Ultiplace - Plateforme de salons professionnels
Offre Ultiplace

Sécurité, RGPD, hébergement : Ultiplace protège vos données

Ultiplace est une plateforme française **conforme RGPD nativement** : toutes les données (visiteurs, exposants, conférences, paiements) sont stockées en Union européenne. L'éditeur REALITIM (Nantes) fournit un DPA signable, gère la moindre opération en Europe et applique les standards de sécurité attendus en SaaS B2B.

Par Équipe Ultiplace · Publié le 18 mai 2026

Hébergement : 100 % UE

Infrastructure cloud en Europe

Ultiplace s'engage à héberger l'intégralité de ses services au sein de l'Union européenne, garantissant ainsi une conformité stricte avec les directives du RGPD. L'utilisation de régions cloud européennes pour chaque composant de la plateforme assure non seulement la sécurité des données, mais aussi une latence réduite pour les utilisateurs européens.

  • Front-end (Next.js) : hébergé par Vercel dans des régions edge européennes, optimisant la vitesse d'accès aux interfaces utilisateurs.
  • Données métier : stockées dans Firebase Firestore, région 'eur3', couvrant la Belgique et les Pays-Bas, pour une redondance et une résilience accrues.
  • Médias et assets : les fichiers multimédias sont hébergés dans Firebase Storage en région UE, tandis que les vidéos lourdes sont sur AWS S3 'eu-west-3' à Paris.

Services critiques et conformité

Les services critiques tels que le streaming live et les paiements sont également opérés en Europe, renforçant la conformité et la sécurité.

  • Streaming live : assuré par AWS IVS en région 'eu-west-3' (Paris), garantissant une diffusion fluide et sécurisée des événements.
  • Paiement : géré par Stripe, qui est conforme aux normes PCI-DSS et RGPD, garantissant la sécurité des transactions financières.
  • Authentification : les données des utilisateurs sont sécurisées par Firebase Auth, avec un stockage exclusivement européen.

Gestion des exceptions

Bien que la majorité des opérations soient confinées à l'UE, certains services nécessitent des interactions minimales avec des infrastructures hors UE. Par exemple, Sentry pour les logs d'erreur et Stripe pour la facturation internationale. Ces interactions sont strictement encadrées par les clauses contractuelles types (SCC) établies par la Commission européenne, assurant une protection adéquate des données lors de ces rares transferts.

Avantages pour les salons

Pour des événements comme le CES ou le Salon de l'Automobile, cette approche garantit que les données des exposants et des visiteurs sont protégées selon les normes les plus élevées, tout en bénéficiant d'une infrastructure performante et résiliente. Ultiplace s'assure ainsi que chaque interaction sur la plateforme respecte les réglementations européennes, offrant une tranquillité d'esprit aux organisateurs et participants.

Sous-traitants et chaîne RGPD

Documentation et transparence

Ultiplace maintient une documentation exhaustive de ses sous-traitants dans le contrat de traitement des données (DPA), accessible directement depuis l'espace utilisateur ou sur demande pour les formules Enterprise. Cette transparence permet aux utilisateurs de comprendre comment leurs données sont gérées et par qui.

  • REALITIM EURL : en tant que responsable de traitement principal, gère les comptes et les opérations d'Ultiplace.
  • Google LLC / Firebase : utilisé pour le stockage et l'authentification, avec un DPA signé garantissant que les données restent en région UE.
  • Amazon Web Services EMEA : assure l'hébergement de certains services critiques, avec un engagement de conformité RGPD.

Gestion des sous-traitants ultérieurs

Les sous-traitants ultérieurs sont sélectionnés avec soin pour garantir qu'ils respectent les mêmes standards de sécurité et de confidentialité qu'Ultiplace.

  • Vercel Inc. : hébergeur edge en UE, optimisant la performance des applications front-end.
  • Stripe Payments Europe : gère les paiements en conformité avec PCI-DSS, assurant la sécurité des transactions.
  • Twilio / SendGrid Ireland : utilisé pour les e-mails transactionnels avec une résidence des données en UE.

