Familiar

Produit

ScénariosAudiencesCampagnesSondagesAgentBientôt

Solutions

Pour les indépendantsPour les groupesPour les entreprises

Ressources

TarifsManifesteBlogDocumentation
Commencez gratuitement

Sécurité et conformité

La sécurité et la conformité représentent des aspects essentiels de tout produit utilisé par votre équipe. Familiar s’engage à sécuriser l’accès à vos données, à éliminer les vulnérabilités des systèmes et à garantir la continuité de l’accès.

Dernière mise à jour : janvier 2026

1. Introduction

Chez Familiar, la sécurité n’est pas une considération secondaire — c’est un principe fondamental intégré à chaque couche de notre plateforme, de la conception de l’infrastructure aux opérations quotidiennes. Nous comprenons que nos clients nous confient des données hôtelières sensibles, et nous prenons cette responsabilité au sérieux.

Cette page présente un aperçu des mesures techniques et organisationnelles que nous mettons en œuvre pour protéger vos données, assurer la conformité réglementaire et maintenir la disponibilité et l’intégrité de nos Services.

2. Gouvernance de la sécurité

Familiar maintient un cadre structuré de gouvernance de la sécurité qui comprend :

  • Un responsable de la sécurité désigné, chargé de superviser les politiques, procédures et la réponse aux incidents en matière de sécurité de l’information
  • Des revues de sécurité internes et des évaluations des risques régulières afin d’identifier, d’évaluer et d’atténuer les menaces
  • Des politiques de sécurité documentées couvrant la gestion des accès, le traitement des données, la réponse aux incidents et la continuité d’activité
  • Des formations de sensibilisation à la sécurité pour tous les membres de l’équipe, y compris des briefings de sécurité lors de l’intégration et des mises à jour périodiques
  • Une veille continue sur les évolutions du secteur, le renseignement sur les menaces et les changements réglementaires

3. Infrastructure et hébergement

Notre infrastructure est conçue pour la sécurité, la résilience et la souveraineté des données :

  • Hébergement dans l’Union européenne : toutes les données de production sont hébergées au sein de l’UE, garantissant la conformité aux exigences de résidence des données de l’UE et au RGPD
  • Centres de données Tier III : nos fournisseurs d’infrastructure cloud exploitent des centres de données Tier III (ou équivalent), offrant une alimentation, une climatisation et une connectivité réseau redondantes avec une disponibilité de 99,982 %
  • Sécurité réseau : les environnements de production sont isolés à l’aide de Virtual Private Clouds (VPC) avec des règles de pare-feu, des groupes de sécurité et des listes de contrôle d’accès réseau strictes
  • Infrastructure as Code : toute l’infrastructure est gérée par le code (Terraform), garantissant la reproductibilité, l’auditabilité et le contrôle de version de toutes les configurations
  • Correctifs automatisés : les systèmes d’exploitation et les dépendances sont régulièrement mis à jour et corrigés afin de remédier aux vulnérabilités connues

4. Contrôle d’accès

Nous appliquons des mesures strictes de contrôle d’accès selon le principe du moindre privilège :

  • Contrôle d’accès basé sur les rôles (RBAC) : tout accès aux systèmes, aux données et aux outils d’administration est régi par des autorisations basées sur les rôles. Les utilisateurs ne se voient accorder que l’accès minimal nécessaire à l’exécution de leurs tâches.
  • Moindre privilège : les droits d’accès sont régulièrement réexaminés et révoqués sans délai lorsqu’ils ne sont plus nécessaires, notamment lors d’un changement de rôle ou d’un départ
  • Authentification multifacteur (MFA) : la MFA est requise pour tout accès administratif aux systèmes de production et à l’infrastructure cloud
  • Gestion des secrets : les identifiants, les clés d’API et les secrets sont stockés dans des services dédiés de gestion des secrets et ne sont jamais codés en dur dans le code source
  • Pistes d’audit : tout accès aux systèmes sensibles est journalisé et surveillé

5. Chiffrement des données

Nous protégeons vos données par un chiffrement robuste à chaque étape :

  • Chiffrement en transit : toutes les données transmises entre votre navigateur et nos serveurs, ainsi qu’entre les services internes, sont chiffrées à l’aide de TLS 1.2 ou supérieur. Nous imposons le HTTPS sur l’ensemble des points d’accès ainsi que des en-têtes HSTS afin de prévenir les attaques par rétrogradation.
  • Chiffrement au repos : toutes les données stockées dans nos bases de données, notre stockage de fichiers et nos sauvegardes sont chiffrées à l’aide du chiffrement AES-256, géré par des services natifs de gestion des clés dans le cloud.
  • Gestion des clés : les clés de chiffrement sont gérées par des services dédiés de gestion des clés avec rotation automatique, contrôles d’accès et journalisation d’audit.

