Mesures Techniques et Organisationnelles (MTO) - TRACE.Parser

Les présentes Mesures Techniques et Organisationnelles (MTO) décrivent les mesures de sécurité mises en œuvre par TRACE Electricity GmbH en tant que sous-traitant conformément à l'Art. 28 al. 3 lit. c RGPD ainsi qu'à l'Annexe II des Clauses Contractuelles Types de l'UE (SCCs, Décision 2021/914) pour le service TRACE.Parser (parser.trace-electricity.com). Les mesures s'appliquent à toutes les données à caractère personnel traitées dans le cadre du traitement sous-traité par TRACE.Parser.

Mesures de sécurité IA

Mesure	Description
Minimisation des données pour les requêtes IA	Avant la transmission aux API d'IA, les données de profils de production sont réduites au minimum nécessaire à l'analyse. Les caractéristiques permettant l'identification de l'entreprise sont supprimées ou pseudonymisées avant la requête IA (principe de minimisation des données, Art. 5 al. 1 lit. c RGPD).
Protection contre l'injection de prompt	Toutes les entrées utilisateur traitées dans le cadre d'une requête IA font l'objet d'une validation des entrées (échappement des caractères spéciaux, isolation du prompt système). Les sorties IA sont vérifiées avant affichage dans l'application pour détecter les patterns d'injection (sandboxing des sorties). Les prompts système sont techniquement isolés des prompts utilisateur.
Gestion des clés API	Les clés API pour OpenAI, Anthropic et les services IA AWS sont stockées séparément dans AWS Secrets Manager et font l'objet d'une rotation régulière. Chaque fournisseur d'IA reçoit sa propre clé API avec un périmètre minimal (principe du moindre privilège). Tous les accès sont consignés dans CloudWatch.
Journalisation des requêtes IA	Les requêtes IA essentielles (sans valeurs brutes à caractère personnel) et les métadonnées associées (horodatage, fournisseur, longueur de la requête) sont journalisées pendant 30 jours et peuvent être mises à disposition du responsable du traitement sur demande à des fins de contrôle.
Anonymisation pour l'amélioration de l'IA	Les profils de production utilisés pour améliorer la qualité d'analyse de TRACE.Parser sont préalablement anonymisés de manière irréversible : (1) Suppression de tous les attributs d'identification de l'entreprise (nom, identifiant, localisation, identifiant de raccordement), (2) Agrégation au niveau des intervalles temporels, (3) k-Anonymat (k≥5) : chaque point de données est indiscernable d'au moins 4 autres, (4) Confidentialité différentielle : procédés de bruit statistique. Les clients peuvent s'opposer à l'utilisation de leurs données : privacy@trace-electricity.com.

Annexe B au Contrat de Traitement des Données TRACE.Parser : Ce document décrit les mesures techniques et organisationnelles (MTO) conformément à l'Art. 32 RGPD, mises en œuvre par TRACE Electricity GmbH en tant que sous-traitant pour le service TRACE.Parser. Il fait partie intégrante du Contrat de Traitement des Données (DPA-Parser).

• L'infrastructure serveur est exploitée exclusivement dans des centres de données AWS (certifiés ISO 27001, SOC 2 Type II). AWS garantit un contrôle d'accès physique complet incluant l'authentification multiple, la vidéosurveillance et le personnel de sécurité.
• Aucun accès physique aux serveurs par les employés de TRACE. TRACE Electricity GmbH administre l'infrastructure exclusivement via des accès API distants chiffrés.
• Infrastructure CDN et Edge de Cloudflare avec des points de présence (PoPs) mondiaux certifiés ISO ; la sécurité physique relève entièrement de Cloudflare.
• Accès aux bureaux de TRACE à Hambourg sécurisé par un système de verrouillage électronique avec identifiants d'accès personnalisés et journal des accès.

• L'authentification à deux facteurs (2FA/MFA) est obligatoire pour tous les systèmes internes, consoles cloud (AWS, Cloudflare) et plateformes de développement (GitHub, Vercel).
• Gestionnaire de mots de passe (1Password ou Bitwarden) pour tous les employés ; exigences minimales : 16 caractères, règle de complexité (majuscules/minuscules, caractères spéciaux, chiffres). Pas de réutilisation de mots de passe.
• Contrôle d'accès basé sur les rôles (RBAC) selon le principe du moindre privilège. Les droits d'accès sont révoqués immédiatement en cas de changement de rôle ou de départ.
• Expiration automatique de session après 30 minutes d'inactivité dans toutes les interfaces d'administration internes.
• Toutes les données d'accès sont stockées exclusivement sous forme chiffrée ; les mots de passe en clair ne sont jamais persistés.

