Passer au contenu principal
OneSignal s’engage à protéger la confidentialité et la sécurité de toutes les données stockées sur notre plateforme. Nous maintenons des contrôles de sécurité rigoureux, adhérons aux principaux cadres de conformité et surveillons et améliorons continuellement nos systèmes pour garantir la sécurité de vos données. Cette page répond aux questions courantes sur la gestion des données, les pratiques de sécurité et les certifications de conformité de OneSignal.

Protection des données et conformité

Masquer les adresses e-mail et les numéros de téléphone

Vous pouvez empêcher les adresses e-mail et les numéros de téléphone des utilisateurs d’apparaître dans le tableau de bord OneSignal ou les exportations de données. Consultez Gestion des données personnelles pour les instructions de configuration.

Certifications SOC 2 Type II et ISO

OneSignal maintient les certifications de sécurité indépendantes suivantes : Ces audits valident que les contrôles internes et les systèmes de gestion de la confidentialité de OneSignal respectent les normes les plus élevées en matière de sécurité des données et d’intégrité opérationnelle.

HIPAA

OneSignal se conforme aux exigences HIPAA pour les clients qui gèrent des informations de santé protégées (PHI). En savoir plus dans notre documentation HIPAA.

RGPD

OneSignal se conforme au Règlement général sur la protection des données (RGPD) de l’UE et aide les clients à respecter leurs responsabilités en matière de RGPD. Nos centres de données principaux sont situés dans l’Union européenne. Consultez RGPD et droits individuels pour plus de détails.

Cadre de protection des données

OneSignal est certifié dans le cadre du Cadre de protection des données UE-États-Unis pour les transferts de données légaux entre l’UE et les États-Unis.

Pratiques de sécurité

Évaluations indépendantes et analyses de vulnérabilité

Nous effectuons une évaluation de sécurité par un tiers annuelle et réalisons des analyses de vulnérabilité et de pénétration trimestrielles. Toutes les conclusions critiques et de haute gravité sont corrigées rapidement.

Sécurité des postes de travail

Tous les postes de travail des employés incluent :
  • Pare-feu et protection des points de terminaison
  • Chiffrement complet du disque
  • Gestion automatique des correctifs

Réponse aux incidents

Nous maintenons un programme robuste de réponse aux incidents pour détecter, contenir et corriger rapidement les incidents de sécurité.

Organisation de sécurité dédiée

L’équipe de sécurité de OneSignal surveille, trie et répond continuellement aux événements liés à la sécurité.

Chiffrement

Toutes les données client sont chiffrées à l’aide d’algorithmes standard de l’industrie, à la fois en transit (TLS 1.2+) et au repos (AES-256).

Authentification unique (SSO)

OneSignal prend en charge le SSO via WorkOS, permettant l’intégration avec les principaux fournisseurs d’identité. Consultez Authentification unique.

Authentification à deux facteurs (2FA)

Les administrateurs d’organisation peuvent imposer l’authentification à 2 étapes (2FA) pour tous les membres de l’équipe. Consultez Authentification à 2 étapes.

Sécurité du personnel

Tous les employés font l’objet de vérifications d’antécédents et d’une formation régulière de sensibilisation à la sécurité.

Gouvernance et conservation des données

OneSignal agit en tant que sous-traitant de données, tandis que les clients restent le responsable du traitement des données.
  • Données de message (envoyées via API ou Journeys) : conservées pendant 30 jours avant suppression.
  • Messages du tableau de bord : conservés jusqu’à suppression manuelle.
  • Données utilisateur :
    • Conservées indéfiniment sur les plans payants jusqu’à suppression.
    • Conservées pendant 18 mois d’inactivité sur les plans gratuits.

Exportation de données

OneSignal fournit des outils pour exporter facilement les données d’utilisateur et de message. Consultez Exportation de données.

FAQ

Comment puis-je ou mes utilisateurs se désabonner des notifications push ?

Les utilisateurs peuvent désactiver les notifications push dans les paramètres de notifications de l’appareil. Pour les notifications push web, consultez Se désabonner des notifications. Pour plus de détails, consultez Abonnements.

Quelles données sont collectées par le SDK OneSignal ?

Consultez Données collectées par le SDK OneSignal.

OneSignal utilise-t-il des cookies ?

Le SDK Web de OneSignal n’utilise pas de cookies. Il utilise Local Storage et IndexedDB pour stocker les données client. Vous pouvez voir un cookie Cloudflare nommé __cf_bm. Ce cookie est :
  • Défini par Cloudflare (pas OneSignal)
  • Utilisé pour se protéger contre les bots
  • Classé comme un cookie strictement nécessaire qui ne nécessite pas de consentement en vertu de la loi européenne sur les cookies
Pour plus de détails, consultez la politique de cookies de Cloudflare et l’explication du RGPD.

Comment dois-je gérer les données utilisateur dans OneSignal ?

Suivez nos meilleures pratiques dans Gestion des données personnelles.

OneSignal est-il conforme à la COPPA ?

OneSignal est certifié dans le cadre du Programme Families Ads (depuis le 10 janvier 2022). Bien que la conformité COPPA soit la responsabilité de l’éditeur, OneSignal fournit des outils pour vous aider à recueillir le consentement de l’utilisateur avant la collecte de données ou les invites push. Consultez Obtenir le consentement de l’utilisateur et ce guide COPPA.

Comment puis-je sécuriser mon compte OneSignal ?

Suivez ces meilleures pratiques de sécurité :
  1. Activez l’authentification à 2 étapes et/ou l’authentification unique.
  2. Supprimez les membres de l’équipe inutiles.
  3. Évitez les connexions partagées ; chaque personne doit avoir son propre compte OneSignal.
  4. Faites régulièrement tourner ou supprimez les clés API. Consultez Clés et ID.
  5. Réinitialisez votre mot de passe si nécessaire. Consultez Gestion de compte.
N’exposez jamais vos clés API REST ou vos clés d’application dans des dépôts publics ou du code côté client.

Que faire si ma clé API REST est compromise ?

Supprimez et faites tourner immédiatement votre clé API. Consultez Clés et ID pour les instructions.

Que faire si mon ID d’application est exposé ?

Votre ID d’application est public et peut être partagé en toute sécurité—il ne peut être utilisé que pour créer de nouveaux enregistrements d’utilisateur. Cependant, les utilisateurs ne peuvent pas recevoir de messages à moins de s’être abonnés par des moyens valides. Pour une protection supplémentaire, activez la vérification d’identité.

Que faire si un ID d’abonnement est exposé ?

Le propre subscription_id d’un utilisateur peut être exposé en toute sécurité à cet utilisateur—il ne peut modifier que ses propres données. Cependant, ne partagez jamais les ID d’abonnement d’autres utilisateurs, car ceux-ci peuvent être utilisés pour envoyer des notifications à des appareils spécifiques. Pour éviter l’usurpation d’identité, utilisez la vérification d’identité.