M Margeo
  1. Accueil
  2. Sécurité
Sécurité · mis à jour le 15 mai 2026

Sécurité Margeo : comment vos données de revente sont protégées

Margeo gère des informations sensibles : chiffre d'affaires, marges, plateformes utilisées, parfois pièces justificatives. Cette page documente les mesures techniques et juridiques en place pour protéger vos données, de manière factuelle et sans exagération. Tout est vérifiable sur les pages d'audit de nos prestataires.

Tester Margeo gratuitement À propos de Margeo
Engagement

Approche RGPD-friendly par défaut

Margeo a été conçu en 2024 avec le RGPD comme contrainte fondatrice, pas comme couche ajoutée. Cela signifie : collecte minimale de données (uniquement ce qui est nécessaire au service), choix volontaire de prestataires européens ou certifiés EU-US Data Privacy Framework, et droits utilisateurs accessibles directement depuis l'application.

Nous ne demandons pas votre date de naissance, pas votre numéro de téléphone, pas votre adresse postale. Seuls votre adresse e-mail et un mot de passe sont obligatoires pour créer un compte. Les autres informations (SIRET, plateformes, articles) restent optionnelles et utilisables uniquement par vous.

Transparence

Page factuelle, pas marketing

Cette page documente ce que Margeo fait aujourd'hui, pas ce que Margeo pourrait faire dans l'idéal. Quand une mesure n'est pas en place (par exemple : certification ISO 27001 propriétaire), nous le disons clairement et expliquons pourquoi.

Pour toute question complémentaire, écrivez à contact@margeoapp.com. Pour signaler une vulnérabilité, voir la section Responsible disclosure.

1. Chiffrement des communications

En transit

HTTPS TLS 1.3 partout

Tout le trafic entre votre navigateur (ou l'app PWA) et les serveurs Margeo passe par HTTPS avec TLS 1.3 (TLS 1.2 maintenu uniquement pour les anciens navigateurs). Aucun fallback non chiffré n'est possible : un visiteur tentant d'accéder à http://margeoapp.com est redirigé en 301 vers https.

Le certificat TLS est émis par Cloudflare avec renouvellement automatique. Les suites de chiffrement faibles (RC4, 3DES, CBC) sont désactivées. Note SSL Labs : A+ (audit public).

Renforcement

HSTS preload soumis

Margeo applique le header HTTP Strict Transport Security (HSTS) avec une durée de 1 an, includeSubDomains et preload. Le domaine margeoapp.com est soumis au registre de préchargement HSTS de Chromium, qui est partagé par Chrome, Firefox, Safari et Edge. Une fois inclus, aucune connexion non chiffrée n'est possible sur margeoapp.com, même pour un premier visiteur.

En-têtes de sécurité

CSP, X-Frame-Options, Referrer-Policy

Les en-têtes de sécurité HTTP suivants sont configurés via Cloudflare Pages et le fichier _headers : Content-Security-Policy stricte (sources limitées), X-Frame-Options: DENY (anti-clickjacking), X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, Permissions-Policy minimaliste.

2. Isolation et contrôle d'accès

Authentification

Firebase Authentication

Margeo délègue l'authentification à Firebase Authentication (Google Cloud). Les mots de passe ne sont jamais stockés en clair : Firebase utilise le hashing Scrypt avec sel personnalisé, conforme aux meilleures pratiques. La connexion par Google OAuth est également proposée pour éviter de gérer un mot de passe supplémentaire.

Aucune session ne reste active indéfiniment : les tokens JWT expirent après 1h et sont automatiquement renouvelés tant que la session est active. Un mot de passe perdu se réinitialise par e-mail signé.

Isolation côté base

Firestore Security Rules strictes

Toutes les données utilisateurs (articles, ventes, packs, simulations) sont protégées par des règles Firestore qui interdisent à un utilisateur d'accéder aux données d'un autre. Une règle simplifiée : un document /users/{uid}/items/{itemId} n'est lisible et modifiable que si la requête est authentifiée et si request.auth.uid == uid.

Les règles sont versionnées et auditables (fichier firestore.rules public dans le repo). Tests automatisés sur les chemins critiques.

Workspaces multi-utilisateurs

Permissions granulaires (Business)

Les utilisateurs du plan Business peuvent inviter des collaborateurs (jusqu'à 5) avec trois niveaux de permission : owner (tout), editor (CRUD articles/ventes), viewer (lecture seule). Chaque action est tracée avec un log immutable côté Firestore, accessible au propriétaire du workspace.

