odentas
e1d89ab765
- Audit RGPD: confirmation PDFMonkey (100% services conformes EU) - Staff contrats: reset tous filtres lors filtres rapides (recherche, org, type) - Staff contrats: ajout colonne Production (production_name) - Signature salarie: message info scroll pour signature
11 KiB
🇪🇺 Audit RGPD - Localisation des données clients
Date de l'audit : 23 octobre 2025
Projet : Nouvel Espace Paie Odentas
Objectif : Vérifier que toutes les données clients restent dans l'Union Européenne
Résultat : ✅ 9/9 services conformes (100%)
📊 Tableau de conformité RGPD
| Service | Localisation | Infrastructure | Statut RGPD | Données transférées | Action requise |
|---|---|---|---|---|---|
| AWS S3 | 🇪🇺 eu-west-3 (Paris) | AWS | ✅ Conforme | Documents, logs emails | - |
| AWS SES | 🇪🇺 eu-west-3 (Paris) | AWS | ✅ Conforme | Envoi emails | - |
| AWS Lambda | 🇪🇺 eu-west-3 (Paris) | AWS API Gateway | ✅ Conforme | Processing données | - |
| Supabase | 🇪🇺 EU | Cloudflare + serveurs UE | ✅ Conforme | Base de données complète | - |
| Vercel Functions | 🇪🇺 cdg1 (Paris) | Vercel Edge | ✅ Conforme | API routes, exécution | - |
| Docuseal | 🇪🇺 api.docuseal.eu | Version EU | ✅ Conforme | Signatures électroniques | - |
| PostHog | 🇪🇺 eu.i.posthog.com | Instance EU | ✅ Conforme | Analytics utilisateurs | - |
| GoCardless | 🇪🇺 EEE | Serveurs EEE + SCC UE | ✅ Conforme | Mandats SEPA, paiements | ✅ Confirmé par support |
| PDFMonkey | 🇪🇺 EU | Heroku + AWS EU | ✅ Conforme | Contrats CDDU (données salariés) | ✅ Confirmé par support |
🔍 Détails par service
✅ Services conformes RGPD
AWS (S3, SES, Lambda)
- Région :
eu-west-3(Paris, France) - Configuration :
AWS_REGION=eu-west-3 - Données stockées :
- S3 bucket
odentas-docs: Documents PDF, contrats, fiches de paie - S3 bucket
stockage-logs-emails: Logs d'envoi d'emails - Lambda : Processing des données via API Gateway
- S3 bucket
- Statut : ✅ 100% conforme
Supabase
- Instance :
fusqtpjififcmgbhmosq.supabase.co - Infrastructure : Serveurs EU via Cloudflare
- Données stockées : Base de données complète (profils, organisations, salariés, contrats, etc.)
- Statut : ✅ 100% conforme
Vercel
- Région Functions :
cdg1(Paris, France) - Configuration :
vercel.json→"regions": ["cdg1"] - Important : Les builds se font aux USA mais aucune donnée client n'y transite
- Le code source est compilé aux USA
- Le code compilé est déployé sur cdg1
- Les données clients ne quittent jamais cdg1
- Statut : ✅ 100% conforme
Docuseal
- API :
https://api.docuseal.eu - Version : Européenne (
.eu) - Données : Signatures électroniques (contrats, avenants)
- Statut : ✅ 100% conforme
PostHog
- Instance :
https://eu.i.posthog.com - Configuration :
NEXT_PUBLIC_POSTHOG_HOST=https://eu.i.posthog.com - Données : Analytics utilisateurs (événements, pages vues)
- Statut : ✅ 100% conforme
⚠️ Services à vérifier
- Statut : ✅ 100% conforme
GoCardless
- Environment :
live - API : GoCardless UK/EU
- Infrastructure : Serveurs dans l'Espace Économique Européen (EEE)
- Données : Mandats SEPA, paiements, coordonnées bancaires
- Mécanismes de protection :