6. Sécurité applicative

La sécurité est intégrée à notre cycle de développement logiciel :

  • Pratiques de développement sécurisé : notre équipe d’ingénierie suit des directives de codage sécurisé, incluant la validation des entrées, l’encodage des sorties, les requêtes paramétrées et une gestion appropriée des erreurs
  • Revue de code : toutes les modifications de code font l’objet d’une revue par les pairs avant d’être fusionnées en production, en mettant l’accent sur les implications de sécurité
  • Analyse des dépendances : nous surveillons en continu les dépendances tierces afin de détecter les vulnérabilités connues à l’aide d’outils automatisés et appliquons rapidement les correctifs
  • Analyse statique : des outils d’analyse statique automatisés sont exécutés dans le cadre de notre pipeline CI/CD afin de détecter les problèmes de sécurité potentiels avant le déploiement
  • Tests d’intrusion : nous réalisons périodiquement des évaluations de sécurité et des tests d’intrusion afin d’identifier et de corriger les vulnérabilités

7. Surveillance et journalisation

Une surveillance continue et une journalisation complète sont essentielles à notre posture de sécurité :

  • Journalisation centralisée : les journaux applicatifs, d’infrastructure et de sécurité sont agrégés dans un système de journalisation centralisé à des fins d’analyse, de corrélation et de conservation
  • Surveillance en temps réel : nous surveillons l’état du système, les performances et les événements de sécurité en temps réel, avec des alertes automatisées en cas de comportement anormal
  • Suivi des erreurs : les erreurs applicatives sont suivies et triées à l’aide de services dédiés de surveillance des erreurs (par exemple, Sentry) afin d’assurer une détection et une résolution rapides
  • Conservation des journaux : les journaux de sécurité et d’accès sont conservés de 6 à 12 mois selon leur type et leur sensibilité, conformément à notre politique de conservation des données

8. Réponse aux incidents

Familiar maintient un plan documenté de réponse aux incidents afin de gérer les incidents de sécurité de manière efficace et transparente :

  • Détection et triage : les incidents potentiels sont détectés par la surveillance, les alertes et les signalements. Chaque incident est évalué selon sa gravité et son impact.
  • Confinement et éradication : des mesures immédiates sont prises pour contenir l’incident, prévenir tout dommage supplémentaire et éliminer la cause racine.
  • Notification : en cas de violation de données à caractère personnel, nous notifierons l’autorité de contrôle compétente (la CNIL) dans un délai de 72 heures après en avoir pris connaissance, comme l’exige l’article 33 du RGPD. Les personnes concernées affectées seront également notifiées sans retard injustifié lorsque l’article 34 l’exige.
  • Revue post-incident : après résolution, nous menons une revue post-incident approfondie afin d’identifier les enseignements tirés et de mettre en œuvre des mesures destinées à éviter toute récurrence.
  • Notification des clients : les clients dont les données ont pu être affectées seront notifiés rapidement, avec des précisions sur l’incident, son impact et les mesures prises.

9. Continuité d’activité

Nous mettons en œuvre des mesures pour assurer la continuité de l’accès et une récupération rapide en cas de perturbation :

  • Sauvegardes quotidiennes : toutes les bases de données de production sont sauvegardées quotidiennement. Les sauvegardes sont chiffrées et stockées dans des emplacements géographiquement distincts au sein de l’UE.
  • Récupération à un instant précis : notre infrastructure de bases de données prend en charge la récupération à un instant précis, permettant une restauration à tout moment dans la fenêtre de conservation des sauvegardes.
  • Reprise après sinistre : nous maintenons des procédures de reprise après sinistre et les testons périodiquement afin de garantir que les services peuvent être rétablis dans des délais acceptables.
  • Redondance : les composants critiques sont déployés avec redondance afin de minimiser les points de défaillance uniques.

