renaud/espace-paie-odentas
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
espace-paie-odentas/RGPD_AUDIT_LOCALISATION_DONNEES.md
odentas e1d89ab765 feat: RGPD 100% + UX improvements staff contrats 
- Audit RGPD: confirmation PDFMonkey (100% services conformes EU)
- Staff contrats: reset tous filtres lors filtres rapides (recherche, org, type)
- Staff contrats: ajout colonne Production (production_name)
- Signature salarie: message info scroll pour signature
2025-10-23 18:24:41 +02:00

287 lines
11 KiB
Markdown
Raw Permalink Blame History

# 🇪🇺 Audit RGPD - Localisation des données clients
> **Date de l'audit** : 23 octobre 2025
> **Projet** : Nouvel Espace Paie Odentas
> **Objectif** : Vérifier que toutes les données clients restent dans l'Union Européenne
> **Résultat** : ✅ **9/9 services conformes (100%)**
---
## 📊 Tableau de conformité RGPD
| Service | Localisation | Infrastructure | Statut RGPD | Données transférées | Action requise |
|---------|--------------|----------------|-------------|---------------------|----------------|
| **AWS S3** | 🇪🇺 eu-west-3 (Paris) | AWS | ✅ Conforme | Documents, logs emails | - |
| **AWS SES** | 🇪🇺 eu-west-3 (Paris) | AWS | ✅ Conforme | Envoi emails | - |
| **AWS Lambda** | 🇪🇺 eu-west-3 (Paris) | AWS API Gateway | ✅ Conforme | Processing données | - |
| **Supabase** | 🇪🇺 EU | Cloudflare + serveurs UE | ✅ Conforme | Base de données complète | - |
| **Vercel Functions** | 🇪🇺 cdg1 (Paris) | Vercel Edge | ✅ Conforme | API routes, exécution | - |
| **Docuseal** | 🇪🇺 api.docuseal.eu | Version EU | ✅ Conforme | Signatures électroniques | - |
| **PostHog** | 🇪🇺 eu.i.posthog.com | Instance EU | ✅ Conforme | Analytics utilisateurs | - |
| **GoCardless** | 🇪🇺 EEE | Serveurs EEE + SCC UE | ✅ Conforme | Mandats SEPA, paiements | ✅ **Confirmé par support** |
| **PDFMonkey** | 🇪🇺 EU | Heroku + AWS EU | ✅ Conforme | Contrats CDDU (données salariés) | ✅ **Confirmé par support** |
---
## 🔍 Détails par service
### ✅ Services conformes RGPD
#### AWS (S3, SES, Lambda)
- **Région** : `eu-west-3` (Paris, France)
- **Configuration** : `AWS_REGION=eu-west-3`
- **Données stockées** :
- S3 bucket `odentas-docs` : Documents PDF, contrats, fiches de paie
- S3 bucket `stockage-logs-emails` : Logs d'envoi d'emails
- Lambda : Processing des données via API Gateway
- **Statut** : ✅ **100% conforme**
#### Supabase
- **Instance** : `fusqtpjififcmgbhmosq.supabase.co`
- **Infrastructure** : Serveurs EU via Cloudflare
- **Données stockées** : Base de données complète (profils, organisations, salariés, contrats, etc.)
