Version 1.0 — entrée en vigueur : 15 juillet 2026
1. Engagement
C.R.C. Pro applique une démarche proportionnée de sécurité, de prévention, de correction et de transparence. Les mesures détaillées restent confidentielles lorsqu'une publication augmenterait le risque.
2. Périmètre de signalement
Le signalement peut concerner les domaines publics exploités par C.R.C. Pro, notamment : crcpro.fr, crcproformation.fr, crcprodigital.fr, crcproconsulting.fr, crcprorh.fr, crcpropilote.fr, crcprolearning.fr, digitalwebmedia.fr et les sous-domaines associés.
Les produits en prélancement peuvent volontairement répondre en 404 ou 403 sur leurs routes sensibles. Ce comportement est une mesure de sécurité et ne constitue pas une anomalie.
3. Contact
Courriel : contact@crcpro.fr
Objet recommandé : Signalement de sécurité
Le signalement devrait préciser : le domaine, la route, la date, les étapes de reproduction limitées, l'impact estimé et un moyen de contact. Les secrets ou données personnelles ne doivent pas être inclus sauf nécessité absolue ; dans ce cas, il faut demander un canal protégé.
4. Conduite attendue
Le déclarant s'engage à :
- agir de bonne foi ;
- limiter les tests au strict nécessaire ;
- ne pas accéder, modifier, télécharger ou supprimer les données d'autrui ;
- ne pas perturber la disponibilité ;
- ne pas contourner une authentification pour démontrer un impact ;
- ne pas utiliser de techniques destructrices, de déni de service ou d'ingénierie sociale ;
- ne pas divulguer publiquement avant qu'un délai raisonnable de correction et de coordination ait été accordé.
5. Traitement du signalement
C.R.C. Pro accuse réception, qualifie le risque, préserve les preuves utiles, corrige ou confine la surface, puis informe le déclarant de l'état lorsque cela est possible.
La surveillance automatique peut générer une alerte et préparer un dossier. La qualification d'une violation de données, la décision de notification à la CNIL et l'information éventuelle des personnes sont réalisées manuellement par le responsable de traitement.
6. Reconnaissance
Aucune rémunération ou programme de bug bounty n'est promis. Une reconnaissance publique peut être proposée avec l'accord du déclarant, lorsque le signalement respecte la présente politique.
7. Centre de confiance
Le Centre de confiance publie des contrôles non sensibles, datés et vérifiables. Les preuves techniques détaillées sont conservées dans une Data Room privée avec contrôle d'accès et journalisation.
Version : 1.0
Date d'entrée en vigueur : 15 juillet 2026