Nouveau : un dossier complet sur la DSN de substitution en 2026, pour vos équipes. Consulter l'article
Mise à jour le 12 juin 2026

Sécurité et conformité pour vos données de paie

Confier la paie à un logiciel, ce n'est pas seulement confier des calculs. C'est confier des bulletins, des IBAN, des numéros de sécurité sociale, des DSN et des données sociales que personne ne veut voir circuler.

Cette page explique comment Linc protège ces données. Pas comme une fiche technique écrite pour des experts sécurité, mais comme une page de confiance pour dirigeants de cabinet, responsables de pôle social, DPO et équipes paie qui veulent comprendre ce qui est réellement en place.

Données hébergées en Europe

La production tourne chez AWS à Francfort, dans des centres de données opérés par des équipes spécialisées.

Accès nominatifs

Chaque accès correspond à une personne identifiée. Pas de compte partagé, pas d'accès vague.

Chiffrement partout

TLS protège les échanges. AES-256 protège les données stockées. En clair : elles ne circulent pas à nu.

Sauvegardes vérifiées

Les sauvegardes sont régulières, chiffrées, et leur restauration est testée.

Données sensibles

On part d'une idée simple : la paie est une donnée privée

Un bulletin de paie raconte beaucoup plus qu'un montant net. Il peut révéler un arrêt maladie, un temps partiel, une saisie sur salaire, une adresse, un IBAN, un numéro de sécurité sociale. Pour un cabinet, ces données appartiennent à ses clients et à leurs salariés. Notre rôle est de les traiter, pas de les exposer.

Les données client sont donc classées comme hautement confidentielles chez Linc. En langage simple : elles ne sont pas manipulées comme des données ordinaires, et leur accès est limité aux personnes qui en ont besoin pour faire fonctionner ou accompagner le service.

Accès

Chaque personne ne voit que ce qu'elle doit voir

Linc applique des droits par rôle. Le terme technique est RBAC, pour role-based access control. Cela veut simplement dire qu'un administrateur, un gestionnaire de paie et un expert Linc n'ont pas les mêmes droits.

Les accès sont aussi nominatifs. Chaque compte correspond à une personne identifiée. Côté Linc, l'accès aux environnements qui contiennent des données client passe par une identité unique, une authentification à deux facteurs, et des connexions journalisées. L'authentification à deux facteurs, c'est la deuxième preuve demandée après le mot de passe.

Pour les cabinets qui le souhaitent, Linc supporte aussi le SSO. C'est la connexion avec l'identité du cabinet, pour éviter de multiplier les mots de passe et garder la maîtrise des accès côté client.

Hébergement et chiffrement

Les données sont hébergées en Europe et chiffrées

Les données de production sont hébergées chez AWS à Francfort. AWS est le fournisseur cloud, c'est-à-dire l'infrastructure qui fait tourner l'application. En pratique, l'application tourne dans des centres de données opérés par des équipes spécialisées, avec des contrôles physiques, de la redondance et une surveillance continue.

Pour un cabinet, le point important est simple : les données de paie ne sont pas stockées sur un serveur dans nos bureaux, ni sur le site marketing. Elles vivent dans l'infrastructure prévue pour le produit.

Les échanges sont protégés par TLS 1.2 ou plus. TLS, c'est le tunnel chiffré entre votre navigateur et Linc. Les données stockées sont aussi chiffrées au repos, avec AES-256. Là encore, le principe est simple : si quelqu'un récupérait un fichier ou un volume de stockage sans autorisation, il ne devrait pas pouvoir le lire tel quel.

Les sauvegardes sont régulières, chiffrées et vérifiées. Vérifier une sauvegarde veut dire tester qu'on peut vraiment la restaurer. C'est moins spectaculaire qu'une grande promesse de sécurité, mais c'est exactement le genre de détail qui compte le jour où quelque chose casse.

Produit auditable

La sécurité ne s'arrête pas à l'infrastructure

Une paie fiable doit pouvoir être expliquée. C'est vrai pour un contrôle URSSAF, et c'est vrai pour la sécurité. Linc garde des traces sur les opérations sensibles, limite les droits par cabinet et par dossier, et conçoit le produit pour que les calculs puissent être relus ligne à ligne.

  • Accès cloisonné par cabinet et par dossier
  • Journaux d'activité sur les opérations sensibles
  • Calculs de paie traçables ligne à ligne
  • Plus de 750 tests automatisés avant les changements majeurs

Développement

Le code qui touche la paie est relu et testé

Aucun changement sensible ne devrait partir seul en production. Chez Linc, le code est relu avant d'être déployé, en particulier sur les zones qui touchent à l'authentification, au moteur de paie, aux exports URSSAF et aux exports bancaires.

Le produit est aussi couvert par plus de 750 tests automatisés. Un test automatisé, c'est une vérification que l'ordinateur rejoue à chaque changement pour éviter de casser un comportement attendu. Ce n'est pas magique, et cela ne remplace pas le jugement humain. Mais c'est une barrière utile contre les régressions, ces bugs qui reviennent parce qu'un changement ailleurs a cassé quelque chose.