• Les accès à la base de données s'effectuent exclusivement via des points d'accès API authentifiés et autorisés. Aucune connexion directe à la base de données depuis le frontend.
• Tous les accès des employés aux systèmes de production et aux données clients sont journalisés et auditables (pistes d'audit).
• La base de données de production est configurée sans accès direct pour les développeurs. Les accès à la base de données en environnement de production requièrent un processus d'approbation distinct et documenté.
• Les environnements de staging et de production sont strictement séparés. Les données de production ne sont pas utilisées dans les environnements de test.
• Les mots de passe de base de données et les clés API sont stockés exclusivement dans AWS Secrets Manager et font l'objet d'une rotation automatique.
• Mesures concrètes de contrôle des accès : Authentification multi-facteurs (MFA) pour tous les accès administrateurs à l'infrastructure AWS ; contrôle d'accès basé sur les rôles (RBAC) via AWS Identity and Access Management (IAM) ; principe du moindre privilège (permissions minimales par rôle) ; révisions régulières des politiques IAM (trimestrielles) ; journalisation de tous les accès administrateurs via AWS CloudTrail.

• Toutes les transmissions de données entre l'utilisateur final et TRACE.Parser sont chiffrées exclusivement via TLS 1.2 ou TLS 1.3. Les versions de protocole plus anciennes (SSL, TLS 1.0, TLS 1.1) sont désactivées.
• HTTPS est imposé (HTTP Strict Transport Security, HSTS avec un max-age long). Les requêtes HTTP sont automatiquement redirigées vers HTTPS.
• Toutes les communications API internes (backend-to-backend, communication microservices) s'effectuent exclusivement via des connexions HTTPS chiffrées.
• L'envoi d'e-mails de notifications système et d'e-mails transactionnels s'effectue via AWS SES avec signatures DKIM, SPF et DMARC pour garantir l'intégrité et l'authenticité.
• Les données clients ne sont pas transmises via des canaux de communication non chiffrés (p. ex. e-mail non chiffré, FTP).

• Toutes les actions sensibles pour la sécurité — notamment les modifications des données utilisateur, des configurations et des autorisations — sont consignées dans des journaux d'audit. Chaque entrée de journal contient un horodatage, la personne responsable (identifiant utilisateur), l'objet concerné et le type de modification.
• Les données de journaux sont stockées dans AWS CloudWatch. En cas de besoin accru de protection, les journaux peuvent être sécurisés contre toute manipulation ultérieure via S3 Object Lock (mode CONFORMITÉ).
• Conservation des journaux d'audit : au minimum 12 mois en rotation (base juridique : Art. 6(1)(c) RGPD combiné aux obligations de conservation fiscales ; les journaux système sans obligation légale de conservation sont supprimés après 90 jours).

• Un Contrat de Traitement des Données (DPA) au sens de l'Art. 28 RGPD a été conclu avec le responsable du traitement. Le traitement des données à caractère personnel s'effectue exclusivement sur la base et dans le cadre de ce DPA.
• Les sous-traitants ultérieurs ne sont engagés qu'après approbation écrite du responsable du traitement (conformément au DPA § 8 — Recours à des sous-traitants ultérieurs). Sous-traitants ultérieurs actuels : Amazon Web Services EMEA SARL (hébergement, base de données, e-mail via SES), Cloudflare Germany GmbH (CDN, protection DDoS), Okta EMEA Limited (Auth0) (1 Beckett Way, Dublin 12, Irlande ; authentification utilisateur, tenant UE eu.auth0.com, AWS eu-west-1 ; sans transfert vers un pays tiers).
• Les instructions du responsable du traitement sont documentées et exécutées intégralement. TRACE Electricity GmbH informe immédiatement le responsable du traitement si, selon son évaluation, une instruction contrevient aux dispositions de protection des données.
• Les employés ayant accès aux données à caractère personnel sont tenus à la confidentialité et ont été informés des exigences légales en matière de protection des données.