Sécurité des logs et des recherches

Les logs d'erreur, souvent critiques pour le diagnostic et l'amélioration continue, sont gérés par Sentry, avec une anonymisation maximale des données personnelles. De plus, Algolia SAS, basé en UE, assure une recherche rapide et sécurisée sur la plateforme.

Implications pour les organisateurs européens

Pour des salons tels que VivaTech ou le Salon des Maires, cette chaîne de sous-traitance garantit que les données des participants sont non seulement sécurisées mais aussi traitées dans le respect des normes européennes. Une responsable acquisition B2B dans le SaaS RH souligne : "La transparence et la conformité d'Ultiplace avec le RGPD sont essentielles pour notre confiance et celle de nos clients." Cette approche permet aux organisateurs de se concentrer sur l'expérience utilisateur sans se soucier des implications légales complexes.

Authentification et accès

Sécurité des utilisateurs

Pour garantir une expérience utilisateur sécurisée, Ultiplace utilise Firebase Auth pour gérer l'authentification des organisateurs, exposants et visiteurs. Les mots de passe sont stockés de manière sécurisée, hashés avec l'algorithme Scrypt, ce qui rend leur récupération pratiquement impossible en cas de compromission.

  • Vérification par e-mail : chaque nouvelle inscription est confirmée par un e-mail, ajoutant une couche supplémentaire de sécurité.
  • Réinitialisation sécurisée : en cas de perte de mot de passe, un lien temporaire est envoyé, valable une heure, pour éviter les abus.
  • Connexions simplifiées : les utilisateurs peuvent se connecter via leurs comptes Google, Microsoft ou LinkedIn, simplifiant le processus tout en maintenant la sécurité.

Sécurisation des API

Les API d'Ultiplace sont protégées par des jetons JWT signés, assurant que seules les requêtes authentifiées peuvent accéder aux ressources. Pour les utilisateurs de la formule Enterprise, une rotation régulière des clés API est possible, renforçant la sécurité.

  • Rate-limiting : des limites de taux sont appliquées sur les endpoints publics pour prévenir les abus.
  • Gestion avancée des permissions : chaque rôle (organisateur, exposant, visiteur) dispose de permissions strictement définies, empêchant par exemple un exposant de lire les données d'un concurrent.

Avantages pour les grandes entreprises

Pour les grandes entreprises, telles que celles participant au Salon de l'Agriculture ou à Pollutec, la sécurité des accès est cruciale. La formule Enterprise offre des options avancées comme le Single Sign-On (SSO) via OpenID Connect ou SAML, ainsi que le provisioning automatique des utilisateurs via SCIM.

  • Audit log : les administrateurs peuvent accéder à un journal des connexions pour surveiller l'activité suspecte.

Un directeur marketing dans l'industrie automobile commente : "La gestion stricte des accès et des permissions est essentielle pour protéger nos données sensibles lors de grands événements." Ultiplace assure ainsi une sécurité maximale pour les données critiques, tout en facilitant l'accès et la gestion des utilisateurs.

Chiffrement et stockage

Chiffrement des données en transit

Ultiplace garantit que toutes les communications entre les utilisateurs et la plateforme sont sécurisées grâce à l'utilisation obligatoire de HTTPS, avec le protocole HSTS activé pour une durée maximale de deux ans. Cela signifie que les connexions non sécurisées sont automatiquement redirigées vers HTTPS, renforçant la sécurité.

  • TLS 1.3 : implémenté sur tous les domaines, offrant le plus haut niveau de sécurité pour les communications en ligne.
  • Cookies sécurisés : tous les cookies sont marqués 'Secure', empêchant leur interception par des tiers malveillants.
  • Headers de sécurité : des en-têtes comme 'X-Frame-Options: SAMEORIGIN' et 'X-Content-Type-Options: nosniff' sont utilisés pour prévenir les attaques courantes.

