Une sécurité sur laquelle vous pouvez compter. Une conformité garantie.

Toutes les informations dans Datacapt sont chiffrées de bout en bout. Nous appliquons le chiffrement SSL/TLS pour toutes les données en transit, garantissant la protection des informations transmises depuis et vers notre plateforme.
‍
De même, les données au repos dans nos bases de données et systèmes de stockage sont sécurisées avec des algorithmes de chiffrement robustes, afin que vos enregistrements restent illisibles pour toute partie non autorisée, même en cas d’accès.

Les clés de chiffrement sont gérées conformément aux meilleures pratiques du secteur, et des pare-feu et contrôles réseau protègent nos systèmes contre tout accès non autorisé. Ces mesures garantissent que vos données d’essai clinique sont protégées aussi bien lors de leur transmission que lorsqu’elles sont stockées sur nos serveurs.

Datacapt garantit un accès unique et sécurisé à votre environnement d’essai pour chaque utilisateur. Nous appliquons un contrôle d’accès basé sur les rôles (RBAC) pour que chaque utilisateur ne voie et ne fasse que ce que son rôle permet.

En appliquant le principe du moindre privilège et des comptes utilisateurs uniques, Datacapt empêche toute visualisation ou modification non autorisée des données. Nous maintenons également des journaux d’audit détaillés de l’activité des utilisateurs, de sorte que chaque ajout ou modification est suivi et transparent.

Ces contrôles d’accès protègent non seulement la confidentialité des patients, mais simplifient aussi les audits de conformité (par ex. l’HIPAA grâce aux permissions spécifiques aux rôles et aux journaux d’audit).

La sécurité est intégrée dès le premier jour. Datacapt suit une approche Secure Development Lifecycle (SDLC), intégrant les meilleures pratiques de sécurité à chaque étape du développement logiciel.

Notre équipe réalise : des évaluations de risques, des revues de code et de la modélisation des menaces pour chaque nouvelle fonctionnalité. Nous suivons les standards de l’industrie (tels que les directives OWASP et les normes IEC/FDA) afin d’anticiper les vulnérabilités.

Avant chaque version, nous effectuons des tests rigoureux, incluant des scans automatisés et des tests d’intrusion, pour valider que l’application est sécurisée. Grâce à cette approche, nous intégrons la protection des données et la conformité dans le logiciel dès sa conception, et nous améliorons continuellement nos pratiques pour rester alignés sur les menaces et normes de cybersécurité en évolution.

Nous ne faisons pas que dire que nous sommes sécurisés nous le prouvons. Datacapt est soumis régulièrement à des tests de pénétration et des audits de sécurité indépendants. Des experts tiers testent en continu la plateforme pour identifier d’éventuelles vulnérabilités, que nous corrigeons rapidement afin de dépasser les standards de sécurité du secteur.

Nos environnements cloud sont audités pour répondre à des certifications strictes comme ISO/IEC 27001 et SOC 2.Nous maintenons également un programme interne de bug bounty et de divulgation responsable des vulnérabilités, garantissant que toute faille éventuelle soit traitée rapidement avant d’avoir un impact.

Nous savons que les essais cliniques se déroulent 24/7 partout dans le monde, c’est pourquoi Datacapt est conçu pour une disponibilité continue.
Déploiement sur une architecture cloud hautement résiliente avec réplication multi-zones.
Réplication des données et instances applicatives dans au moins trois centres de données distincts.
Routage intelligent du trafic garantissant une expérience stable et réactive dans le monde entier.

Nous garantissons au minimum 99,9 % de disponibilité. En parallèle, nous disposons d’une stratégie robuste de sauvegarde et de reprise après sinistre : sauvegardes automatiques jusqu’à 6 fois par jour, sauvegardes chiffrées et stockées hors site (y compris dans une autre région géographique), tests réguliers des processus de restauration et du plan de reprise.

Datacapt offre des options flexibles de résidence des données : AWS pour une portée mondiale avec de nombreuses certifications (ISO 27001, HDS), 3DS Outscale en France, cloud souverain certifié HDS et qualifié SecNumCloud par l’ANSSI.

Nous appliquons les principes du privacy by design et du privacy by default, minimisons la collecte de données personnelles et mettons en œuvre des mesures techniques et organisationnelles fortes pour protéger ces données. Nous signons des accords de traitement de données (DPA) conformes à l’Article 28 du RGPD, et permettons aux clients de respecter leurs propres obligations (droits d’accès, d’export, de suppression).