- **Statut** : ✅ **100% conforme**
#### Vercel
- **Région Functions** : `cdg1` (Paris, France)
- **Configuration** : `vercel.json``"regions": ["cdg1"]`
- **Important** : Les builds se font aux USA mais **aucune donnée client** n'y transite
- Le code source est compilé aux USA
- Le code compilé est déployé sur cdg1
- Les données clients ne quittent jamais cdg1
- **Statut** : ✅ **100% conforme**
#### Docuseal
- **API** : `https://api.docuseal.eu`
- **Version** : Européenne (`.eu`)
- **Données** : Signatures électroniques (contrats, avenants)
- **Statut** : ✅ **100% conforme**
#### PostHog
- **Instance** : `https://eu.i.posthog.com`
- **Configuration** :
```env
NEXT_PUBLIC_POSTHOG_HOST=https://eu.i.posthog.com
```
- **Données** : Analytics utilisateurs (événements, pages vues)
- **Statut** : ✅ **100% conforme**
---
### ⚠️ Services à vérifier
- **Statut** : ✅ **100% conforme**
#### GoCardless
- **Environment** : `live`
- **API** : GoCardless UK/EU
- **Infrastructure** : Serveurs dans l'Espace Économique Européen (EEE)
- **Données** : Mandats SEPA, paiements, coordonnées bancaires
- **Mécanismes de protection** :
- Opérations principales de traitement des paiements : ✅ Serveurs EEE
- Prestataires tiers (hors EEE) : ✅ Clauses Contractuelles Types (SCC) de l'UE
- Contrôle préalable des fournisseurs avec mécanismes RGPD approuvés
- **Documentation** :
- https://gocardless.com/legal/data-protection/
- https://gocardless.com/fr-fr/privacy/fr-gdpr/
- **Confirmation** : ✅ Support GoCardless - 23 octobre 2025
- **Statut** : ✅ **Conforme RGPD**
#### PDFMonkey
- **API** : `https://api.pdfmonkey.io`
- **Entreprise** : Française (Paris - 51 rue de Ponthieu, 75008)
- **Infrastructure** : Heroku + AWS - Serveurs UE
- **Données envoyées** :
- Informations contrats CDDU (nom, prénom, dates, salaires)
- Informations structure employeur
- Informations production
- **Confirmation support** : ✅ 23 octobre 2025
> "Je confirme, les données (serveurs, base de données, stockage des fichiers) sont bien stockées en UE"
> — Simon, PDFMonkey (tinymonkey@pdfmonkey.io)
- **Statut** : ✅ **Conforme RGPD**
---
#### GoCardless
- **Environment** : `live`
- **API** : GoCardless UK/EU
- **Infrastructure** : Serveurs dans l'Espace Économique Européen (EEE)
- **Données** : Mandats SEPA, paiements, coordonnées bancaires
- **Mécanismes de protection** :
- Opérations principales de traitement des paiements : ✅ Serveurs EEE
- Prestataires tiers (hors EEE) : ✅ Clauses Contractuelles Types (SCC) de l'UE
- Contrôle préalable des fournisseurs avec mécanismes RGPD approuvés
- **Documentation** :
- https://gocardless.com/legal/data-protection/
- https://gocardless.com/fr-fr/privacy/fr-gdpr/
- **Confirmation** : ✅ Support GoCardless - 23 octobre 2025
- **Statut** : ✅ **Conforme RGPD**
#### PDFMonkey
- **API** : `https://api.pdfmonkey.io`
- **Entreprise** : Française (Paris - 51 rue de Ponthieu, 75008)
- **Infrastructure** : Heroku + AWS - Serveurs UE
- **Données envoyées** :
- Informations contrats CDDU (nom, prénom, dates, salaires)
- Informations structure employeur
- Informations production
- **Confirmation support** : ✅ 23 octobre 2025
> "Je confirme, les données (serveurs, base de données, stockage des fichiers) sont bien stockées en UE"
> — Simon, PDFMonkey (tinymonkey@pdfmonkey.io)
- **Statut** : ✅ **Conforme RGPD**
---
## 📝 Notes sur les services retirés
### 🚨 Priorité CRITIQUE
1. **PDFMonkey - Attendre réponse**
- ✅ Mail envoyé le 23/10/2025
- ⏳ Attendre confirmation de la localisation des serveurs
- Si réponse négative (serveurs hors EU) → **Migrer vers alternative** :
- DocRaptor (option EU disponible)
- PDF.co (serveurs EU)
- Solution auto-hébergée (Puppeteer + AWS Lambda eu-west-3)
---
## 📝 Notes sur les services retirés
### Airtable et n8n
Ces services ont été **complètement retirés** du projet le 23 octobre 2025 :
#### Actions effectuées :
- ✅ Suppression de l'API route `/api/contrats/[id]/virement`
- ✅ Suppression du hook `useToggleVirement` dans les pages contrats
- ✅ Suppression des variables d'environnement n8n de `.env.local`
- ✅ Suppression des variables d'environnement Airtable de `.env.local`
- ✅ Nettoyage des fichiers `.env.example` et `.env.local.example`
#### Résidus restants (inactifs) :
- Fichiers de backup : `.env.local.bak`, `.env.local.bak2`
- Fichier HTML standalone : `hub_signature_batch.html`
- Fichiers de documentation : `VIREMENTS_SALAIRES_STAFF_*.md`
- Commentaire dans `app/api/access/route.ts` (ligne 412)
- Lambda AWS ancienne : `/tmp/aws-toolkit-vscode/lambda/.../postDocuSealAvenantPDF/index.js`
