espace-paie-odentas/RGPD_AUDIT_LOCALISATION_DONNEES.md

🇪🇺 Audit RGPD - Localisation des données clients

Date de l'audit : 23 octobre 2025
Projet : Nouvel Espace Paie Odentas
Objectif : Vérifier que toutes les données clients restent dans l'Union Européenne

---

📊 Tableau de conformité RGPD

Service	Localisation	Infrastructure	Statut RGPD	Données transférées	Action requise
AWS S3	🇪🇺 eu-west-3 (Paris)	AWS	✅ Conforme	Documents, logs emails	-
AWS SES	🇪🇺 eu-west-3 (Paris)	AWS	✅ Conforme	Envoi emails	-
AWS Lambda	🇪🇺 eu-west-3 (Paris)	AWS API Gateway	✅ Conforme	Processing données	-
Supabase	🇪🇺 EU	Cloudflare + serveurs UE	✅ Conforme	Base de données complète	-
Vercel Functions	🇪🇺 cdg1 (Paris)	Vercel Edge	✅ Conforme	API routes, exécution	-
Docuseal	🇪🇺 api.docuseal.eu	Version EU	✅ Conforme	Signatures électroniques	-
PostHog	🇪🇺 eu.i.posthog.com	Instance EU	✅ Conforme	Analytics utilisateurs	-
GoCardless	🇪🇺 EEE	Serveurs EEE + SCC UE	✅ Conforme	Mandats SEPA, paiements	✅ Confirmé par support
PDFMonkey	⚠️ En attente	Heroku + AWS (région ?)	⚠️ À confirmer	Contrats CDDU (données salariés)	Mail envoyé - en attente réponse

---

🔍 Détails par service

✅ Services conformes RGPD

AWS (S3, SES, Lambda)

• Région : eu-west-3 (Paris, France)
• Configuration : AWS_REGION=eu-west-3
• Données stockées :
  • S3 bucket odentas-docs : Documents PDF, contrats, fiches de paie
  • S3 bucket stockage-logs-emails : Logs d'envoi d'emails
  • Lambda : Processing des données via API Gateway
• Statut : ✅ 100% conforme

Supabase

• Instance : fusqtpjififcmgbhmosq.supabase.co
• Infrastructure : Serveurs EU via Cloudflare
• Données stockées : Base de données complète (profils, organisations, salariés, contrats, etc.)
• Statut : ✅ 100% conforme

Vercel

• Région Functions : cdg1 (Paris, France)
• Configuration : vercel.json → "regions": ["cdg1"]
• Important : Les builds se font aux USA mais aucune donnée client n'y transite
  • Le code source est compilé aux USA
  • Le code compilé est déployé sur cdg1
  • Les données clients ne quittent jamais cdg1
• Statut : ✅ 100% conforme

Docuseal

• API : https://api.docuseal.eu
• Version : Européenne (.eu)
• Données : Signatures électroniques (contrats, avenants)
• Statut : ✅ 100% conforme

PostHog

• Instance : https://eu.i.posthog.com
• Configuration :

  NEXT_PUBLIC_POSTHOG_HOST=https://eu.i.posthog.com
  

• Données : Analytics utilisateurs (événements, pages vues)
• Statut : ✅ 100% conforme

---

⚠️ Services à vérifier

PDFMonkey

• API : https://api.pdfmonkey.io
• Entreprise : Française (Paris - 51 rue de Ponthieu, 75008)
• Infrastructure déclarée : Heroku + AWS (région non spécifiée)
• Données envoyées :
  • Informations contrats CDDU (nom, prénom, dates, salaires)
  • Informations structure employeur
  • Informations production
• Problème : Heroku héberge par défaut aux USA (us-east-1)
• Action :
  • ✅ Mail envoyé à tinymonkey@pdfmonkey.io le 23/10/2025
  • ⏳ En attente de confirmation de la région de traitement
• Statut : ⚠️ En attente de réponse

GoCardless

• Environment : live
• API : GoCardless UK/EU
• Infrastructure : Serveurs dans l'Espace Économique Européen (EEE)
• Données : Mandats SEPA, paiements, coordonnées bancaires
• Mécanismes de protection :
  • Opérations principales de traitement des paiements : ✅ Serveurs EEE
  • Prestataires tiers (hors EEE) : ✅ Clauses Contractuelles Types (SCC) de l'UE
  • Contrôle préalable des fournisseurs avec mécanismes RGPD approuvés
• Documentation :
  • https://gocardless.com/legal/data-protection/
  • https://gocardless.com/fr-fr/privacy/fr-gdpr/
• Confirmation : ✅ Support GoCardless - 23 octobre 2025
• Statut : ✅ Conforme RGPD

---

📝 Notes sur les services retirés

🚨 Priorité CRITIQUE

1. PDFMonkey - Attendre réponse
   • ✅ Mail envoyé le 23/10/2025
   • ⏳ Attendre confirmation de la localisation des serveurs
   • Si réponse négative (serveurs hors EU) → Migrer vers alternative :
     • DocRaptor (option EU disponible)
     • PDF.co (serveurs EU)
     • Solution auto-hébergée (Puppeteer + AWS Lambda eu-west-3)

