1.2 ou TLS 1.3. Les versions de protocoles plus anciennes (SSL, TLS 1.0, TLS 1.1) sont désactivées.
• HTTPS est imposé (HTTP Strict Transport Security, HSTS avec une durée max-age longue). Les requêtes HTTP sont automatiquement redirigées vers HTTPS.
• Toutes les communications API internes (backend-à-backend, communication entre microservices) s'effectuent exclusivement via des connexions HTTPS chiffrées.
• Les notifications push vers les appareils des utilisateurs sont transmises via des connexions chiffrées (AWS SNS ou service comparable). Les e-mails transactionnels sont envoyés avec protection DKIM, SPF et DMARC.
• Les données clients ne sont pas transmises via des canaux de communication non chiffrés (p. ex. e-mail non chiffré, FTP).

• Toutes les actions sensibles à la sécurité — en particulier les modifications des données utilisateurs, des configurations et des autorisations — sont consignées dans des journaux d'audit. Chaque entrée de journal contient un horodatage, la personne exécutante (ID utilisateur), l'objet concerné et le type de modification.
• Les journaux d'audit sont stockés dans AWS CloudWatch Logs (conservation : au moins 12 mois). Les événements d'authentification (connexion, déconnexion, renouvellement de jeton) sont consignés par Auth0 (tenant EU) et conservés 30 jours. Aucun transfert vers des pays tiers.
• Conservation des journaux d'audit : au moins 12 mois en rotation (base juridique : Art. 6(1)(c) RGPD en lien avec les obligations fiscales de conservation selon §§ 147 AO, 257 HGB ; les journaux système sans obligation légale de conservation sont supprimés après 90 jours).

• Clarification des rôles : TRACE Electricity GmbH agit dans le cadre du Contrat de Traitement de Données (DPA) en tant que sous-traitant au sens de l'Art. 4 n° 8 RGPD. Le traitement des données personnelles s'effectue exclusivement sur instruction documentée du donneur d'ordre (responsable du traitement au sens de l'Art. 4 n° 7 RGPD). Pour les utilisateurs finaux (B2C) de TRACE.App, TRACE Electricity GmbH agit en tant que responsable du traitement au sens de l'Art. 4 n° 7 RGPD sur la base de la politique de confidentialité de TRACE.App. Pour les comptes d'entreprises B2B (champ d'application du DPA), ces MTO constituent l'Annexe B au DPA dans le cadre du traitement pour compte de tiers au sens de l'Art. 4 n° 8 RGPD.
• Des Contrats de Traitement de Données (DPA) conformément à l'Art. 28 RGPD ont été conclus avec tous les sous-traitants utilisés. Sous-traitants actuels : Amazon Web Services EMEA SARL (infrastructure principale, backend, base de données, hébergement), Okta EMEA Limited / Auth0 (authentification des utilisateurs, tenant EU), Cloudflare Germany GmbH (CDN, protection DDoS).
• Les sous-traitants sont soigneusement sélectionnés et ne sont utilisés que s'ils offrent des garanties suffisantes quant au respect des exigences du RGPD (Art. 28 al. 1 RGPD).
• Les employés ayant accès aux données personnelles sont tenus à la confidentialité et ont été informés des exigences légales en matière de protection des données.

• Sauvegardes automatisées quotidiennes sur AWS S3 (chiffrées, versioning activé). Durée de conservation des sauvegardes : 35 jours.
• La restauration à un point dans le temps (PITR) pour la base de données de production est activée. Restauration possible à n'importe quel moment dans la fenêtre de conservation.
• Les services de base de données AWS sont exploités en tant que services entièrement gérés et hautement disponibles avec réplication automatique Multi-AZ. Les défaillances de zones individuelles sont compensées sans intervention manuelle.
• Cloudflare comme protection DDoS (couche 3/4/7) et CDN haute disponibilité. Les défaillances de sites edge individuels sont automatiquement compensées par le réseau mondial.
• Surveillance continue de l'état du système via AWS CloudWatch avec alarmes automatiques et notifications SNS. Les alertes critiques sont escaladées au service d'astreinte.
• Les sauvegardes sont stockées sous forme chiffrée et testées régulièrement quant à leur restaurabilité.