- Opérations principales de traitement des paiements : ✅ Serveurs EEE
- Prestataires tiers (hors EEE) : ✅ Clauses Contractuelles Types (SCC) de l'UE
- Contrôle préalable des fournisseurs avec mécanismes RGPD approuvés
- Documentation :
- Confirmation : ✅ Support GoCardless - 23 octobre 2025
- Statut : ✅ Conforme RGPD
PDFMonkey
- API :
https://api.pdfmonkey.io - Entreprise : Française (Paris - 51 rue de Ponthieu, 75008)
- Infrastructure : Heroku + AWS - Serveurs UE
- Données envoyées :
- Informations contrats CDDU (nom, prénom, dates, salaires)
- Informations structure employeur
- Informations production
- Confirmation support : ✅ 23 octobre 2025
"Je confirme, les données (serveurs, base de données, stockage des fichiers) sont bien stockées en UE" — Simon, PDFMonkey (tinymonkey@pdfmonkey.io)
- Statut : ✅ Conforme RGPD
GoCardless
- Environment :
live - API : GoCardless UK/EU
- Infrastructure : Serveurs dans l'Espace Économique Européen (EEE)
- Données : Mandats SEPA, paiements, coordonnées bancaires
- Mécanismes de protection :
- Opérations principales de traitement des paiements : ✅ Serveurs EEE
- Prestataires tiers (hors EEE) : ✅ Clauses Contractuelles Types (SCC) de l'UE
- Contrôle préalable des fournisseurs avec mécanismes RGPD approuvés
- Documentation :
- Confirmation : ✅ Support GoCardless - 23 octobre 2025
- Statut : ✅ Conforme RGPD
PDFMonkey
- API :
https://api.pdfmonkey.io - Entreprise : Française (Paris - 51 rue de Ponthieu, 75008)
- Infrastructure : Heroku + AWS - Serveurs UE
- Données envoyées :
- Informations contrats CDDU (nom, prénom, dates, salaires)
- Informations structure employeur
- Informations production
- Confirmation support : ✅ 23 octobre 2025
"Je confirme, les données (serveurs, base de données, stockage des fichiers) sont bien stockées en UE" — Simon, PDFMonkey (tinymonkey@pdfmonkey.io)
- Statut : ✅ Conforme RGPD
📝 Notes sur les services retirés
🚨 Priorité CRITIQUE
- PDFMonkey - Attendre réponse
- ✅ Mail envoyé le 23/10/2025
- ⏳ Attendre confirmation de la localisation des serveurs
- Si réponse négative (serveurs hors EU) → Migrer vers alternative :
- DocRaptor (option EU disponible)
- PDF.co (serveurs EU)
- Solution auto-hébergée (Puppeteer + AWS Lambda eu-west-3)
📝 Notes sur les services retirés
Airtable et n8n
Ces services ont été complètement retirés du projet le 23 octobre 2025 :
Actions effectuées :
- ✅ Suppression de l'API route
/api/contrats/[id]/virement - ✅ Suppression du hook
useToggleVirementdans les pages contrats - ✅ Suppression des variables d'environnement n8n de
.env.local - ✅ Suppression des variables d'environnement Airtable de
.env.local - ✅ Nettoyage des fichiers
.env.exampleet.env.local.example
Résidus restants (inactifs) :
- Fichiers de backup :
.env.local.bak,.env.local.bak2 - Fichier HTML standalone :
hub_signature_batch.html - Fichiers de documentation :
VIREMENTS_SALAIRES_STAFF_*.md - Commentaire dans
app/api/access/route.ts(ligne 412) - Lambda AWS ancienne :
/tmp/aws-toolkit-vscode/lambda/.../postDocuSealAvenantPDF/index.js
Impact RGPD : ✅ Aucun - Aucune donnée n'est envoyée à ces services
🎯 Plan d'action
✅ Tous les services confirmés !
