SÉCURITÉ_&_INFRASTRUCTURE

Vos plans, vos documents, vos clients.
Pas les nôtres.

Quand un cabinet d'architecture ou une entreprise de BTP nous confie ses fichiers, c'est rarement un détail. Cette page explique concrètement où sont vos données, qui peut y accéder, comment elles sont sauvegardées, et ce qui se passe si vous arrêtez ColAxess demain matin.

Mise à jour : juin 2026 · Une question précise ? Écrivez-nous.

01_HÉBERGEMENT

Tout est hébergé en France

Nos serveurs sont chez Scaleway, hébergeur français basé à Paris. Toutes vos données — base de données, fichiers PDF, plans, photos, messages chat — restent sur le territoire français. Aucune donnée ne quitte l'Union européenne.

Concrètement : si un sous-traitant aux États-Unis a un litige avec une autorité, aucun de vos documents ne peut être saisi ou inspecté sous le Cloud Act. C'est l'avantage simple d'un hébergeur français, juridiquement soumis au droit européen.

  • HébergeurScaleway (France)
  • ServeurDédié (pas de mutualisation)
  • LocalisationDatacenters français
  • SouverainetéRGPD + droit européen exclusivement
02_SAUVEGARDES_&_PRA

Deux datacenters, un plan B

Une seule copie de vos données ne nous suffit pas. Chaque nuit, nous sauvegardons automatiquement la base de données et tous vos fichiers vers deux datacenters distincts en France. Si un site brûle (c'est arrivé, OVH Strasbourg 2021), le second prend le relais.

Au-delà des sauvegardes, nous maintenons un Plan de Reprise d'Activité (PRA) : un serveur dédié dans l'un de nos datacenters secondaires, capable de relancer ColAxess.

  • Base de donnéesBackup quotidien automatique
  • FichiersPDFs, plans, photos sauvegardés chaque nuit
  • Off-siteCopie dans 2 datacenter distants
  • PRAServeur dédié de reprise prêt à basculer
03_CHIFFREMENT

Vos données circulent et dorment chiffrées

En transit : tout passe en HTTPS/TLS 1.2+. Aucune communication entre votre navigateur, votre mobile et nos serveurs n'est en clair. Le chat temps réel (WebSockets) utilise la même couche de chiffrement.

Au repos : les disques de nos serveurs et de nos backups sont chiffrés. Les mots de passe ne sont jamais stockés en clair — ils sont hashés avec bcrypt, l'algorithme de référence pour ce type d'usage. Personne chez ColAxess ne peut lire votre mot de passe, même nous.

  • En transitHTTPS / TLS 1.2+ obligatoire
  • WebSocketsWSS (chiffré)
  • Au reposDisques chiffrés (serveurs + backups)
  • Mots de passeHash bcrypt (irréversible)
04_RGPD

RGPD : oui

ColAxess est éditeur. Vous êtes responsable du traitement de vos données (les fichiers et infos clients que vous y mettez). Nous sommes sous-traitant au sens de l'article 28 du RGPD. Notre DPA (Data Processing Agreement) est disponible sur simple demande à contact@colaxess.com.

Vos utilisateurs peuvent à tout moment exercer leurs droits RGPD : accès, rectification, suppression, portabilité. Nous traitons ces demandes sous 14 jours maximum, généralement bien plus vite.

  • StatutSous-traitant (art. 28 RGPD)
  • DPADisponible sur demande
  • Délai réponse14 jours max
  • Contact RGPDcontact@colaxess.com
05_SI_VOUS_PARTEZ

Que se passe-t-il si vous arrêtez demain matin ?

C'est probablement la question la plus importante de cette page :

  1. Vous gardez 30 jours après résiliation pour exporter vos données. Plans, documents, annotations, contacts, projets — tout est exportable dans des formats standards (PDF, CSV, ZIP). Pas de format propriétaire qui vous retient.
  2. Vos fichiers PDF restent des fichiers PDF. Quand vous téléchargez un plan annoté depuis ColAxess, vous récupérez un PDF normal lisible avec n'importe quel lecteur PDF.
  3. Après 30 jours, tout est supprimé. Données utilisateurs, fichiers, backups tournants — purgés définitivement. Les backups archivés sont écrasés dans le cycle normal de rotation.
  4. Vous pouvez demander une suppression immédiate à tout moment. Un email à contact@colaxess.com, et tout est purgé sous 7 jours.
FAQ_TECHNIQUE

Les questions qu'on nous pose

Si la vôtre n'y est pas, écrivez-nous : contact@colaxess.com.