• Déploiement Multi-AZ : TRACE.App est répartie sur plusieurs zones de disponibilité AWS. La défaillance d'une zone entraîne un basculement automatique sans perte de données.
• Basculement automatique : Les équilibreurs de charge et les contrôles de santé détectent les défaillances et redirigent automatiquement les requêtes vers les instances disponibles (Objectif de Temps de Rétablissement : < 5 minutes).
• Disjoncteur : Les services en aval défaillants sont automatiquement isolés pour prévenir les défaillances en cascade.
• Mise à l'échelle horizontale : Les groupes d'auto-scaling ajustent automatiquement la capacité aux pics de charge pour éviter les surcharges.
• Objectif de Point de Reprise (RPO) : Grâce à la réplication continue de la base de données, la perte de données maximale tolérable est < 1 heure.
• Tests de résilience : Des tests réguliers des procédures de récupération (au moins annuellement) assurent l'efficacité des mesures.

• Les données utilisateurs sont isolées logiquement par des identifiants spécifiques à l'utilisateur. L'accès aux données d'autres utilisateurs est techniquement exclu par les politiques AWS IAM et les règles d'accès basées sur les ressources au niveau de la base de données.
• Les données de production et de test sont strictement séparées l'une de l'autre. Les données de production ne sont pas utilisées à des fins de développement ou de test.
• Les données marketing (Google Analytics 4, LinkedIn Insight Tag) sont collectées sur le site web marketing de TRACE et sont entièrement séparées des données traitées dans le cadre du traitement pour compte de tiers. Aucune consolidation n'a lieu.

• Les champs de base de données contenant des données personnelles particulièrement sensibles sont chiffrés en plus au niveau applicatif avec AES-256 (chiffrement au repos au niveau des champs).
• Les données de base de données sont automatiquement chiffrées au repos (chiffrement au repos) avec AES-256. La gestion des clés s'effectue via AWS Key Management Service (AWS KMS).
• Les sauvegardes de bases de données sur AWS S3 sont stockées sous forme chiffrée (AES-256, AWS KMS).
• Les mots de passe des utilisateurs sont stockés exclusivement sous forme de hash bcrypt avec un facteur de travail approprié. Les mots de passe en clair ne sont jamais persistés ni affichés dans les journaux.

• Une procédure interne de réponse aux incidents est documentée et connue de tous les employés concernés. Elle réglemente la détection, l'escalade, la confinement, la remédiation et le suivi des incidents de sécurité.
• En cas de violation des données personnelles, le responsable du traitement (donneur d'ordre) est informé sans délai, au plus tard dans les 24 heures suivant la prise de connaissance (Art. 33 al. 2 RGPD). La notification à l'autorité de contrôle compétente incombe au responsable du traitement.
• Contact pour les violations de données et incidents de sécurité liés à la protection des données : privacy@trace-electricity.com (prioritaire) et contact@trace-electricity.com (escalade technique). Les notifications au responsable du traitement (donneur d'ordre) s'effectuent toujours via privacy@trace-electricity.com conformément au DPA-App § 10.
• Les incidents de sécurité sont documentés et analysés quant à leurs causes dans le cadre du suivi. Les enseignements tirés sont intégrés dans le développement ultérieur des mesures de sécurité.

• Utilisation de Virtual Private Cloud (VPC) avec une configuration stricte des groupes de sécurité sur AWS
• Pare-feu applicatif web (WAF) pour la protection contre les attaques OWASP Top 10
• Protection DDoS via AWS Shield Standard
• Chiffrement de toutes les connexions de base de données (TLS 1.2/1.3)
• Vérification régulière des configurations réseau (au moins trimestriellement)
• Segmentation réseau : les environnements de production, de test et de développement sont strictement séparés

• Analyses de sécurité régulières (automatisées, au moins hebdomadaires via AWS Inspector / scanner de dépendances)
• Correction des vulnérabilités critiques dans les 72 heures suivant leur publication
• Correction des vulnérabilités importantes dans les 14 jours
• Analyse des dépendances de toutes les bibliothèques utilisées (Software Composition Analysis, SCA)
• Tests de pénétration au moins une fois par an par des auditeurs externes

Tests de pénétration et analyses de vulnérabilités

Périmètre : Tous les systèmes de production de l'infrastructure TRACE.App (AWS eu-central-1), y compris les API web, les couches d'authentification (Auth0, tenant EU), les accès à la base de données et les configurations réseau.

