Parycy
Protection du service

Sécurité

Mesures de sécurité prévues pour protéger les comptes, les accès, les imports et les données d'activité traitées par Parycy.

Mise à jour : 2 juillet 2026

Parycy est un outil d'analyse et d'aide à la décision. Il ne remplace pas un expert-comptable, un conseiller juridique, fiscal ou financier.

Principes de sécurité

Parycy est conçu pour limiter l'accès aux données au strict nécessaire : authentification, contrôle des droits, vérifications côté serveur, isolation par utilisateur et protection des secrets techniques.

La sécurité repose aussi sur les bons usages de l'utilisateur : protéger ses identifiants, vérifier les personnes invitées sur une activité, importer uniquement les fichiers utiles et signaler rapidement toute situation suspecte.

Authentification et accès au compte

L'accès à l'espace applicatif nécessite une authentification. Les routes protégées vérifient la session avant d'afficher les pages, données, rapports ou exports liés à une activité.

L'utilisateur doit conserver son mot de passe confidentiel, éviter le partage de compte et utiliser une adresse e-mail dont il maîtrise l'accès. En cas de doute, il doit modifier son mot de passe et contacter Parycy.

Droits par activité

Les accès aux activités sont contrôlés côté serveur. Un propriétaire, un administrateur local ou un membre en lecture ne doit accéder qu'aux activités et actions correspondant à ses droits.

Les actions sensibles comme l'administration des comptes, la gestion des membres, les réinitialisations d'accès, les transferts d'activité ou les changements de statut peuvent être journalisées afin de conserver une trace exploitable en cas d'incident.

Isolation des données

Les données métier sont isolées par utilisateur et par activité. Les lectures et écritures sensibles doivent être filtrées par propriétaire ou rattachement autorisé, y compris lorsque la navigation passe par une page, une action serveur, un export ou un rapport.

La base de données doit appliquer la sécurité au niveau des lignes lorsque les tables métier l'exigent. Ces règles complètent les contrôles applicatifs et limitent le risque d'accès croisé entre comptes.

Protection des secrets

Les clés serveur, secrets techniques, jetons d'administration et variables sensibles ne doivent jamais être exposés côté navigateur, dans un dépôt public, dans un export ou dans un message d'erreur visible.

Seules les variables explicitement publiques peuvent être utilisées côté client. Les accès d'administration, les écritures sensibles et les opérations Supabase privilégiées doivent rester exécutés côté serveur.

Données importées

Les fichiers importés sont traités pour contrôler, nettoyer, structurer et analyser les données demandées par l'utilisateur. Les erreurs d'import, colonnes manquantes, lignes invalides et données partielles doivent être signalées sans exposer inutilement le contenu du fichier.

L'utilisateur doit éviter d'importer des données sensibles ou sans lien avec l'analyse métier. Les exports, rapports et fichiers nettoyés doivent rester accessibles uniquement aux comptes autorisés sur l'activité concernée.

Sécurité des traitements et exports

Les calculs, rapports, fichiers nettoyés et exports doivent respecter le même périmètre d'accès que les données sources. Un export ne doit pas révéler les données d'un autre compte, d'une autre activité ou d'un utilisateur non autorisé.

Les messages d'erreur doivent rester compréhensibles sans divulguer de détail technique sensible. Les informations utiles au diagnostic peuvent être conservées côté serveur lorsque cela est nécessaire à la maintenance ou à la sécurité.

Infrastructure et prestataires

Parycy s'appuie sur des prestataires techniques pour l'hébergement, l'authentification, la base de données, le stockage et le déploiement. Les accès à ces services doivent être limités aux personnes habilitées et aux besoins opérationnels.

En production, les échanges avec le service doivent être protégés par HTTPS. Les environnements de développement, de prévisualisation et de production doivent conserver des variables séparées afin d'éviter l'exposition ou la confusion de données.

Signalement

Toute vulnérabilité, suspicion d'accès non autorisé, exposition de données, comportement anormal ou incident de sécurité peut être signalé depuis la page Contact.

Pour faciliter le traitement, le signalement peut préciser l'adresse du compte concerné, la page ou l'activité touchée, la date approximative, les étapes observées et toute capture utile sans partager de secret, mot de passe ou donnée sensible inutile.

Limites et mise à jour

Aucune mesure de sécurité ne supprime totalement le risque d'incident. Parycy maintient cette page pour préciser les pratiques applicables au service et l'enrichir lorsque l'architecture, les prestataires ou les procédures évoluent.

Les informations publiées ici décrivent les principes de sécurité du service. Les engagements contractuels, certifications, sous-traitants détaillés ou procédures complémentaires pourront être précisés dans un centre de confiance ou une documentation dédiée.