Personne par défaut. Vos fichiers sont stockés sur des disques chiffrés et l'accès est limité à votre organisation (les utilisateurs que vous invitez).

Côté équipe ColAxess, seuls 2 administrateurs techniques ont accès aux serveurs pour la maintenance. Ils n'ouvrent JAMAIS vos fichiers sauf si vous nous le demandez explicitement pour résoudre un problème — et même là, c'est tracé.

Non. Vos documents, annotations et messages ne servent ni à entraîner un modèle IA, ni à être partagés avec un fournisseur tiers d'IA pour entraînement.

Quand des fonctionnalités utilisent de l'IA (résumé, suggestion), nous le précisons explicitement et le contenu envoyé reste strictement nécessaire à la fonctionnalité demandée.

Cas réel : OVH Strasbourg, mars 2021. Beaucoup de SaaS ont perdu des données ce jour-là parce qu'ils n'avaient pas de backup hors-site.

Chez nous : la sauvegarde de la nuit précédente est dans un second datacenter français. Notre serveur de PRA peut être activé pour remonter une instance fonctionnelle. La perte de données maximale théorique est de moins de 24h (le dernier backup quotidien). Nous travaillons quotidiennement pour réduire le temps en dessous des 24H

99,9% contractuellement (engagement CGV). En pratique, nous tournons au-dessus de 99,98% sur les 12 derniers mois — visible publiquement sur notre page de status, elle est actualisée toutes les 5 minutes.

Toute demande d'autorité passe d'abord par notre équipe juridique. Nous ne donnons accès à des données qu'avec une réquisition formelle (parquet, juge d'instruction) et nous vous prévenons systématiquement sauf interdiction légale expresse.

Comme nous sommes hébergés en France, ces demandes relèvent du droit français — pas du Cloud Act américain ou autre.

Liste à jour disponible sur demande dans le DPA. Les principaux : Scaleway (hébergement), Stripe (paiements, jamais de carte stockée chez nous), Mailgun/Brevo (envoi d'emails transactionnels). Tous sont conformes RGPD et localisés en UE.

Hashés avec bcrypt (coût 12). Concrètement : même si quelqu'un volait notre base de données, il ne pourrait pas lire vos mots de passe — il faudrait des décennies de calcul pour en casser un seul.

Nous ne pouvons pas non plus voir votre mot de passe. Si vous l'oubliez, on vous envoie un lien de réinitialisation — on ne peut pas vous le "redonner".

Non. Chaque organisation est isolée logiquement : un utilisateur d'un compte A ne peut techniquement pas accéder aux données d'un compte B, même par bug d'URL ou manipulation. C'est testé en automatique à chaque déploiement.

Les messages circulent en WebSocket chiffré (WSS). Seuls les destinataires autorisés (membres du projet) reçoivent les messages. Les notifications mobiles passent par les services OneSignal selon les standards de sécurité de leurs plateformes.

Soft delete pendant 30 jours (vous pouvez restaurer le document depuis la corbeille), puis suppression définitive de la base. Les backups contenant ce fichier sont écrasés dans le cycle de rotation (30 jours max). Au-delà, le fichier n'existe plus nulle part.

ColAxess est édité par une société française, immatriculée en France. Coordonnées complètes sur la page Mentions légales.

Question légitime. Nos CGV prévoient une procédure de continuité : en cas d'arrêt d'activité, vous disposez d'un délai minimum de 60 jours pour récupérer l'intégralité de vos données via les exports standards. Nous nous engageons à publier les instructions de récupération même hors maintenance commerciale.

Une question précise sur votre cas d'usage ?

Architectes, bureaux d'études, entreprises de BTP — chaque métier a ses contraintes de confidentialité. Écrivez-nous, on répond personnellement et précisément.

Parler à l'équipe Tester sans engagement
En ce moment sur ColAxess 60 documents ce jour 67 utilisateurs actifs