Un test d'intrusion externe a été réalisé fin 2024, et un nouveau est prévu dans les prochaines semaines. Entre deux audits externes, l'équipe suit les vulnérabilités des dépendances. Une dépendance, c'est une brique logicielle utilisée par le produit. Quand une faille publique apparaît sur l'une de ces briques, elle doit être traitée.

RGPD et diligence

Les documents utiles doivent être faciles à obtenir

Linc tient un registre de traitements, signe un DPA avec ses clients, documente ses sous-traitants et suit une procédure de notification en cas d'incident. Le DPA, c'est l'accord qui encadre le traitement des données personnelles entre Linc et le client.

La démarche ISO 27001 a démarré en 2025, avec une cible de certification en 2027. Nous ne sommes donc pas certifiés ISO 27001 aujourd'hui, et nous ne prétendons pas l'être. L'objectif est de construire un système de sécurité qui tient dans la durée, pas seulement une page avec de grands mots.

  • DPA, notre accord de traitement des données, disponible pour les clients
  • Liste des sous-traitants documentée
  • Synthèse de test d'intrusion partageable sur demande
  • Contact direct à security@linc.fr pour les questions sécurité

Pour une demande de diligence, une question DPO ou un signalement de vulnérabilité, écrivez à security@linc.fr. Pour le détail de nos traitements, vous pouvez aussi lire notre politique de confidentialité.

Questions fréquentes

Les questions qu'on nous pose souvent

Pourquoi Linc parle autant de sécurité ?

Parce que la paie contient presque tout ce qu'une entreprise doit protéger : les salaires, les IBAN, les numéros de sécurité sociale, les arrêts de travail, les déclarations sociales.

Une fuite de ces données n'est pas un simple problème technique. C'est la vie privée de salariés réels. On préfère donc être un peu plus lents sur certains sujets si cela protège mieux l'accès aux données.

Où sont hébergées les données ?

Les données de production sont hébergées en Europe, chez AWS à Francfort. AWS est le fournisseur cloud, c'est-à-dire l'infrastructure qui fait tourner l'application. En pratique, cela veut dire que les données sont dans des centres de données opérés par des équipes spécialisées, avec des contrôles physiques et techniques adaptés aux données sensibles. Les données de paie ne sont pas stockées sur des serveurs dans nos bureaux.

Que veulent dire TLS, AES-256, SSO, MFA et RBAC ?

TLS est le tunnel chiffré utilisé quand votre navigateur parle à Linc. AES-256 est une méthode de chiffrement des données stockées. SSO permet de se connecter avec l'identité de votre cabinet. MFA ajoute une deuxième preuve à la connexion, souvent un code ou une validation sur téléphone. RBAC veut dire droits par rôle : une personne ne voit que ce dont elle a besoin pour travailler.

Est-ce que Linc est certifié ISO 27001 ?

Pas encore. La démarche a démarré en 2025, avec une cible de certification en 2027. On ne présente donc pas Linc comme certifié. On préfère dire clairement où nous en sommes : beaucoup de contrôles sont déjà en place, et le système de management de la sécurité continue d'être formalisé.

Faites-vous tester la sécurité par des personnes externes ?

Oui. Un test d'intrusion externe a été réalisé fin 2024, et un nouveau est prévu dans les prochaines semaines. Un test d'intrusion, c'est un audit où un prestataire cherche des failles comme le ferait un attaquant, mais dans un cadre autorisé et contrôlé.

Que se passe-t-il si un incident touche mes données ?

Les incidents sont suivis, priorisés et documentés. Si un incident touche vos données, nous vous prévenons sans délai indu, selon la procédure RGPD prévue dans notre DPA. En pratique, cela veut dire que nous préférons prévenir tôt, même avec une information encore partielle, plutôt que d'attendre d'avoir un dossier parfaitement rangé.

Qui contacter pour une question sécurité ?

Écrivez à security@linc.fr. Le canal est lu par l'équipe et traité sérieusement, que ce soit pour une question de diligence, une demande DPO ou un signalement de vulnérabilité.

Lire nos témoignages
Interface Linc — tableau de bord
Tous les clients
Boulangerie Martin
2
VD

Boulangerie Martin

Paris 11e
Lyon Bellecour
Marseille Vieux-Port
Février 2026
32 salariés
Production de la paie
Modifié il y a 2 joursVoir l'historique
12 validés
20 en cours
Diffusion des bulletins au client
Modifié hier
10 diffusés
22 en cours
Exports post-paieAucun export généré
DSNAucune DSN générée
Transfert des bulletins aux salariés
Modifié il y a 3 joursVoir l'historique
8 envoyés
24 en cours
Clôture de la paie de février 2026Date prévue : 5 mars 2026
Effectif
+1
Documents
Historique d'import
Import CSVDernier import : il y a 2 jours
Paramètres

On utilise quelques cookies pour comprendre comment le site est utilisé. Rien de plus. En savoir plus