• Sauvegardes automatisées quotidiennes de la base de données via AWS RDS Automated Backups. Durée de conservation des sauvegardes : 35 jours.
• La récupération à un point dans le temps (PITR) pour la base de données de production est activée. Restauration à tout moment dans la fenêtre de conservation possible.
• Conservation des fichiers uploadés et suppression des données : Fichiers uploadés temporaires (profils de production CSV) : supprimés automatiquement des serveurs de traitement après finalisation de l'analyse (max. 24 heures après l'upload). Résultats d'analyse persistants : supprimés dans les 30 jours suivant la fin du contrat. Mise en œuvre technique : routines de suppression automatisées via AWS Lambda avec journalisation.
• Déploiement Multi-AZ de la base de données (AWS RDS Multi-AZ) : basculement automatique vers l'instance de secours en cas de défaillance de l'instance primaire. Objectif de basculement : moins de 60 secondes.
• Cloudflare en tant que protection DDoS (couches 3/4/7) et CDN haute disponibilité. Les pannes de sites Edge individuels sont automatiquement compensées par le réseau mondial.
• Surveillance continue de l'état du système via AWS CloudWatch avec alarmes automatiques. Les alertes critiques sont escaladées via PagerDuty vers le service d'astreinte.
• Les sauvegardes sont stockées sous forme chiffrée et testées régulièrement pour leur restaurabilité.

• Déploiement Multi-AZ : TRACE.Parser est distribué sur plusieurs zones de disponibilité AWS. La défaillance d'une zone entraîne un basculement automatique sans perte de données.
• Basculement automatique : Les équilibreurs de charge et les contrôles d'intégrité détectent les pannes et redirigent automatiquement les requêtes vers les instances disponibles (Objectif de temps de récupération : < 5 minutes).
• Disjoncteur (Circuit Breaker) : Les services en aval défaillants sont automatiquement isolés pour éviter les pannes en cascade.
• Mise à l'échelle horizontale : La file d'attente de traitement des uploads (AWS SQS) dissocie les uploads CSV du traitement d'analyse et prévient la surcharge du système en cas de volume élevé d'uploads.
• Objectif de point de récupération (RPO) : Grâce à la réplication continue de la base de données, la perte de données maximale tolérable est < 1 heure pour les résultats d'analyse.
• Tests de résilience : Des tests réguliers des procédures de récupération (au minimum annuels) garantissent l'efficacité des mesures.

• Les données des différents clients sont stockées et traitées de manière logiquement séparée (isolation basée sur l'identifiant tenant au niveau de la base de données). L'accès croisé aux données de différents clients est techniquement exclu.
• Les données de production et de test sont strictement séparées. Les données de production ne sont pas utilisées à des fins de développement ou de test.
• Les données marketing (Google Analytics 4, LinkedIn Insight Tag) sont collectées sur le site marketing de TRACE et sont entièrement séparées des données traitées dans le cadre du traitement sous-traité. Aucune consolidation n'a lieu.

• Les champs de base de données contenant des données à caractère personnel particulièrement sensibles sont chiffrés supplémentairement au niveau applicatif avec AES-256 (chiffrement au repos au niveau du champ).
• Les volumes AWS EBS (disques virtuels des serveurs applicatifs) sont entièrement chiffrés avec AES-256. Gestion des clés via AWS Key Management Service (KMS).
• Les sauvegardes de base de données sont stockées sous forme chiffrée (AES-256, AWS KMS).
• Chiffrement des buckets S3 : Les buckets AWS S3 pour les profils de production stockés sont chiffrés côté serveur (SSE-KMS / AES-256 via AWS Key Management Service). Accès uniquement via des connexions HTTPS chiffrées. Les politiques de bucket empêchent l'accès public (S3 Block Public Access activé pour tous les buckets). S3 Object Lock est activé pour les buckets de journaux d'audit en mode CONFORMITÉ afin d'éviter toute manipulation ultérieure.
• Les mots de passe utilisateur sont stockés exclusivement sous forme de hash bcrypt avec un facteur de travail approprié. Les mots de passe en clair ne sont à aucun moment persistés ni enregistrés dans les journaux.

• Tous les accès administratifs à la console et aux ressources AWS s'effectuent via AWS VPN ou AWS SSO avec MFA (région eu-central-1, Francfort)
• Les groupes de sécurité AWS et les ACL réseau restreignent l'accès réseau aux systèmes de production selon le principe de liste d'autorisation (réseau à moindre privilège)
• Les instances de base de données RDS se trouvent dans un sous-réseau privé sans accès Internet direct
• AWS WAF (Web Application Firewall) est actif devant les points d'accès API (protection contre l'OWASP Top 10)
• Protection DDoS via AWS Shield Standard
• Chiffrement de toutes les connexions à la base de données (TLS 1.2/1.3)
• Révision régulière des configurations réseau (au minimum trimestrielle)
• Segmentation réseau : les environnements de production, de test et de développement sont strictement séparés

• Analyses de sécurité régulières (automatisées, au minimum hebdomadaires via AWS Inspector / scanners de dépendances)
• Correction des vulnérabilités critiques dans les 72 heures suivant leur publication
• Correction des vulnérabilités importantes dans les 14 jours
• Analyse des dépendances de toutes les bibliothèques utilisées (Software Composition Analysis, SCA)
• Tests de pénétration au minimum une fois par an par des auditeurs externes

Tests de pénétration et analyses de vulnérabilités

Périmètre : Tous les systèmes de production de TRACE.Parser (AWS eu-central-1), incluant les API web du Parser, les points d'accès d'upload, le moteur d'analyse et les accès à la base de données.