Méthodologie : Conformément au Guide de Tests OWASP (v4.2) et au Référentiel BSI IT-Grundschutz. Les tests comprennent : OWASP Top 10, tests de sécurité API (OWASP API Security Top 10), tests d'authentification et d'autorisation.

Intervalle : Au moins une fois par an ainsi qu'après des modifications importantes de l'infrastructure (versions majeures, migration d'infrastructure).

Exécution : Prestataire de sécurité externe qualifié (certifié OSCP ou équivalent) ou audit de sécurité interne avec qualification équivalente.

Remédiation : Vulnérabilités critiques (CVSS ≥ 7.0) : correction dans les 72 heures. Vulnérabilités élevées (CVSS 4.0–6.9) : correction dans les 30 jours.

Documentation : Les rapports d'audit sont conservés en interne pendant 3 ans et doivent être présentés aux autorités de contrôle sur demande (Art. 5(2) RGPD obligation de responsabilité).

• Formation obligatoire sur la protection des données et la sécurité de l'information pour tous les employés (au moins annuellement)
• Sensibilisation au phishing et simulations régulières de phishing (au moins semestriellement)
• Engagement de confidentialité (par écrit) pour tous les employés ayant accès aux données
• Formation aux procédures de réponse aux incidents
• Documentation de toutes les formations effectuées

• Objectif de Temps de Rétablissement (RTO) : max. 4 heures pour les composants système critiques
• Objectif de Point de Reprise (RPO) : max. 1 heure (perte de données maximale)
• Sauvegardes automatisées quotidiennes sur des régions AWS géographiquement séparées
• Test DR annuel avec résultat documenté
• Plan de réponse aux incidents avec niveaux d'escalade définis

Utilisation des données et entraînement de l'IA

TRACE.App n'utilise aucun service d'IA ni modèle d'apprentissage automatique de tiers. Les données des utilisateurs ne sont pas utilisées pour l'entraînement de modèles d'IA ou d'apprentissage automatique. Tous les traitements s'effectuent sur la base d'algorithmes déterministes et d'évaluations basées sur des règles.

Vérification du seuil d'AIPD (Art. 35 RGPD)

TRACE Electricity GmbH a effectué, conformément à l'Art. 35 al. 1 RGPD et à la liste positive de la DSK (Conférence des autorités de protection des données, octobre 2019), une vérification du seuil pour le traitement dans le cadre du service TRACE.App. Le traitement des données de consommation d'énergie dans un contexte B2B (entreprises en tant que personnes concernées) ne dépasse pas, selon l'état actuel des connaissances, le seuil de l'obligation d'Analyse d'Impact relative à la Protection des Données (AIPD), car aucune catégorie particulière de données au sens de l'Art. 9 RGPD n'est traitée et les personnes concernées sont des personnes morales. La vérification sera répétée en cas de modifications substantielles de l'activité de traitement.

Validité et mise à jour

Ces MTO documentent les mesures techniques et organisationnelles de TRACE Electricity GmbH conformément à l'Art. 32 RGPD pour le service TRACE.App (en tant que responsable du traitement pour les utilisateurs B2C ainsi qu'en tant que sous-traitant au sens de l'Art. 4 n° 8 RGPD pour les comptes d'entreprises B2B dans le cadre du DPA-App). TRACE Electricity GmbH révise et met à jour les MTO régulièrement ainsi qu'en cas de modifications substantielles de l'infrastructure ou de la situation des menaces.

Les mesures décrites ici correspondent à l'état de la technique au moment de leur établissement et sont continuellement vérifiées et adaptées si nécessaire.

Date : Juin 2026