Aller au contenu
Lexiik
rollback

Sécurité API : Protection des données et conformité RGPD

Dernière mise à jour : 9 février 2026

La sécurité de vos données est notre priorité absolue. Découvrez comment Lexiik protège vos informations sensibles avec les standards de sécurité les plus élevés de l'industrie, tout en garantissant une conformité totale au RGPD.

Certification ISO 27001

Lexiik est certifié ISO 27001 (sécurité de l'information) et audité annuellement par un organisme indépendant. Vos données sont protégées selon les normes internationales les plus strictes.

Architecture de sécurité Lexiik

La sécurité de Lexiik repose sur une approche Defense in Depth (défense en profondeur) avec plusieurs couches de protection indépendantes. Même si une couche est compromise, les autres garantissent la protection de vos données.

Chiffrement en transit (TLS 1.3)

Toutes les communications entre votre boutique et les serveurs Lexiik sont chiffrées en TLS 1.3, le protocole de sécurité le plus récent et le plus robuste :

  • Perfect Forward Secrecy (PFS) : Même si une clé est compromise, les communications passées restent sécurisées
  • Certificats SSL wildcard : *.lexiik.com et cdn.lexiik.com avec renouvellement automatique
  • HSTS activé : Force le navigateur à toujours utiliser HTTPS (pas de downgrade possible vers HTTP)
  • TLS 1.0/1.1 désactivés : Protocoles obsolètes bloqués, seuls TLS 1.2 et 1.3 sont acceptés

Bon à savoir

Score A+ sur SSL Labs (test de référence de la sécurité SSL). Vous pouvez vérifier notre configuration à tout moment sur ssllabs.com.

Chiffrement au repos (AES-256)

Toutes les données stockées sur les serveurs Lexiik sont chiffrées avec l'algorithme AES-256 (Advanced Encryption Standard, clé de 256 bits), considéré comme incassable par la NSA elle-même :

  • Base de données : Chiffrement complet de PostgreSQL avec Transparent Data Encryption (TDE)
  • Snapshots : Chaque snapshot est chiffrée individuellement avec une clé unique dérivée
  • Images : Les images originales (avant optimisation CDN) sont chiffrées sur le stockage S3
  • Logs : Journaux d'audit chiffrés et signés cryptographiquement (impossibles à falsifier)

Les clés de chiffrement sont elles-mêmes chiffrées avec une Master Key stockée dans un HSM (Hardware Security Module) physiquement sécurisé dans nos datacenters européens.

Isolation des tenants (Multi-tenancy sécurisé)

Lexiik est une plateforme multi-tenant, ce qui signifie que plusieurs clients partagent la même infrastructure. Pour garantir l'isolation totale entre les comptes :

  • Row-Level Security (RLS) : Chaque requête SQL filtre automatiquement les données par account_id
  • Namespaces isolés : Les clés API, webhooks et jobs asynchrones sont isolés par tenant
  • Rate limiting par compte : Un client malveillant ne peut pas impacter les performances des autres
  • Quotas par ressource : CPU, RAM, stockage, bande passante limitée par plan (fair-use policy)

Plan Enterprise : Dedicated Infrastructure

Les clients Enterprise peuvent opter pour une infrastructure dédiée (serveurs et base de données isolés) pour une isolation physique totale. Contact : [email protected]

Authentification et autorisation API

Clés API : Génération et rotation

L'API Lexiik utilise des clés API secrètes pour authentifier les requêtes provenant de votre boutique (via le Bridge) ou de vos intégrations personnalisées :

  • Format : lxk_live_xxxxxxxxxxxxxxxxxxxxx (préfixe pour environnement live) ou lxk_test_xxxxxxxxxxxxxxxxxxxxx (préfixe pour environnement de test)
  • Longueur : 64 caractères (256 bits d'entropie, soit 2^256 combinaisons possibles = 10^77)
  • Stockage : Hashées en bcrypt (coût 12) dans la base de données, jamais stockées en clair
  • Rotation recommandée : Tous les 90 jours pour les plans Pro et supérieurs

Génération d'une clé API :

  1. Allez dans Paramètres > API et intégrations
  2. Cliquez sur Générer une nouvelle clé API
  3. Nommez la clé (ex : "Bridge Production" ou "Script de migration")
  4. Copiez la clé affichée (elle ne sera plus jamais affichée !)
  5. Stockez-la dans un gestionnaire de secrets (1Password, Bitwarden, Vault, etc.)

