Aller au contenu
2gather
Se connecter

Légal

Sécurité

La sécurité parfaite n'existe pas. Voici concrètement ce que nous mettons en œuvre, ce que nous ne prétendons pas faire, et comment nous signaler une faille.

Dernière mise à jour : 10 juin 2026

L'essentiel

  • Tout le trafic est chiffré (HTTPS), sur le web comme dans l'app.
  • Votre mot de passe est haché avec bcrypt : même nous ne pouvons pas le lire.
  • Les paiements sont traités par Stripe (certifié PCI DSS niveau 1) - vos numéros de carte ne touchent jamais nos serveurs.
  • Les photos et médias ne sont jamais publics : ils sont servis via des accès authentifiés ou des liens signés à durée limitée.
  • Changer votre mot de passe déconnecte immédiatement toutes vos sessions.
  • Une faille à signaler ? support@2gather.events, objet [Sécurité] - accusé de réception sous 3 jours ouvrés.

Vos données en transit et au repos

  • Toutes les connexions - site web, application, API - passent par HTTPS (TLS).
  • Les photos et médias sont stockés chez OVHcloud à Roubaix (France) et ne sont jamais exposés publiquement : ils sont servis via un accès authentifié, ou par des liens signés qui expirent.
  • Les mots de passe sont hachés avec bcrypt (avec sel, coût adaptatif) ; les jetons de session ne sont stockés que sous forme d'empreinte (SHA-256), jamais en clair.

Comptes et sessions

  • Les sessions reposent sur des jetons d'accès à courte durée de vie, renouvelés par un jeton de rafraîchissement qui change à chaque utilisation - un jeton déjà utilisé est rejeté.
  • Changer votre mot de passe révoque toutes vos sessions, sur tous vos appareils. Se déconnecter invalide immédiatement le jeton en cours.
  • Les tentatives de connexion sont limitées en fréquence pour bloquer la force brute, et les adresses e-mail jetables sont refusées à l'inscription.

Paiements

Les paiements sont intégralement traités par Stripe, certifié PCI DSS niveau 1 - le niveau le plus exigeant du standard bancaire. Vos numéros de carte ne transitent jamais par nos serveurs et nous ne les stockons pas.

Protection de la plateforme

  • En-têtes de sécurité stricts (Content-Security-Policy, protection contre le clickjacking) et limitation de débit sur l'ensemble de l'API.
  • Validation et nettoyage systématiques de toutes les entrées, filtre automatique des contenus manifestement inappropriés.
  • L'API web n'accepte que les origines connues - la liste est vérifiée au démarrage du serveur.
  • Supervision des erreurs en continu, avec masquage automatique des champs sensibles (mots de passe, jetons) avant tout envoi.

Protéger votre compte

  • Utilisez un mot de passe long et unique - idéalement généré par un gestionnaire de mots de passe.
  • Nous ne vous demanderons jamais votre mot de passe, ni par e-mail, ni par message. Vérifiez que l'adresse est bien 2gather.events avant de vous connecter.
  • Compte compromis ? Changez votre mot de passe immédiatement - cela déconnecte toutes les sessions -, puis écrivez-nous à support@2gather.events (objet [Sécurité]).
  • Un membre au comportement suspect ? Signalez-le ou bloquez-le depuis l'app - chaque signalement est lu par une personne.

Vos données

Supprimer votre compte efface vos données immédiatement et définitivement - le détail est dans la politique de confidentialité. Si une violation de données présentait un risque pour vous, nous notifierions la CNIL sous 72 heures et nous vous en informerions sans délai.

Signaler une vulnérabilité

Vous pensez avoir découvert une faille ? Écrivez-nous (objet [Sécurité]) en décrivant l'URL ou la fonctionnalité concernée, les étapes de reproduction et l'impact estimé. En français ou en anglais, et anonymement si vous préférez. Ces informations sont aussi publiées dans notre security.txt.

Périmètre - le site 2gather.events, l'API et l'application mobile 2gather. Hors périmètre : les services tiers (Stripe, hébergeurs, Google), les attaques par déni de service, l'ingénierie sociale visant nos membres, et les rapports de scanners automatiques sans impact démontré.

Règles du jeu - testez uniquement avec vos propres comptes ; limitez-vous à la preuve de concept minimale, sans extraction ni altération de données d'autres membres ; si vous tombez sur des données personnelles, arrêtez et prévenez-nous ; laissez-nous corriger avant toute publication (90 jours au plus, ou un délai convenu ensemble).

Nos engagements - accusé de réception sous 3 jours ouvrés, un premier diagnostic sous 7 jours, une correction visée sous 90 jours, et votre nom dans nos remerciements si vous le souhaitez. Nous n'opérons pas de programme de récompense (bug bounty). Si votre signalement révèle une violation de données personnelles, nous assumons nos obligations RGPD (notification CNIL sous 72 heures).

Bonne foi - si votre recherche respecte ces règles, nous la considérons comme autorisée : pas de plainte, pas d'action civile. Cet engagement ne peut lier ni les tiers ni le ministère public. Vous pouvez aussi signaler toute vulnérabilité à l'ANSSI (CERT-FR), qui préserve la confidentialité de votre identité (article L. 2321-4 du code de la défense).

support@2gather.events

Ce que nous ne prétendons pas

Aucun système n'est parfaitement sûr, et nous ne revendiquons aucune certification que nous n'avons pas. Ce que nous garantissons : les mesures décrites sur cette page sont réellement en place, et si un incident affectait vos données, vous en seriez informé sans délai.