Nous savons que les essais cliniques se déroulent 24h/24 et 7j/7 dans le monde entier, c’est pourquoi Datacapt est conçu pour une disponibilité continue. Notre plateforme est déployée sur une architecture cloud hautement résiliente avec une redondance à plusieurs niveaux. Nous utilisons une configuration multi-zones de disponibilité : vos données et instances applicatives sont répliquées dans au moins trois centres de données distincts. Ainsi, même si l’un tombe en panne, le système reste disponible. Cette conception résiliente, combinée à un routage intelligent du trafic, garantit une expérience stable et réactive partout dans le monde. Nous garantissons au minimum 99,9 % de disponibilité de la plateforme Datacapt dans des conditions normales d’exploitation.

En complément de la haute disponibilité, nous avons mis en place une stratégie robuste de sauvegarde et de reprise après sinistre. Les sauvegardes des données sont effectuées automatiquement jusqu’à 6 fois par jour, et sont chiffrées et stockées hors site (y compris dans une région géographique distincte) pour une sécurité renforcée. Nos sauvegardes externes, hébergées dans un cloud sécurisé, garantissent que même dans un scénario extrême, vos données d’essai peuvent être rapidement restaurées. Nous testons régulièrement nos processus de restauration et notre plan de reprise pour valider notre capacité à atteindre des objectifs de reprise ambitieux. Avec Datacapt, vous bénéficiez d’une plateforme non seulement sécurisée, mais également fiable et tolérante aux pannes, vous permettant d’accéder à vos données d’essai à tout moment, même en cas d’incidents imprévus.

Datacapt est conçu pour respecter, voire dépasser, les certifications de sécurité et standards réglementaires les plus exigeants du secteur. Notre plateforme et notre infrastructure d’hébergement intègrent des contrôles alignés avec les certifications et cadres suivants :

ISO/IEC 27001 – Management de la sécurité de l’information
Nous nous appuyons sur une infrastructure certifiée ISO 27001 afin de garantir une approche systématique et auditée de la gestion de la sécurité de l’information. L’ISO/IEC 27001 est une norme internationale de référence pour la sécurité des informations. En respectant ces contrôles, Datacapt maintient un Système de Management de la Sécurité de l’Information (SMSI) couvrant l’évaluation des risques, le contrôle des accès, la continuité d’activité et la gouvernance sécurité. Nos partenaires d’hébergement cloud sont certifiés ISO 27001 de façon indépendante, et nous appliquons ces bonnes pratiques dans nos opérations. Cette certification démontre que nous suivons des processus rigoureux pour protéger la confidentialité, l’intégrité et la disponibilité de vos données.

HDS – Certification Hébergeur de Données de Santé (France)
HDS est une certification française obligatoire pour l’hébergement de données personnelles de santé. Les solutions Datacapt sont hébergées par un partenaire cloud français certifié sur les 6 niveaux HDS. Cela signifie que notre environnement d’hébergement répond aux exigences strictes de la France en matière de sécurité et de confidentialité des données de santé. La certification HDS inclut des mesures robustes en matière de sécurité physique, contrôle d’accès, sauvegarde et reprise, ainsi qu’une supervision réglementaire par les autorités de santé françaises. En utilisant un hébergeur certifié HDS, Datacapt garantit que les données sensibles des patients dans les essais cliniques peuvent être stockées en France en toute légalité et sécurité, conformément au Code de la santé publique. Pour les promoteurs internationaux, cette accréditation est un gage de haut niveau de sécurité appliqué aux données des participants.

SecNumCloud – Qualification ANSSI du cloud
SecNumCloud est la plus haute qualification de cybersécurité pour les fournisseurs de cloud en France et en Europe, délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Notre fournisseur de cloud souverain, 3DS Outscale, détient la qualification SecNumCloud 3.2. Cela permet à Datacapt de proposer un hébergement sur une infrastructure répondant aux exigences les plus strictes en matière de sécurité et de souveraineté — y compris l’immunité face aux juridictions extraterritoriales et la conformité aux standards européens de cybersécurité. Cette qualification atteste d’un très haut niveau de contrôle technique, opérationnel et juridique, garantissant une protection maximale des données sensibles. En déployant sur un cloud qualifié SecNumCloud, Datacapt assure aux organisations les plus exigeantes (ex. hôpitaux, gouvernements, institutions de santé de l’UE) une plateforme conforme et souveraine.

ICH Bonnes Pratiques Cliniques (GCP)
Datacapt est conçu conformément aux directives ICH E6 des Bonnes Pratiques Cliniques (BPC), la référence mondiale pour la conduite des essais cliniques. La conformité GCP dès la conception signifie que notre système soutient l’intégrité, la traçabilité et la fiabilité des données. Nous fournissons les fonctionnalités nécessaires pour répondre aux attentes informatiques des BPC : piste d’audit complète et horodatée des actions des utilisateurs, accès sécurisé avec rôles définis, et étapes de vérification pour les modifications de données et signatures électroniques. Nous maintenons également une documentation de validation complète de la plateforme, permettant aux promoteurs et inspecteurs réglementaires de vérifier que Datacapt capture et conserve les données d’essai de manière fiable. En respectant les BPC, nous veillons à ce que vos données soient attribuables, lisibles, contemporaines, originales et exactes (ALCOA). Cela signifie concrètement que les promoteurs et CROs peuvent utiliser Datacapt en toute confiance, sachant qu’il répond aux mêmes exigences que les dossiers papier, et plus encore. (Notre équipe peut fournir des attestations de conformité ou accompagner vos audits de validation système si nécessaire.)

