# 🇪🇺 Audit RGPD - Localisation des données clients > **Date de l'audit** : 23 octobre 2025 > **Projet** : Nouvel Espace Paie Odentas > **Objectif** : Vérifier que toutes les données clients restent dans l'Union Européenne > **Résultat** : ✅ **9/9 services conformes (100%)** --- ## 📊 Tableau de conformité RGPD | Service | Localisation | Infrastructure | Statut RGPD | Données transférées | Action requise | |---------|--------------|----------------|-------------|---------------------|----------------| | **AWS S3** | 🇪🇺 eu-west-3 (Paris) | AWS | ✅ Conforme | Documents, logs emails | - | | **AWS SES** | 🇪🇺 eu-west-3 (Paris) | AWS | ✅ Conforme | Envoi emails | - | | **AWS Lambda** | 🇪🇺 eu-west-3 (Paris) | AWS API Gateway | ✅ Conforme | Processing données | - | | **Supabase** | 🇪🇺 EU | Cloudflare + serveurs UE | ✅ Conforme | Base de données complète | - | | **Vercel Functions** | 🇪🇺 cdg1 (Paris) | Vercel Edge | ✅ Conforme | API routes, exécution | - | | **Docuseal** | 🇪🇺 api.docuseal.eu | Version EU | ✅ Conforme | Signatures électroniques | - | | **PostHog** | 🇪🇺 eu.i.posthog.com | Instance EU | ✅ Conforme | Analytics utilisateurs | - | | **GoCardless** | 🇪🇺 EEE | Serveurs EEE + SCC UE | ✅ Conforme | Mandats SEPA, paiements | ✅ **Confirmé par support** | | **PDFMonkey** | 🇪🇺 EU | Heroku + AWS EU | ✅ Conforme | Contrats CDDU (données salariés) | ✅ **Confirmé par support** | --- ## 🔍 Détails par service ### ✅ Services conformes RGPD #### AWS (S3, SES, Lambda) - **Région** : `eu-west-3` (Paris, France) - **Configuration** : `AWS_REGION=eu-west-3` - **Données stockées** : - S3 bucket `odentas-docs` : Documents PDF, contrats, fiches de paie - S3 bucket `stockage-logs-emails` : Logs d'envoi d'emails - Lambda : Processing des données via API Gateway - **Statut** : ✅ **100% conforme** #### Supabase - **Instance** : `fusqtpjififcmgbhmosq.supabase.co` - **Infrastructure** : Serveurs EU via Cloudflare - **Données stockées** : Base de données complète (profils, organisations, salariés, contrats, etc.) - **Statut** : ✅ **100% conforme** #### Vercel - **Région Functions** : `cdg1` (Paris, France) - **Configuration** : `vercel.json` → `"regions": ["cdg1"]` - **Important** : Les builds se font aux USA mais **aucune donnée client** n'y transite - Le code source est compilé aux USA - Le code compilé est déployé sur cdg1 - Les données clients ne quittent jamais cdg1 - **Statut** : ✅ **100% conforme** #### Docuseal - **API** : `https://api.docuseal.eu` - **Version** : Européenne (`.eu`) - **Données** : Signatures électroniques (contrats, avenants) - **Statut** : ✅ **100% conforme** #### PostHog - **Instance** : `https://eu.i.posthog.com` - **Configuration** : ```env NEXT_PUBLIC_POSTHOG_HOST=https://eu.i.posthog.com ``` - **Données** : Analytics utilisateurs (événements, pages vues) - **Statut** : ✅ **100% conforme** --- ### ⚠️ Services à vérifier - **Statut** : ✅ **100% conforme** #### GoCardless - **Environment** : `live` - **API** : GoCardless UK/EU - **Infrastructure** : Serveurs dans l'Espace Économique Européen (EEE) - **Données** : Mandats SEPA, paiements, coordonnées bancaires - **Mécanismes de protection** : - Opérations principales de traitement des paiements : ✅ Serveurs EEE - Prestataires tiers (hors EEE) : ✅ Clauses Contractuelles Types (SCC) de l'UE - Contrôle préalable des fournisseurs avec mécanismes RGPD approuvés - **Documentation** : - https://gocardless.com/legal/data-protection/ - https://gocardless.com/fr-fr/privacy/fr-gdpr/ - **Confirmation** : ✅ Support GoCardless - 