Méthodologie : Basée sur l'OWASP Testing Guide (v4.2). Les tests comprennent : OWASP Top 10, tests de sécurité API (OWASP API Security Top 10), validation des entrées (sécurité des uploads CSV), tests d'authentification.

Fréquence : Au minimum une fois par an et après des modifications importantes de l'infrastructure (Art. 32(1)(d) RGPD : contrôle régulier).

Remédiation : Vulnérabilités critiques (CVSS ≥ 7,0) : correction dans les 72 heures. Vulnérabilités élevées (CVSS 4,0–6,9) : correction dans les 30 jours.

Documentation : Les rapports d'audit sont conservés en interne pendant 3 ans (Art. 5(2) RGPD, obligation de responsabilité).

• Formation obligatoire sur la protection des données et la sécurité de l'information pour tous les employés (au minimum annuelle)
• Sensibilisation au phishing et simulations régulières de phishing (au minimum semestrielles)
• Engagement de confidentialité (écrit) pour tous les employés ayant accès aux données
• Formation aux procédures de réponse aux incidents
• Documentation de toutes les formations effectuées

• Objectif de temps de récupération (RTO) : max. 4 heures pour les composants système critiques
• Objectif de point de récupération (RPO) : max. 1 heure (perte de données maximale)
• Sauvegardes automatisées quotidiennes sur des régions AWS géographiquement séparées (eu-central-1 Francfort, réplication dans une autre région UE)
• Déploiement AWS RDS Multi-AZ pour le basculement automatique (< 60 secondes)
• Test de reprise après sinistre annuel avec résultat documenté
• Plan de réponse aux incidents avec niveaux d'escalade définis

• Une procédure interne de réponse aux incidents est documentée et connue de tous les employés concernés. Elle régit la détection, l'escalade, le confinement, la remédiation et le retour d'expérience des incidents de sécurité.
• En cas de violation de la protection des données à caractère personnel, le responsable du traitement (client) est informé immédiatement, au plus tard dans les 24 heures suivant la prise de connaissance (Art. 33 al. 2 RGPD). La notification à l'autorité de contrôle compétente incombe au responsable du traitement.
• Contact pour les violations de données et les incidents de sécurité liés à la protection des données : privacy@trace-electricity.com (principal) et contact@trace-electricity.com (escalade technique). Les notifications au responsable du traitement (client) s'effectuent toujours via privacy@trace-electricity.com conformément au DPA-Parser § 12.
• Les incidents de sécurité sont documentés et, dans le cadre du retour d'expérience, analysés quant à leurs causes. Les enseignements tirés sont intégrés dans le développement continu des mesures de sécurité.

Analyse assistée par IA et entraînement des modèles

TRACE Electricity GmbH traite les données de production uploadées (fichiers CSV) dans le cadre du service TRACE.Parser exclusivement pour l'analyse convenue contractuellement. Pour l'analyse assistée par IA, les fournisseurs suivants interviennent en tant que sous-traitants ultérieurs : OpenAI, LLC (San Francisco, États-Unis), Anthropic PBC (San Francisco, États-Unis) et les services IA AWS via Amazon Web Services EMEA SARL (Luxembourg). L'utilisation de ces données pour l'entraînement de modèles d'IA ou d'apprentissage automatique n'a lieu que sur la base d'un consentement séparé et révocable à tout moment du responsable du traitement conformément à l'Art. 6 al. 1 lit. a RGPD. Ce consentement est facultatif et n'a aucune incidence sur la fourniture du service d'analyse. Le responsable du traitement peut révoquer son consentement à tout moment par e-mail à privacy@trace-electricity.com.

Champ d'application et mise à jour

Les présentes MTO constituent une annexe contraignante au Contrat de Traitement des Données (DPA) entre TRACE Electricity GmbH et le responsable du traitement concerné pour le service TRACE.Parser. TRACE Electricity GmbH est habilitée à adapter les MTO à condition que le niveau de sécurité ne soit pas réduit. Les modifications substantielles seront communiquées au responsable du traitement au préalable.

Les mesures décrites ici correspondent à l'état de la technique au moment de leur établissement et font l'objet d'une révision continue et d'une adaptation en tant que de besoin.

Date : Juin 2026  |  Version 1.0  |  Annexe au Contrat de Traitement des Données (DPA) - TRACE.Parser