3. Hébergement et localisation des données

Composant Prestataire Localisation Certifications
Site web (margeoapp.com)Cloudflare PagesPOP Europe (Paris, Francfort, Amsterdam)ISO 27001, SOC 2 Type II
Base de données utilisateursFirebase Firestoreeurope-west1 (Belgique) + europe-west3 (Francfort)ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3
AuthentificationFirebase AuthMulti-régions UEISO 27001, SOC 2
Photos utilisateurs (Pro/Business)CloudinaryUE (datacenters en Irlande / Allemagne)ISO 27001, SOC 2
PaiementsStripeUE (Irlande, France)PCI-DSS Level 1, SOC 1/2
AnalyticsUmami (cloud) + Google Analytics 4UE / EU-US Data Privacy FrameworkGDPR-compliant
IA fiscalitéCloudflare Workers AI (Llama 3.3 70B)Edge UE, pas de stockage de promptsISO 27001 (Cloudflare)

Aucune donnée utilisateur n'est transférée hors UE pour stockage. Les transferts résiduels (Google Analytics, certaines API) reposent sur les Clauses Contractuelles Types et le EU-US Data Privacy Framework.

4. Sauvegardes et continuité

Backups automatiques

Firestore PITR + exports quotidiens

Firebase Firestore intègre un mécanisme Point-in-Time Recovery (PITR) avec une fenêtre de 7 jours : nous pouvons restaurer la base à un instant T au cours de la dernière semaine. En complément, un export complet de la base est déclenché chaque nuit vers un bucket Google Cloud Storage situé en UE, conservé 30 jours.

Disponibilité

SLA 99,95% côté Google Cloud

Firebase Firestore offre un SLA de 99,95% (multi-régions). Cloudflare Pages affiche une disponibilité moyenne supérieure à 99,99%. Margeo, en tant qu'orchestrateur, vise une disponibilité utilisateur supérieure à 99,9%. Le statut en temps réel est consultable sur les status pages publiques des deux prestataires.

Vous gardez la main

Export à tout moment

Tout utilisateur peut, à tout moment et sans demande préalable, exporter l'intégralité de ses données depuis l'application en format JSON ou CSV. Cet export inclut articles, ventes, packs, simulations, profil. Cette portabilité garantit qu'aucune donnée utilisateur n'est captive de Margeo.

5. Non-revente et minimisation des données

Margeo s'engage par écrit à ne jamais revendre, louer ni partager les données de ses utilisateurs à des annonceurs, courtiers ou plateformes tierces. Cet engagement est repris dans les mentions légales et CGU.

Données collectées

Minimalisme assumé

  • Obligatoires : adresse e-mail, mot de passe (hashé)
  • Optionnelles : prénom, SIRET, régime fiscal, plateformes
  • Métier : articles, lots, ventes, photos (uniquement les vôtres)

Aucune date de naissance, aucun numéro de téléphone, aucune adresse postale.

Cookies

Zéro cookie publicitaire

Margeo ne pose aucun cookie publicitaire ni tracker tiers (Facebook Pixel, TikTok Pixel, etc.). Seuls quelques cookies fonctionnels (session, préférences) et analytics anonymisés (Google Analytics 4 avec IP anonymisée, Umami) sont déposés. Bannière de consentement conforme CNIL avec choix granulaire et opt-out persistant.

IA et confidentialité

Vos questions IA ne nourrissent pas le modèle

L'assistant IA fiscalité utilise Cloudflare Workers AI (Llama 3.3 70B). Aucun prompt utilisateur n'est conservé pour entraîner ou améliorer le modèle. Les conversations restent privées et accessibles uniquement depuis votre compte. Vous pouvez les supprimer à tout moment.

6. Vos droits RGPD

Le règlement européen général sur la protection des données (RGPD) vous garantit six droits sur vos données personnelles. Voici comment les exercer sur Margeo, concrètement.

Droit RGPD Comment l'exercer sur Margeo Délai de réponse
Droit d'accèsBouton "Exporter mes données" dans l'application (JSON/CSV) ou e-mail à contact@margeoapp.comImmédiat (export) / 30 jours (e-mail)
Droit de rectificationModifier directement dans l'application (profil, articles, ventes) ou e-mail à contact@margeoapp.comImmédiat
Droit à l'effacementBouton "Supprimer mon compte" dans les paramètres, avec confirmation par e-mailSous 7 jours (purge complète) / 30 jours (backups)
Droit à la portabilitéExport JSON / CSV depuis l'application, standard ouvertImmédiat
Droit d'oppositionDésactiver les analytics et notifications dans les paramètresImmédiat
Droit à la limitationE-mail à contact@margeoapp.com avec justificationSous 30 jours

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL, autorité de contrôle française.

