Sécurité

Politique de divulgation responsable

Dernière mise à jour : 27 avril 2026

La sécurité des données de santé de nos utilisateurs est notre priorité absolue. Si vous avez identifié une vulnérabilité dans CLINIK, nous vous invitons à nous la signaler en suivant cette politique.

Comment nous contacter

Notre engagement

  • Accusé de réception sous 24 heures ouvrées
  • Première analyse sous 5 jours ouvrés
  • Mise à jour régulière sur la résolution
  • Reconnaissance publique du chercheur (avec son accord) sur cette page après correction
  • Si l'impact est majeur et la divulgation responsable, possibilité de récompense symbolique (carte cadeau, mention sur LinkedIn, badge « Hall of Fame »).

Ce qui rentre dans le scope

  • Toutes les applications sous clinik.africa et sous-domaines*.clinik.africa
  • Le domaine clinik.academy (à venir)
  • L'API publique CLINIK
  • L'application mobile PWA

Ce qui n'est PAS dans le scope

  • Les domaines partenaires (Wave, CinetPay, Supabase, Vercel, Anthropic, Infobip)
  • L'absence de headers de sécurité non critiques
  • Les vulnérabilités déjà connues et publiquement référencées
  • L'ingénierie sociale ou le phishing visant nos employés
  • Les attaques DDoS volumétriques

Règles de bonne conduite

Nous vous demandons de :

  • Ne pas accéder à des données qui ne vous appartiennent pas
  • Ne pas dégrader le service ou perturber les utilisateurs
  • Ne pas divulguer publiquement la vulnérabilité avant qu'un correctif ne soit déployé
  • Documenter clairement la reproduction et l'impact
  • Utiliser uniquement votre propre compte de test pour les preuves de concept

Hall of Fame

Les chercheurs en sécurité qui nous ont aidés à améliorer CLINIK seront listés ici avec leur accord :

(Liste vide — soyez le premier !)

Cadre juridique

Cette politique s'inscrit dans le cadre :

  • Loi ivoirienne n°2013-450 du 19 juin 2013 (protection des données)
  • Loi n°2024-352 du 6 juin 2024 (Communications Electroniques)
  • Décision ARTCI n°2025-1345 du 5 novembre 2025
  • RFC 9116 (security.txt)

Aspects RGPD / ARTCI

Si une vulnérabilité expose des données personnelles, elle doit être notifiée à notre correspondant à la protection des données (dpo@clinik.africa) qui prendra le relais.

← Retour à l'accueil
Politique de sécurité — CLINIK | CLINIK