23 octobre 2025 - **Statut** : ✅ **Conforme RGPD** #### PDFMonkey - **API** : `https://api.pdfmonkey.io` - **Entreprise** : Française (Paris - 51 rue de Ponthieu, 75008) - **Infrastructure** : Heroku + AWS - Serveurs UE - **Données envoyées** : - Informations contrats CDDU (nom, prénom, dates, salaires) - Informations structure employeur - Informations production - **Confirmation support** : ✅ 23 octobre 2025 > "Je confirme, les données (serveurs, base de données, stockage des fichiers) sont bien stockées en UE" > — Simon, PDFMonkey (tinymonkey@pdfmonkey.io) - **Statut** : ✅ **Conforme RGPD** --- #### GoCardless - **Environment** : `live` - **API** : GoCardless UK/EU - **Infrastructure** : Serveurs dans l'Espace Économique Européen (EEE) - **Données** : Mandats SEPA, paiements, coordonnées bancaires - **Mécanismes de protection** : - Opérations principales de traitement des paiements : ✅ Serveurs EEE - Prestataires tiers (hors EEE) : ✅ Clauses Contractuelles Types (SCC) de l'UE - Contrôle préalable des fournisseurs avec mécanismes RGPD approuvés - **Documentation** : - https://gocardless.com/legal/data-protection/ - https://gocardless.com/fr-fr/privacy/fr-gdpr/ - **Confirmation** : ✅ Support GoCardless - 23 octobre 2025 - **Statut** : ✅ **Conforme RGPD** #### PDFMonkey - **API** : `https://api.pdfmonkey.io` - **Entreprise** : Française (Paris - 51 rue de Ponthieu, 75008) - **Infrastructure** : Heroku + AWS - Serveurs UE - **Données envoyées** : - Informations contrats CDDU (nom, prénom, dates, salaires) - Informations structure employeur - Informations production - **Confirmation support** : ✅ 23 octobre 2025 > "Je confirme, les données (serveurs, base de données, stockage des fichiers) sont bien stockées en UE" > — Simon, PDFMonkey (tinymonkey@pdfmonkey.io) - **Statut** : ✅ **Conforme RGPD** --- ## 📝 Notes sur les services retirés ### 🚨 Priorité CRITIQUE 1. **PDFMonkey - Attendre réponse** - ✅ Mail envoyé le 23/10/2025 - ⏳ Attendre confirmation de la localisation des serveurs - Si réponse négative (serveurs hors EU) → **Migrer vers alternative** : - DocRaptor (option EU disponible) - PDF.co (serveurs EU) - Solution auto-hébergée (Puppeteer + AWS Lambda eu-west-3) --- ## 📝 Notes sur les services retirés ### Airtable et n8n Ces services ont été **complètement retirés** du projet le 23 octobre 2025 : #### Actions effectuées : - ✅ Suppression de l'API route `/api/contrats/[id]/virement` - ✅ Suppression du hook `useToggleVirement` dans les pages contrats - ✅ Suppression des variables d'environnement n8n de `.env.local` - ✅ Suppression des variables d'environnement Airtable de `.env.local` - ✅ Nettoyage des fichiers `.env.example` et `.env.local.example` #### Résidus restants (inactifs) : - Fichiers de backup : `.env.local.bak`, `.env.local.bak2` - Fichier HTML standalone : `hub_signature_batch.html` - Fichiers de documentation : `VIREMENTS_SALAIRES_STAFF_*.md` - Commentaire dans `app/api/access/route.ts` (ligne 412) - Lambda AWS ancienne : `/tmp/aws-toolkit-vscode/lambda/.../postDocuSealAvenantPDF/index.js` **Impact RGPD** : ✅ **Aucun** - Aucune donnée n'est envoyée à ces services --- ## 🎯 Plan d'action ### ✅ Tous les services confirmés ! **Statut global** : 🎉 **9/9 services conformes RGPD (100%)** Tous les services utilisés par l'Espace Paie Odentas ont été vérifiés et **stockent les données dans l'Union Européenne** : - ✅ AWS (S3, SES, Lambda) - eu-west-3 - ✅ Supabase - EU - ✅ Vercel - cdg1 (Paris) - ✅ Docuseal - api.docuseal.eu - ✅ PostHog - eu.i.posthog.com - ✅ GoCardless - EEE + SCC (confirmé par support) - ✅ PDFMonkey - EU (confirmé par support) **Aucune action requise** - La plateforme est **100% conforme RGPD**. --- ## 📝 Emails et confirmations ### Email envoyé à PDFMonkey **Date** : 23 octobre 2025 **Destinataire** : `tinymonkey@pdfmonkey.io` **Objet** : Question sur la localisation des données (RGPD) ``` Bonjour, Nous utilisons PDFMonkey pour générer des PDF contenant des données personnelles de salariés (contrats de travail CDDU) et devons nous assurer de la conformité RGPD. Pouvez-vous nous confirmer dans quelle région AWS/Heroku sont hébergées et traitées les données que nous vous envoyons via l'API ? Spécifiquement : - Les données restent-elles dans l'Union Européenne ? - Quelle est la région de vos serveurs de production (Heroku et AWS) ? Merci d'avance pour votre retour rapide. ``` ### Réponse de GoCardless **Date** : 23 octobre 2025 **Source** : Support GoCardless **Statut** : ✅ **Conforme RGPD** **Résumé de la réponse** : - ✅ **Opérations principales** : Serveurs dans l'Espace Économique Européen (EEE) - ✅ **Prestataires tiers** : Clauses Contractuelles Types (SCC) de l'Union européenne - ✅ **Contrôle préalable** : Mécanismes approuvés par le RGPD (constat d'adéquation, règles d'entreprise contraignantes) - ✅ **Protection des données** : Normes de l'Union européenne respectées **Documentation** : - Politique RGPD : https://gocardless.com/fr-fr/privacy/fr-gdpr/ - Protection des données : https://gocardless.com/legal/data-protection/ **Citation** : > "L'ensemble de nos principales opérations de traitement des paiements européens sont exécutées sur des serveurs situés dans l'Espace économique européen (EEE). [...] Dès lors que des données sont stockées dans ces services, nous veillons à ce qu'elles soient protégées selon les normes de l'Union européenne, en utilisant un mécanisme de transfert approuvé par le RGPD." ### Réponse de PDFMonkey **Date** : 23 octobre 2025 **Source** : Simon - PDFMonkey (tinymonkey@pdfmonkey.io) **Statut** : ✅ **Conforme RGPD** **Citation** : > "Bonjour Renaud, > > Je confirme, les données (serveurs, base de données, stockage des fichiers) sont bien stockées en UE > > Bien à vous, > Simon" --- ## 📝 Notes importantes ### Concernant Vercel Les builds Vercel aux USA **n'ont AUCUN impact** sur les données clients : - Le **code source** est compilé aux USA - Le **code compilé** est déployé sur `cdg1` (Paris) - Les **API Functions** s'exécutent sur `cdg1` - Les **données clients** ne transitent **JAMAIS** par les serveurs de build - Vercel ne stocke pas de données clients, uniquement des logs techniques ✅ **Aucun risque RGPD** de ce côté. ### CDNs externes Plusieurs CDNs sont utilisés pour charger des bibliothèques JavaScript : - `cdn.docuseal.com` (formulaires de signature) - `cdn.jsdelivr.net` (Bootstrap, Flatpickr) - `cdnjs.cloudflare.com` (Font Awesome) Ces CDNs peuvent servir depuis des serveurs hors UE, mais ils ne contiennent **aucune donnée client**, uniquement des fichiers statiques (CSS, JS, fonts). ✅ **Pas de problème RGPD** : Seuls des assets publics transitent, pas de données personnelles. --- ## 📊 Résumé | Statut | Nombre de services | |--------|-------------------| | ✅ Conforme RGPD | 9 services | | ⚠️ À vérifier | 0 service | | ❌ Non conforme | 0 service | | ✅ Retiré | 2 services (Airtable, n8n) | ### Taux de conformité final **9 / 9 confirmés = 100% 🎉** Tous les services utilisés par l'Espace Paie Odentas sont conformes RGPD et stockent les données dans l'Union Européenne.