Attention

Important : ne commitez JAMAIS une clé API dans Git, même dans un dépôt privé. Utilisez des variables d'environnement (.env) et ajoutez .env à votre .gitignore.

Scopes et permissions granulaires

Chaque clé API peut avoir des permissions limitées (principe du moindre privilège) :

  • read:products : Lire les fiches produits
  • write:products : Créer et modifier des fiches produits
  • read:audits : Consulter les rapports d'audit SEO
  • write:audits : Lancer un audit (consomme des crédits)
  • read:snapshots : Accéder à l'historique (Rollback)
  • write:snapshots : Restaurer une snapshot (action sensible)
  • admin:all : Accès complet (à réserver aux administrateurs)

Exemple : une clé API utilisée uniquement pour afficher les KPIs sur un dashboard interne peut être limitée à read:products et read:audits.

Rate limiting et protection anti-abus

L'API Lexiik implémente un rate limiting strict pour éviter les abus et garantir la disponibilité :

  • Plan Gratuit : 100 requêtes / heure
  • Plan Starter : 500 requêtes / heure
  • Plan Pro : 2 000 requêtes / heure
  • Plan Expert : 10 000 requêtes / heure
  • Plan Enterprise : Illimité (fair-use policy avec alerte à 50 000 req/h)

En cas de dépassement, l'API retourne un code HTTP 429 Too Many Requests avec un header Retry-After indiquant combien de secondes attendre.

Bon à savoir

Le Bridge Lexiik (module pour CMS) bénéficie d'un rate limit plus élevé car les requêtes sont regroupées (batch processing). Une synchronisation de 1000 produits = 1 seule requête API.

Conformité RGPD (Règlement Général sur la Protection des Données)

Lexiik respecte intégralement le RGPD (Règlement Européen 2016/679) et applique les principes de Privacy by Design dès la conception de chaque fonctionnalité.

Hébergement 100% européen

Toutes vos données sont hébergées exclusivement en Union Européenne :

  • Datacenter principal : OVHcloud Gravelines (France)
  • Réplication secondaire : OVHcloud Strasbourg (France)
  • Réplication tertiaire : Hetzner Falkenstein (Allemagne)
  • CDN Edge : 35 points de présence mondiaux, mais données sensibles jamais cachées en dehors de l'UE

Vos données ne transitent JAMAIS par les États-Unis ni par aucun pays hors UE. Nous n'utilisons pas AWS, Google Cloud ou Azure (fournisseurs soumis au Cloud Act américain).

Succès

Lexiik est enregistré auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) et dispose d'un DPO (Data Protection Officer) certifié.

Minimisation des données collectées

Lexiik ne collecte que les données strictement nécessaires au fonctionnement du service :

Données collectées :

  • Email (authentification et notifications)
  • Nom et prénom (facturation)
  • Données de paiement (stockées par Stripe, certifié PCI-DSS niveau 1)
  • Fiches produits (titre, description, images, prix public, catégories)
  • Logs techniques (IP, user-agent, horodatage) conservés 90 jours maximum

Données JAMAIS collectées :

  • Données personnelles de vos clients finaux (emails, adresses, historique d'achat)
  • Numéros de carte bancaire (délégué à Stripe)
  • Mots de passe en clair (hashés en Argon2id)
  • Données de navigation sur votre boutique (nous ne sommes pas un outil d'analytics)

Vos droits RGPD

Vous bénéficiez de tous les droits prévus par le RGPD, directement accessibles depuis votre compte Lexiik :

  • Droit d'accès (Art. 15) : Télécharger toutes vos données au format JSON (Paramètres > Exporter mes données)
  • Droit de rectification (Art. 16) : Modifier vos informations personnelles à tout moment
  • Droit à l'effacement (Art. 17) : Supprimer définitivement votre compte et toutes vos données (Paramètres > Supprimer mon compte)
  • Droit à la portabilité (Art. 20) : Exporter vos données dans un format standard (JSON, CSV)
  • Droit d'opposition (Art. 21) : Refuser le traitement de certaines données (ex : emails marketing)
  • Droit de limitation (Art. 18) : Suspendre temporairement le traitement de vos données

Pour exercer vos droits ou contacter notre DPO : [email protected]

Bon à savoir

Délai de réponse garanti : 72 heures pour une demande d'accès, 30 jours maximum pour une suppression complète (conformément à l'Art. 12 du RGPD).