FDA 21 CFR Part 11 – Enregistrements & signatures électroniques
Datacapt est entièrement conforme à la réglementation FDA 21 CFR Part 11, relative aux enregistrements électroniques et signatures électroniques. Cette conformité est essentielle pour toute solution de capture de données utilisée dans des essais réglementés par la FDA. Dans Datacapt, chaque action d’un utilisateur sur des données réglementées est enregistrée avec une piste d’audit informatique sécurisée et horodatée. Cette piste enregistre de façon indépendante la date, l’heure, l’utilisateur et la nature de chaque entrée ou modification, fournissant un historique complet des données comme l’exige la Part 11.

Nous implémentons également une fonctionnalité robuste de signature électronique : les utilisateurs autorisés peuvent signer électroniquement des enregistrements ou formulaires, conformément aux exigences de la Part 11, avec des identifiants uniques et des manifestations de signature incluant le nom de l’utilisateur, l’horodatage et le sens de la signature (ex. approbation ou vérification). Des mesures de sécurité telles que des politiques de mot de passe et des contrôles d’accès garantissent que les signatures électroniques ne sont utilisées que par leur véritable propriétaire. Avec Datacapt, vous disposez d’une plateforme EDC que la FDA peut accepter dans un système conforme, éliminant les doutes sur la validité des données pour les soumissions. Notre conformité Part 11, combinée à l’adhésion aux BPC ICH, permet à Datacapt de répondre aux besoins réglementaires aux États-Unis comme à l’international.

RGPD (GDPR) – Règlement Général sur la Protection des Données
Datacapt est pleinement engagé dans la conformité au RGPD et dans l’accompagnement de ses clients pour respecter leurs obligations en matière de protection des données. Le RGPD est un pilier du droit à la vie privée en Europe, et nous avons intégré ses principes directement dans notre plateforme.

Nous ne traitons les données personnelles que sous les instructions strictes de nos clients (agissant en tant que sous-traitant conforme au RGPD), et disposons d’une équipe dédiée à la protection des données. Nous mettons en œuvre des mesures techniques et organisationnelles adaptées — chiffrement, pseudonymisation, contrôle d’accès, formation régulière — pour protéger les données personnelles. Nous garantissons également transparence et contrôle : les pistes d’audit et journaux d’activité assurent l’imputabilité, et notre système permet aux promoteurs de répondre aux demandes de droits (ex. export ou suppression de données).

‍Datacapt signe un accord de traitement de données conforme à l’article 28 du RGPD avec chaque client, détaillant la protection mise en place et l’assistance aux audits ou notifications d’incidents. En proposant un hébergement basé dans l’UE (notamment en France), nous facilitons le respect des exigences de résidence des données du RGPD. En résumé, Datacapt est une solution eClinical conforme au RGPD, conçue pour protéger les données personnelles des participants aux essais et préserver leurs droits à la confidentialité.

HIPAA – Loi sur la portabilité et la responsabilité en assurance santé (États-Unis)
Pour nos clients menant des essais aux États-Unis ou manipulant des informations de santé protégées (PHI), Datacapt prend en charge la conformité à l’HIPAA. La règle de sécurité de l’HIPAA impose des garanties pour les PHI électroniques, que nous avons intégrées à notre plateforme.

Cela inclut : des contrôles d’accès stricts (identifiants uniques, permissions basées sur les rôles), des journaux d’audit pour tracer les accès et modifications,la sécurisation des transmissions (chiffrement des données en transit).

Toutes les données considérées comme PHI saisies dans Datacapt sont stockées de manière chiffrée sur des serveurs sécurisés et compatibles HIPAA. Nous pouvons également activer des mesures supplémentaires comme les expirations de session ou l’authentification à deux facteurs, selon les politiques de chaque organisation.

‍Datacapt est prêt à signer des Business Associate Agreements (BAAs) avec ses clients, formalisant notre responsabilité de protéger les PHI conformément à l’HIPAA. En utilisant Datacapt comme EDC, vous bénéficiez d’une plateforme capable de gérer des données de santé sensibles en respectant les exigences américaines, garantissant la confidentialité des informations des patients dans vos essais. Cet engagement, combiné à notre conformité RGPD, démontre que Datacapt prend la protection des données au sérieux dans toutes les juridictions où nous opérons.