Chiffrement des données au repos

Les données stockées sur Ultiplace sont protégées par des mesures de chiffrement robustes. Firestore, utilisé pour le stockage des données métier, applique par défaut un chiffrement AES-256, l'un des standards les plus sécurisés actuellement disponibles.

  • Firebase Storage : utilise également AES-256 pour chiffrer les fichiers stockés.
  • AWS S3 : les données sont chiffrées avec SSE-S3 (AES-256), assurant une sécurité maximale.
  • Sauvegardes : des sauvegardes automatiques quotidiennes sont effectuées pour garantir la disponibilité des données en cas de problème.

Gestion des données sensibles

Ultiplace ne stocke jamais les informations de carte bancaire, celles-ci étant gérées par Stripe, conforme PCI-DSS, pour assurer la sécurité des transactions financières.

  • Ressources sensibles : les CV et autres documents sensibles ne sont accessibles que via des URLs signées à durée de vie limitée, empêchant l'accès non autorisé.
  • Protection des informations personnelles : les e-mails et numéros de téléphone ne sont jamais affichés en clair, sauf si un consentement explicite est donné.

Impact sur les salons professionnels

Pour des événements comme Médica ou Cosmétique 360, où la protection des données est cruciale, Ultiplace offre une solution robuste et sécurisée. Une responsable événementielle en industrie agroalimentaire note : "Le chiffrement avancé et les pratiques de stockage d'Ultiplace nous permettent de gérer nos données en toute confiance, même lors de salons internationaux." Cette approche assure que les données restent protégées à chaque étape, de la collecte à l'archivage.

Droits des utilisateurs (RGPD)

Respect des droits individuels

Ultiplace s'engage à respecter l'ensemble des droits accordés aux utilisateurs par le RGPD, garantissant ainsi une gestion transparente et sécurisée des données personnelles. Chaque utilisateur peut accéder à ses informations directement depuis son profil, et en cas de doute, une demande peut être adressée à 'contact@ultiplace.com', traitée sous 30 jours.

  • Droit de rectification : les utilisateurs peuvent mettre à jour leurs informations personnelles à tout moment depuis leur compte, assurant que les données restent exactes et à jour.
  • Droit à l'effacement : sur demande, les données peuvent être supprimées sous 30 jours. Toutefois, pour les exposants et organisateurs avec un historique de facturation, les données comptables sont conservées le temps légal requis avant suppression.

Portabilité et opposition au profilage

Ultiplace permet aux utilisateurs d'exporter leurs données au format CSV ou JSON, facilitant leur transfert vers d'autres services si nécessaire.

  • Droit d'opposition : aucun profilage automatisé n'est effectué sur la plateforme. Les recommandations basées sur l'IA sont purement consultatives, respectant ainsi le droit à l'opposition.
  • Retrait du consentement : les utilisateurs peuvent gérer leurs préférences de consentement via la bannière cookies et le centre de préférences.

Gestion des cookies et contact DPO

La bannière cookies d'Ultiplace est conforme aux directives de la CNIL, garantissant qu'aucun cookie marketing ou analytique n'est chargé avant d'avoir obtenu le consentement explicite de l'utilisateur.

  • DPO : pour toute question relative au RGPD, les utilisateurs peuvent contacter le délégué à la protection des données à 'dpo@realitim.com' ou par courrier à REALITIM, Nantes.

Implications pour les utilisateurs

Pour les participants à des salons comme Vinexpo ou Global Industrie, la protection des droits individuels est essentielle. Un responsable acquisition B2B dans le SaaS RH explique : "Ultiplace offre une transparence inégalée dans la gestion des droits des utilisateurs, ce qui renforce notre confiance en leurs services." Cette approche garantit que les utilisateurs ont toujours le contrôle sur leurs données, renforçant la confiance et la satisfaction client.