Statut global : 🎉 9/9 services conformes RGPD (100%)
Tous les services utilisés par l'Espace Paie Odentas ont été vérifiés et stockent les données dans l'Union Européenne :
- ✅ AWS (S3, SES, Lambda) - eu-west-3
- ✅ Supabase - EU
- ✅ Vercel - cdg1 (Paris)
- ✅ Docuseal - api.docuseal.eu
- ✅ PostHog - eu.i.posthog.com
- ✅ GoCardless - EEE + SCC (confirmé par support)
- ✅ PDFMonkey - EU (confirmé par support)
Aucune action requise - La plateforme est 100% conforme RGPD.
📝 Emails et confirmations
Email envoyé à PDFMonkey
Date : 23 octobre 2025
Destinataire : tinymonkey@pdfmonkey.io
Objet : Question sur la localisation des données (RGPD)
Bonjour,
Nous utilisons PDFMonkey pour générer des PDF contenant des données personnelles
de salariés (contrats de travail CDDU) et devons nous assurer de la conformité RGPD.
Pouvez-vous nous confirmer dans quelle région AWS/Heroku sont hébergées et
traitées les données que nous vous envoyons via l'API ?
Spécifiquement :
- Les données restent-elles dans l'Union Européenne ?
- Quelle est la région de vos serveurs de production (Heroku et AWS) ?
Merci d'avance pour votre retour rapide.
Réponse de GoCardless
Date : 23 octobre 2025
Source : Support GoCardless
Statut : ✅ Conforme RGPD
Résumé de la réponse :
- ✅ Opérations principales : Serveurs dans l'Espace Économique Européen (EEE)
- ✅ Prestataires tiers : Clauses Contractuelles Types (SCC) de l'Union européenne
- ✅ Contrôle préalable : Mécanismes approuvés par le RGPD (constat d'adéquation, règles d'entreprise contraignantes)
- ✅ Protection des données : Normes de l'Union européenne respectées
Documentation :
- Politique RGPD : https://gocardless.com/fr-fr/privacy/fr-gdpr/
- Protection des données : https://gocardless.com/legal/data-protection/
Citation :
"L'ensemble de nos principales opérations de traitement des paiements européens sont exécutées sur des serveurs situés dans l'Espace économique européen (EEE). [...] Dès lors que des données sont stockées dans ces services, nous veillons à ce qu'elles soient protégées selon les normes de l'Union européenne, en utilisant un mécanisme de transfert approuvé par le RGPD."
Réponse de PDFMonkey
Date : 23 octobre 2025
Source : Simon - PDFMonkey (tinymonkey@pdfmonkey.io)
Statut : ✅ Conforme RGPD
Citation :
"Bonjour Renaud,
Je confirme, les données (serveurs, base de données, stockage des fichiers) sont bien stockées en UE
Bien à vous, Simon"
📝 Notes importantes
Concernant Vercel
Les builds Vercel aux USA n'ont AUCUN impact sur les données clients :
- Le code source est compilé aux USA
- Le code compilé est déployé sur
cdg1(Paris) - Les API Functions s'exécutent sur
cdg1 - Les données clients ne transitent JAMAIS par les serveurs de build
- Vercel ne stocke pas de données clients, uniquement des logs techniques
✅ Aucun risque RGPD de ce côté.
CDNs externes
Plusieurs CDNs sont utilisés pour charger des bibliothèques JavaScript :
cdn.docuseal.com(formulaires de signature)cdn.jsdelivr.net(Bootstrap, Flatpickr)cdnjs.cloudflare.com(Font Awesome)
Ces CDNs peuvent servir depuis des serveurs hors UE, mais ils ne contiennent aucune donnée client, uniquement des fichiers statiques (CSS, JS, fonts).
✅ Pas de problème RGPD : Seuls des assets publics transitent, pas de données personnelles.
📊 Résumé
| Statut | Nombre de services |
|---|---|
| ✅ Conforme RGPD | 9 services |
| ⚠️ À vérifier | 0 service |
| ❌ Non conforme | 0 service |
| ✅ Retiré | 2 services (Airtable, n8n) |
Taux de conformité final
9 / 9 confirmés = 100% 🎉
Tous les services utilisés par l'Espace Paie Odentas sont conformes RGPD et stockent les données dans l'Union Européenne.