---

📝 Notes sur les services retirés

Airtable et n8n

Ces services ont été complètement retirés du projet le 23 octobre 2025 :

Actions effectuées :

• ✅ Suppression de l'API route /api/contrats/[id]/virement
• ✅ Suppression du hook useToggleVirement dans les pages contrats
• ✅ Suppression des variables d'environnement n8n de .env.local
• ✅ Suppression des variables d'environnement Airtable de .env.local
• ✅ Nettoyage des fichiers .env.example et .env.local.example

Résidus restants (inactifs) :

• Fichiers de backup : .env.local.bak, .env.local.bak2
• Fichier HTML standalone : hub_signature_batch.html
• Fichiers de documentation : VIREMENTS_SALAIRES_STAFF_*.md
• Commentaire dans app/api/access/route.ts (ligne 412)
• Lambda AWS ancienne : /tmp/aws-toolkit-vscode/lambda/.../postDocuSealAvenantPDF/index.js

Impact RGPD : ✅ Aucun - Aucune donnée n'est envoyée à ces services

---

🎯 Plan d'action

🚨 Priorité CRITIQUE

1. PDFMonkey - Attendre réponse
   • ✅ Mail envoyé le 23/10/2025
   • ⏳ Attendre confirmation de la localisation des serveurs
   • Si réponse négative (serveurs hors EU) → Migrer vers alternative :
     • DocRaptor (option EU disponible)
     • PDF.co (serveurs EU)
     • Solution auto-hébergée (Puppeteer + AWS Lambda eu-west-3)

---

📝 Emails et confirmations

Email envoyé à PDFMonkey

Date : 23 octobre 2025
Destinataire : tinymonkey@pdfmonkey.io
Objet : Question sur la localisation des données (RGPD)

Bonjour,

Nous utilisons PDFMonkey pour générer des PDF contenant des données personnelles 
de salariés (contrats de travail CDDU) et devons nous assurer de la conformité RGPD.

Pouvez-vous nous confirmer dans quelle région AWS/Heroku sont hébergées et 
traitées les données que nous vous envoyons via l'API ? 

Spécifiquement :
- Les données restent-elles dans l'Union Européenne ?
- Quelle est la région de vos serveurs de production (Heroku et AWS) ?

Merci d'avance pour votre retour rapide.

Réponse de GoCardless

Date : 23 octobre 2025
Source : Support GoCardless
Statut : ✅ Conforme RGPD

Résumé de la réponse :

• ✅ Opérations principales : Serveurs dans l'Espace Économique Européen (EEE)
• ✅ Prestataires tiers : Clauses Contractuelles Types (SCC) de l'Union européenne
• ✅ Contrôle préalable : Mécanismes approuvés par le RGPD (constat d'adéquation, règles d'entreprise contraignantes)
• ✅ Protection des données : Normes de l'Union européenne respectées

Documentation :

• Politique RGPD : https://gocardless.com/fr-fr/privacy/fr-gdpr/
• Protection des données : https://gocardless.com/legal/data-protection/

Citation :

"L'ensemble de nos principales opérations de traitement des paiements européens sont exécutées sur des serveurs situés dans l'Espace économique européen (EEE). [...] Dès lors que des données sont stockées dans ces services, nous veillons à ce qu'elles soient protégées selon les normes de l'Union européenne, en utilisant un mécanisme de transfert approuvé par le RGPD."

---

📝 Notes importantes

Concernant Vercel

Les builds Vercel aux USA n'ont AUCUN impact sur les données clients :

• Le code source est compilé aux USA
• Le code compilé est déployé sur cdg1 (Paris)
• Les API Functions s'exécutent sur cdg1
• Les données clients ne transitent JAMAIS par les serveurs de build
• Vercel ne stocke pas de données clients, uniquement des logs techniques

✅ Aucun risque RGPD de ce côté.

CDNs externes

Plusieurs CDNs sont utilisés pour charger des bibliothèques JavaScript :

• cdn.docuseal.com (formulaires de signature)
• cdn.jsdelivr.net (Bootstrap, Flatpickr)
• cdnjs.cloudflare.com (Font Awesome)

Ces CDNs peuvent servir depuis des serveurs hors UE, mais ils ne contiennent aucune donnée client, uniquement des fichiers statiques (CSS, JS, fonts).

✅ Pas de problème RGPD : Seuls des assets publics transitent, pas de données personnelles.

---

📊 Résumé

Statut	Nombre de services
✅ Conforme RGPD	8 services
⚠️ À vérifier	1 service
❌ Non conforme	0 service
✅ Retiré	2 services (Airtable, n8n)

Taux de conformité actuel

8 / 9 confirmés = 89%

Avec la vérification en cours (PDFMonkey), le taux devrait atteindre 100%.