Sécurité opérationnelle

Surveillance et performance

Ultiplace met en œuvre une surveillance continue pour garantir la sécurité et la performance de sa plateforme. Sentry est utilisé pour le suivi des erreurs applicatives, avec un nettoyage des données personnelles identifiables (PII) pour protéger la vie privée des utilisateurs.

  • AWS CloudWatch : utilisé pour surveiller le streaming live, assurant que les événements se déroulent sans interruption.
  • Vercel Analytics : fournit des insights sur la performance des applications, notamment les Core Web Vitals, pour garantir une expérience utilisateur optimale.
  • Firebase Performance Monitoring : suit les latences de Firestore, permettant une identification rapide des goulots d'étranglement.

Pratiques d'ingénierie sécurisées

Une politique stricte de revue de code est en place, exigeant l'approbation de chaque pull request pour garantir que les modifications sont sécurisées et fonctionnelles.

  • Audits de sécurité : réalisés périodiquement pour identifier et corriger les vulnérabilités potentielles.
  • Mots de passe forts : exigés pour tous les administrateurs, réduisant les risques d'accès non autorisé.
  • Accès cloisonné : l'accès à la production est strictement contrôlé, avec une authentification multi-facteur obligatoire.

Continuité et gestion des incidents

Des sauvegardes Firestore sont effectuées quotidiennement, et la restauration des données est testée régulièrement pour assurer la continuité des opérations.

  • SLA de disponibilité : Ultiplace s'engage sur une disponibilité de 99.5 % pour les clients Pro et 99.9 % pour les clients Enterprise, contractualisé pour garantir un service fiable.

Réponse aux incidents

En cas de violation de données, Ultiplace s'engage à notifier la CNIL dans les 72 heures, ainsi que les utilisateurs concernés, en conformité avec les obligations du RGPD.

Pour des événements tels que le Big ou le Salon des Maires, où la sécurité des données est primordiale, ces mesures assurent que les opérations se déroulent sans accroc. Un directeur marketing dans l'industrie automobile déclare : "La robustesse des pratiques de sécurité d'Ultiplace nous permet de nous concentrer sur notre événement sans craindre pour la sécurité des données." Cette approche proactive en matière de sécurité opérationnelle garantit que les données restent protégées à tout moment.

FAQ

Mes données sont-elles vraiment en Europe ?

Oui. Front-end (Vercel UE), Firestore (region eur3 multi-region UE), Storage (UE), AWS IVS et S3 (Paris). Les transferts hors UE éventuels (Sentry, Stripe) sont encadrés par les clauses contractuelles types (SCC).

Ultiplace est-il certifié ISO 27001 ?

La plateforme s'appuie sur des sous-traitants certifiés (Google Cloud, AWS, Vercel, Stripe). Une certification ISO 27001 propre à REALITIM est en cours d'évaluation pour 2026-2027.

Comment signer un DPA avec Ultiplace ?

Le DPA standard est consultable et signable depuis /legal/contrat-donnees. Pour les Enterprise, un DPA personnalisé peut être négocié avec le service juridique.

Que se passe-t-il si je supprime mon compte ?

Vos données personnelles sont supprimées sous 30 jours. Les données comptables (factures) sont conservées 10 ans (obligation légale) puis supprimées automatiquement. Les conversations partagées sont anonymisées.

Ultiplace utilise-t-il mes données pour entraîner des IA ?

Non. Les contenus que vous publiez ne sont pas envoyés à un fournisseur d'IA pour entraînement. Les appels OpenAI (création assistée, chatbot stand) utilisent les opt-outs d'entraînement disponibles.

Puis-je auditer la sécurité d'Ultiplace avant de signer ?

Oui, en formule Enterprise. L'équipe propose un questionnaire de sécurité détaillé, une revue d'architecture et l'accès aux rapports de sous-traitants (SOC 2 des fournisseurs ultimes, par exemple).

Sources et références