Audits de sécurité et certifications

Pentests réguliers

Lexiik fait l'objet de tests d'intrusion (pentests) réguliers par des cabinets spécialisés :

  • Fréquence : 1 pentest complet tous les 6 mois (plans Pro et Enterprise)
  • Périmètre : Application web, API, infrastructure, Bridge (modules CMS)
  • Méthodologie : OWASP Testing Guide v4.2 + PTES (Penetration Testing Execution Standard)
  • Rapport : Rapport d'audit disponible sur demande pour les clients Enterprise

Les vulnérabilités critiques et hautes sont corrigées sous 48 heures, les vulnérabilités moyennes sous 7 jours, les vulnérabilités basses sous 30 jours.

Programme de Bug Bounty

Lexiik opère un programme de Bug Bounty (récompense de vulnérabilité) pour encourager les chercheurs en sécurité à signaler les failles :

  • Plateforme : YesWeHack (plateforme européenne de bug bounty)
  • Récompenses : 100€ à 5000€ selon la criticité (CVSS score)
  • Scope : app.lexiik.com, api.lexiik.com, cdn.lexiik.com, modules Bridge
  • Délai de réponse : Moins de 24 heures pour les rapports valides

Accès au programme : yeswehack.com/programs/lexiik

Certifications et conformités

Lexiik détient les certifications suivantes :

  • ISO 27001 : Sécurité de l'information (audité par Bureau Veritas)
  • SOC 2 Type II : Disponibilité, confidentialité, intégrité (en cours de certification)
  • RGPD : Conformité totale, DPO certifié, enregistré CNIL
  • HDS (Hébergeur de Données de Santé) : Non applicable (e-commerce uniquement)
  • PCI-DSS niveau 1 : Via Stripe (processeur de paiement)

Fonction Premium

Les clients Enterprise peuvent demander un audit de conformité personnalisé (SOC 2, ISO 27001, etc.) pour répondre à leurs exigences internes.
Contacter l'équipe Enterprise →

Bonnes pratiques de sécurité pour les utilisateurs

Gestion des clés API

Pour garantir la sécurité de votre compte, suivez ces bonnes pratiques :

  • Ne jamais partager une clé API : Créez une clé dédiée par service/développeur
  • Rotation régulière : Changez vos clés tous les 90 jours (automatisable via API)
  • Nommez vos clés : "Bridge Production", "Script Analytics", "Intégration Zapier", etc.
  • Révoquez les clés inutilisées : Supprimez les clés des anciens prestataires ou scripts désactivés
  • Variables d'environnement : Jamais de clé en dur dans le code source

Sécurité des mots de passe

Votre compte Lexiik est protégé par les mesures suivantes :

  • Hashage Argon2id : Algorithme recommandé par l'OWASP (résistant aux GPU et ASIC)
  • Salt unique : Chaque mot de passe a un salt aléatoire de 128 bits
  • Politique de complexité : Minimum 12 caractères, au moins 1 majuscule, 1 chiffre, 1 caractère spécial
  • Protection anti-bruteforce : Blocage après 5 tentatives échouées (déblocage par email)
  • 2FA disponible : Authentification à deux facteurs via TOTP (Google Authenticator, Authy) - fortement recommandée

Activez le 2FA

L'activation de l'authentification à deux facteurs réduit de 99,9% le risque de piratage de compte, même si votre mot de passe est compromis. Activez-le depuis Paramètres > Sécurité.

Surveillance de votre compte

Lexiik vous alerte automatiquement en cas d'activité suspecte :

  • Connexion depuis un nouveau pays : Email avec lien de confirmation
  • Nouveau device : Notification push si l'app mobile est installée
  • Création de clé API : Email récapitulatif avec nom et permissions
  • Modification du moyen de paiement : Double confirmation par email + SMS
  • Tentatives de connexion échouées : Alerte après 3 échecs

Consultez l'historique complet des connexions depuis Paramètres > Activité du compte.

En résumé

La sécurité de Lexiik repose sur une approche multi-couches (Defense in Depth) avec les standards les plus élevés de l'industrie :

  • Chiffrement : TLS 1.3 en transit + AES-256 au repos
  • Authentification : Clés API 256 bits + 2FA disponible
  • Hébergement : 100% européen (France + Allemagne), jamais aux USA
  • Conformité : RGPD complet, ISO 27001, SOC 2 Type II en cours
  • Audits : Pentests semestriels + Bug Bounty actif

Vos données sont protégées avec le même niveau de sécurité que les banques en ligne et les institutions financières.

Succès

Vous avez des questions ou des exigences de sécurité spécifiques ? Notre équipe Security est à votre disposition.
Contacter l'équipe sécurité →

Articles liés : La Garantie Rollback · Rétention des données · Connecter sa boutique