10. Protection des données et RGPD

Familiar s’engage à respecter le Règlement général sur la protection des données (RGPD) et les lois françaises applicables en matière de protection des données :

  • Traitement licite : nous ne traitons les données à caractère personnel que sur la base d’un fondement juridique valable (exécution du contrat, intérêt légitime, consentement ou obligation légale)
  • Minimisation des données : nous ne collectons que les données à caractère personnel nécessaires aux finalités spécifiées
  • Droits des personnes concernées : nous fournissons des mécanismes permettant aux personnes concernées d’exercer leurs droits, notamment l’accès, la rectification, l’effacement, la portabilité et l’opposition
  • Accords de traitement des données : nous concluons des DPA avec tous les clients pour lesquels nous agissons en tant que sous-traitant, définissant la portée, la finalité et les conditions du traitement
  • Protection des données dès la conception : les considérations relatives à la protection des données sont intégrées à la conception et au développement des nouvelles fonctionnalités et services

11. Sous-traitants ultérieurs

Nous faisons appel à un nombre limité de sous-traitants ultérieurs pour fournir les Services. Chaque sous-traitant ultérieur est soigneusement évalué quant à ses pratiques de sécurité et de protection des données, et est lié par un accord de traitement des données imposant des obligations au moins aussi protectrices que celles de notre propre DPA.

Nous tenons à jour une liste des sous-traitants ultérieurs et informons les clients de tout changement conformément aux termes de notre Accord de traitement des données. Les clients peuvent s’opposer à l’ajout d’un nouveau sous-traitant ultérieur dans le délai précisé dans le DPA.

12. Certifications et normes

Familiar s’engage à atteindre et à dépasser les normes de sécurité du secteur :

  • Conformité au RGPD :nous sommes pleinement conformes au Règlement général sur la protection des données et à la Loi Informatique et Libertés française
  • Hébergement des données dans l’UE : toutes les données de production sont hébergées exclusivement au sein de l’Union européenne, garantissant la souveraineté des données et la conformité aux exigences de résidence des données de l’UE
  • Préparation SOC 2 : nous préparons activement la certification SOC 2 Type II, qui fournira une validation indépendante de nos contrôles de sécurité, de disponibilité et de confidentialité
  • Préparation ISO 27001 : nous travaillons à l’obtention de la certification ISO 27001 afin de formaliser notre système de management de la sécurité de l’information (SMSI) et de démontrer notre engagement envers des pratiques de sécurité reconnues à l’échelle internationale

13. Disponibilité du service

Familiar s’efforce de maintenir une haute disponibilité des Services. Bien que nous ne publiions pas actuellement de SLA formel sur cette page, notre infrastructure est conçue pour la résilience :

  • Mise à l’échelle automatique pour gérer les charges de trafic variables
  • Vérifications de l’état et basculement automatisé pour les services critiques
  • Fenêtres de maintenance planifiées communiquées à l’avance afin de minimiser les perturbations

Pour les clients ayant des exigences spécifiques de disponibilité, des engagements de niveau de service peuvent être inclus dans le Bon de commande applicable.

14. Responsabilité partagée

La sécurité est une responsabilité partagée entre Familiar et nos clients. Si nous sommes responsables de la sécurisation de la plateforme et de l’infrastructure, les clients sont responsables :

  • De la gestion des accès et des autorisations des utilisateurs au sein de leur espace de travail, y compris la révocation rapide des accès des membres de l’équipe quittant l’organisation
  • De l’utilisation de mots de passe forts et uniques et de l’activation de l’authentification multifacteur lorsqu’elle est disponible
  • De s’assurer que les données importées dans la plateforme ont été collectées et traitées de manière licite
  • De signaler rapidement à Familiar tout incident ou toute vulnérabilité de sécurité suspecté
  • Du respect des lois et réglementations applicables dans leur utilisation des Services

15. Modifications de cette page

Nous pouvons mettre à jour cette page Sécurité et conformité de temps à autre afin de refléter les améliorations apportées à nos pratiques de sécurité, de nouvelles certifications ou des changements dans les réglementations applicables. Lorsque nous apportons des modifications substantielles, nous réviserons la date de « Dernière mise à jour » en haut de cette page.

16. Contact

Si vous avez des questions concernant nos pratiques de sécurité, souhaitez signaler une préoccupation de sécurité ou avez besoin d’informations complémentaires pour votre revue de sécurité, veuillez nous contacter à :

  • E-mail : security@familiarhq.com
  • Courrier postal : Familiar SAS, 1663 rue de Majornas, 01440 Viriat, France

Votre marketing, en pilote automatique

Rejoignez les hôtels de référence, prêts pour un monde piloté par l’IA.

Commencez gratuitementContactez-nous