**Impact RGPD** : ✅ **Aucun** - Aucune donnée n'est envoyée à ces services
---
## 🎯 Plan d'action
### ✅ Tous les services confirmés !
**Statut global** : 🎉 **9/9 services conformes RGPD (100%)**
Tous les services utilisés par l'Espace Paie Odentas ont été vérifiés et **stockent les données dans l'Union Européenne** :
- ✅ AWS (S3, SES, Lambda) - eu-west-3
- ✅ Supabase - EU
- ✅ Vercel - cdg1 (Paris)
- ✅ Docuseal - api.docuseal.eu
- ✅ PostHog - eu.i.posthog.com
- ✅ GoCardless - EEE + SCC (confirmé par support)
- ✅ PDFMonkey - EU (confirmé par support)
**Aucune action requise** - La plateforme est **100% conforme RGPD**.
---
## 📝 Emails et confirmations
### Email envoyé à PDFMonkey
**Date** : 23 octobre 2025
**Destinataire** : `tinymonkey@pdfmonkey.io`
**Objet** : Question sur la localisation des données (RGPD)
```
Bonjour,
Nous utilisons PDFMonkey pour générer des PDF contenant des données personnelles
de salariés (contrats de travail CDDU) et devons nous assurer de la conformité RGPD.
Pouvez-vous nous confirmer dans quelle région AWS/Heroku sont hébergées et
traitées les données que nous vous envoyons via l'API ?
Spécifiquement :
- Les données restent-elles dans l'Union Européenne ?
- Quelle est la région de vos serveurs de production (Heroku et AWS) ?
Merci d'avance pour votre retour rapide.
```
### Réponse de GoCardless
**Date** : 23 octobre 2025
**Source** : Support GoCardless
**Statut** : ✅ **Conforme RGPD**
**Résumé de la réponse** :
-**Opérations principales** : Serveurs dans l'Espace Économique Européen (EEE)
-**Prestataires tiers** : Clauses Contractuelles Types (SCC) de l'Union européenne
-**Contrôle préalable** : Mécanismes approuvés par le RGPD (constat d'adéquation, règles d'entreprise contraignantes)
-**Protection des données** : Normes de l'Union européenne respectées
**Documentation** :
- Politique RGPD : https://gocardless.com/fr-fr/privacy/fr-gdpr/
- Protection des données : https://gocardless.com/legal/data-protection/
**Citation** :
> "L'ensemble de nos principales opérations de traitement des paiements européens sont exécutées sur des serveurs situés dans l'Espace économique européen (EEE). [...] Dès lors que des données sont stockées dans ces services, nous veillons à ce qu'elles soient protégées selon les normes de l'Union européenne, en utilisant un mécanisme de transfert approuvé par le RGPD."
### Réponse de PDFMonkey
**Date** : 23 octobre 2025
**Source** : Simon - PDFMonkey (tinymonkey@pdfmonkey.io)
**Statut** : ✅ **Conforme RGPD**
**Citation** :
> "Bonjour Renaud,
>
> Je confirme, les données (serveurs, base de données, stockage des fichiers) sont bien stockées en UE
>
> Bien à vous,
> Simon"
---
## 📝 Notes importantes
### Concernant Vercel
Les builds Vercel aux USA **n'ont AUCUN impact** sur les données clients :
- Le **code source** est compilé aux USA
- Le **code compilé** est déployé sur `cdg1` (Paris)
- Les **API Functions** s'exécutent sur `cdg1`
- Les **données clients** ne transitent **JAMAIS** par les serveurs de build
- Vercel ne stocke pas de données clients, uniquement des logs techniques
**Aucun risque RGPD** de ce côté.
### CDNs externes
Plusieurs CDNs sont utilisés pour charger des bibliothèques JavaScript :
- `cdn.docuseal.com` (formulaires de signature)
- `cdn.jsdelivr.net` (Bootstrap, Flatpickr)
- `cdnjs.cloudflare.com` (Font Awesome)
Ces CDNs peuvent servir depuis des serveurs hors UE, mais ils ne contiennent **aucune donnée client**, uniquement des fichiers statiques (CSS, JS, fonts).
**Pas de problème RGPD** : Seuls des assets publics transitent, pas de données personnelles.
---
## 📊 Résumé
| Statut | Nombre de services |
|--------|-------------------|
| ✅ Conforme RGPD | 9 services |
| ⚠️ À vérifier | 0 service |
| ❌ Non conforme | 0 service |
| ✅ Retiré | 2 services (Airtable, n8n) |
### Taux de conformité final
**9 / 9 confirmés = 100% 🎉**
Tous les services utilisés par l'Espace Paie Odentas sont conformes RGPD et stockent les données dans l'Union Européenne.
Reference in a new issue View git blame Copy permalink