Responsible disclosure

Signaler une faille de sécurité

Margeo accueille avec bienveillance les signalements de vulnérabilités. Si vous découvrez une faille de sécurité (XSS, injection, fuite de données, contournement des règles Firestore, etc.), suivez la procédure ci-dessous :

  1. Envoyez un e-mail détaillé à contact@margeoapp.com avec sujet "Security disclosure".
  2. Incluez : un descriptif technique, l'URL ou l'endpoint concerné, un proof-of-concept reproductible, votre nom (ou pseudo) pour les remerciements éventuels.
  3. Attendez notre confirmation avant toute divulgation publique (typiquement 90 jours, négociables selon la gravité).

Engagements de Margeo :

  • Réponse sous 48h ouvrées à toute soumission sérieuse.
  • Aucune poursuite contre un chercheur agissant de bonne foi (pas de scan agressif, pas d'extraction massive, pas d'atteinte à la disponibilité, pas d'accès aux données d'autres utilisateurs).
  • Mention du chercheur sur une page de remerciements (avec accord), une fois la correction déployée.
  • Bug bounty : pas de programme officiel à ce stade (projet bootstrap), mais les contributions sérieuses peuvent recevoir un abonnement Pro/Business offert.

Questions fréquentes sur la sécurité Margeo

Où sont hébergées les données de mes ventes Margeo ?

Toutes les données utilisateurs (articles, ventes, packs, photos) sont stockées sur Firebase Firestore avec des data centers en Europe (régions europe-west1 et europe-west3). Le site est servi par Cloudflare Pages avec POP européens. Les photos sont stockées sur Cloudinary, datacenters en UE. Aucune donnée utilisateur n'est transférée hors UE pour le stockage.

Margeo chiffre-t-il mes données ?

Oui. En transit : tout le trafic est chiffré en HTTPS TLS 1.3 avec HSTS et soumission au préchargement HSTS. Au repos : Firestore chiffre toutes les données stockées en AES-256 côté Google Cloud, sans configuration nécessaire. Les mots de passe ne sont jamais stockés en clair : Margeo utilise Firebase Authentication avec hashing Scrypt géré par Google.

Margeo revend-il mes données à des tiers ?

Non. Margeo ne revend, ne loue ni ne partage aucune donnée utilisateur à des annonceurs, courtiers ou plateformes tierces. Le modèle économique repose uniquement sur les abonnements Pro et Business. Aucun cookie publicitaire ni tracker tiers n'est embarqué (hors Google Analytics 4 anonymisé et Umami, opt-out possibles).

Comment exercer mes droits RGPD ?

Vos droits RGPD (accès, rectification, portabilité, suppression, opposition, limitation) s'exercent par e-mail à contact@margeoapp.com. Une fonction d'export complet de vos données au format JSON est disponible directement depuis l'application. La suppression définitive du compte et des données associées se fait en un clic depuis votre profil, avec confirmation par e-mail.

Que se passe-t-il si je trouve une faille de sécurité ?

Margeo applique un programme de responsible disclosure : signalez toute vulnérabilité à contact@margeoapp.com avec un descriptif technique et, idéalement, un proof-of-concept. Aucune poursuite ne sera engagée contre un chercheur agissant de bonne foi. Réponse sous 48h, correction priorisée selon la gravité, mention du chercheur sur la page de remerciements (avec accord).

Margeo a-t-il un certificat ISO 27001 ou SOC 2 ?

Pas (encore) de certification propriétaire — ces audits coûteraient plus de 30 000€ et ne se justifient pas à notre échelle actuelle. Margeo s'appuie sur la conformité ISO 27001, SOC 2 et SOC 3 de ses prestataires : Google Cloud / Firebase (certifiés ISO 27001/27017/27018, SOC 1/2/3), Cloudflare (ISO 27001, SOC 2 Type II), Cloudinary (ISO 27001), Stripe (PCI-DSS Level 1).

Tester Margeo l'esprit tranquille

Le plan Starter est gratuit à vie, sans CB demandée. Vos données restent en UE, vous pouvez les exporter ou supprimer votre compte en un clic.

Créer mon compte gratuit À propos de Margeo