Sécurité & Confidentialité

Authentification

Connexion sans mot de passe

CryptaCount utilise un modèle d’authentification sans mot de passe :

Méthode principale — Connexion via un fournisseur avec 5 fournisseurs :

• Google, Microsoft, Xero, Intuit (QuickBooks), Zoho

Méthode secondaire — Code à usage unique par e-mail :

• Demandez un code à 6 chiffres envoyé à votre e-mail
• Saisissez le code pour vous authentifier
• Fonctionne aussi bien pour la connexion que pour l’inscription

Il n’y a aucun mot de passe à mémoriser, réinitialiser ou susceptible d’être volé.

Authentification à deux facteurs optionnelle

L’authentification à deux facteurs est disponible en tant que module complémentaire optionnel pour les utilisateurs souhaitant une sécurité renforcée :

• Activez dans Settings → Security
• Compatible avec toute application d’authentification (Google Authenticator, Authy, 1Password, etc.)
• Codes de sauvegarde fournis lors de la configuration pour la récupération de compte
• Peut être activée, désactivée ou réinitialisée depuis les paramètres de sécurité

Gestion des sessions

• Votre session reste active pour éviter des reconnexions répétées. Cocher « Remember me » prolonge la durée de session.
• Consultez toutes les sessions actives dans Settings → Security
• Révoquez des sessions individuelles, toutes les autres sessions, ou toutes les sessions

Protection contre les bots

• La connexion et l’inscription sont protégées par une détection invisible des bots pour prévenir les attaques automatisées
• La vérification s’effectue silencieusement en arrière-plan — aucune résolution de puzzle requise
• Si vous êtes bloqué de façon inattendue, essayez de vider les cookies de votre navigateur, de désactiver les extensions susceptibles d’interférer, ou d’utiliser un autre navigateur

Limitation du débit

Les requêtes d’authentification et de données sont soumises à une limitation de débit par IP et par e-mail pour prévenir les attaques par force brute et les abus. Les actions liées à l’authentification ont des limites plus strictes que les actions sur les données.

Intégrité des données — chaîne de hachage des journaux

Chaque écriture comptable est hachée cryptographiquement dans une chaîne. Le hachage inclut le contenu de l’écriture et le hachage de l’écriture précédente, formant une chaîne séquentielle. Si une écriture est modifiée, tous les hachages suivants deviennent invalides, rendant toute falsification immédiatement détectable.

Cela fournit une preuve d’audit que le grand livre comptable n’a pas été modifié rétroactivement — une exigence fondamentale pour les audits financiers. La chaîne de hachage peut être vérifiée via le contrôle de rapprochement Ledger Integrity.

Chiffrement des clés API des plateformes d’échange

Les clés API des plateformes d’échange centralisées sont stockées chiffrées au repos :

• Les clés sont chiffrées avant le stockage
• CryptaCount n’a jamais besoin d’un accès en écriture aux comptes d’échange — uniquement des droits de lecture
• Vous pouvez vérifier le statut des clés depuis vos paramètres de connexion aux plateformes d’échange

Piste d’audit

CryptaCount maintient une piste d’audit complète :

• Toutes les actions utilisateur sont enregistrées avec horodatages, identité de l’utilisateur et contexte de l’espace de travail
• Consultez votre activité personnelle dans Settings → Activity Log
• Les événements liés à la sécurité (échecs de connexion, modifications d’autorisations) sont suivis séparément

Contrôle d’accès

CryptaCount applique un système de contrôle d’accès basé sur les rôles :

Niveau	Rôles	Périmètre
Company	Owner, Manager, Member, Viewer	Accès au niveau de la société
Workspace	Owner, Manager, Member, Viewer	Accès au niveau de l’espace de travail
Permissions	42 autorisations granulaires	Actions par ressource (consulter, créer, modifier, supprimer, synchroniser, passer, etc.)

Les vérifications des rôles sont appliquées à chaque action, pas uniquement dans l’interface.

CryptaCount accède-t-il à mes wallets ou comptes d’échange ?

Wallets blockchain : CryptaCount lit les données on-chain publiquement disponibles pour les adresses de wallet que vous fournissez. Il n’a jamais accès aux clés privées, phrases de récupération ou à la capacité d’envoyer des transactions.

Connexions aux plateformes d’échange : Les clés API ne nécessitent que des droits de lecture. CryptaCount n’a jamais besoin d’un accès en écriture. Les clés sont stockées chiffrées (voir ci-dessus).

CryptaCount est-il conforme au RGPD ?

Oui. La plateforme met en œuvre :

• Consentement aux cookies en deux couches avec Google Consent Mode v2
• Base juridique du traitement des données : Nécessité contractuelle pour la comptabilité ; consentement pour les analyses
• Droits des personnes concernées : Accès, rectification, effacement et portabilité via les paramètres du compte
• Politique de confidentialité et Conditions d’utilisation : Divisées géographiquement pour l’UE et le reste du monde

Puis-je supprimer mes données ?

Oui :

• Supprimer un espace de travail — supprime toutes les données qu’il contient (transactions, journaux, rapports, configuration). Nécessite le rôle Owner. Irréversible.
• Supprimer un wallet — supprime le wallet et toutes les données de transaction associées. Irréversible.
• Supprimer votre compte — supprime votre compte utilisateur et toutes les données associées.
• Effacement RGPD — demande formelle d’effacement des données via les paramètres du compte ou le support.

Que se passe-t-il avec mes données si je résilie mon abonnement ?

Après la résiliation, votre espace de travail passe en mode lecture seule pendant 90 jours. Vous pouvez toujours consulter et tout exporter. Après 90 jours, les données sont planifiées pour suppression. Réactivez pendant la période de rétention pour rétablir l’accès complet.