Conformité légale — Document vivant
Registre des traitements, rôles responsable/sous-traitant, DPA, droits des personnes, durées de conservation, sécurité des données et plan de gestion des violations — pour Anim'Gest et ses clients professionnels.
72h
Délai notification CNIL
30j
Délai réponse droits
5 ans
Rétention comptable
Art. 30
Registre RGPD
01Rôles & responsabilités
Le RGPD distingue deux rôles fondamentaux. Les confondre expose à des sanctions. Dans le modèle SaaS Anim'Gest, la chaîne comporte trois niveaux.
Responsable de traitement (RT)
Définition
Qui décideLes finalités ET les moyens du traitement
ObligationInformer les personnes, garantir leurs droits, tenir le registre
ResponsabilitéPremière ligne vis-à-vis des personnes concernées et de la CNIL
RT dans Anim'Gest
Données clients prosAnim'Gest / SuperAdmin — gère les comptes sociétés
Données propriétairesLe professionnel — cabinet, comportementaliste
Données animauxLe professionnel — décide du traitement
Sous-traitant (ST)
Définition
Qui exécuteTraite les données pour le compte du RT
ObligationAgir uniquement sur instruction documentée du RT
ContratDPA (Data Processing Agreement) obligatoire avec chaque RT
ST dans Anim'Gest
Anim'Gest vis-à-vis des prosSous-traitant — héberge et traite les données métier des pros
Hetzner vis-à-vis de Anim'GestSous-traitant — hébergeur physique des serveurs
GoCardlessSous-traitant — traite les données bancaires SEPA
Chaîne complète des rôles
| Niveau | Entité | Rôle | Données concernées | DPA requis avec |
|---|---|---|---|---|
| 1 | Propriétaire animal / Client pro | Personne concernée | Ses propres données | — |
| 2 | Cabinet comportementaliste | Responsable de traitement | Données propriétaires, animaux, séances | Signer DPA avec Anim'Gest |
| 3 | Anim'Gest / SuperAdmin | RT (ses données) + ST (données pros) | Données d'abonnement + toutes données hébergées | DPA Hetzner, GoCardless, Mailgun |
| 4 | Hetzner Cloud | Sous-traitant ultérieur | Toutes données physiquement hébergées | Contrat Hetzner (DPA EU inclus) |
| 4 | GoCardless | Sous-traitant ultérieur | IBAN, données bancaires | Contrat GoCardless (DPA EU inclus) |
| 4 | Mailgun / Twilio | Sous-traitant ultérieur | Emails, numéros de téléphone | DPA Mailgun / Twilio |
Anim'Gest a la double casquette : RT pour ses propres données clients (abonnements, facturation) et ST pour les données métier hébergées pour le compte des pros. Cette dualité est courante dans le SaaS B2B.
02Registre des traitements (Art. 30 RGPD)
Obligatoire pour toute organisation traitant des données personnelles. Anim'Gest tient deux registres : l'un en tant que RT (ses propres données clients), l'autre en tant que ST (données des tenants).
Registre Anim'Gest — en tant que Responsable de traitement
T01 — Gestion des abonnements clients professionnelsRT-PTS-001
Finalité
Gestion des contrats, facturation, SEPA
Base légale
Art. 6.1.b — Exécution du contrat
Catégories de données
Nom, email, SIRET, IBAN chiffré, données de facturation
Personnes concernées
Administrateurs des sociétés clientes
Durée conservation
Durée contrat + 5 ans (comptabilité)
Destinataires
GoCardless (SEPA), Hetzner (hébergement)
Transferts hors UE
Aucun — GoCardless EU, Hetzner EU (Allemagne)
T02 — Portail super admin & audit plateformeRT-PTS-002
Finalité
Supervision technique, sécurité, anti-fraude
Base légale
Art. 6.1.f — Intérêt légitime (sécurité)
Catégories de données
Logs d'accès, adresses IP, actions administratives
Personnes concernées
Super admin, admins sociétés
Durée conservation
12 mois pour logs d'accès — illimité pour audit critique
Destinataires
Hetzner (hébergement logs)
T03 — Communications commerciales & supportRT-PTS-003
Finalité
Emails transactionnels, support, notifications SEPA
Base légale
Art. 6.1.b — Contrat (transactionnel) / 6.1.a — Consentement (marketing)
Catégories de données
Email, nom, historique interactions
Personnes concernées
Admins sociétés clientes
Durée conservation
Durée contrat + 3 ans (prospection)
Destinataires
Mailgun (routage emails)
Registre Anim'Gest — en tant que Sous-traitant (données des pros)
En tant que ST, Anim'Gest tient également un registre des catégories de traitements effectués pour le compte des responsables (art. 30.2). Chaque professionnel client doit lui-même tenir son propre registre RT.
ST01 — Hébergement données métier des professionnelsST-PTS-001
Catégories de traitements
Gestion clients, animaux, séances, facturation, GED, CRM
Responsables de traitement
Chaque professionnel client (cabinet, éleveur, comportementaliste)
Catégories de personnes
Propriétaires d'animaux, contacts, tiers fournisseurs
Catégories de données
Identité, coordonnées, données comportementales animaux, données financières
Transferts hors UE
Aucun — tout hébergé Hetzner EU
Mesures sécurité
Isolation par schema, chiffrement TLS, backup chiffré, accès SSH clé
Registre type pour les professionnels clients
Chaque professionnel utilisant Anim'Gest doit tenir son propre registre RT. Anim'Gest peut leur fournir un modèle (valeur ajoutée du service).
| Traitement | Finalité | Base légale | Durée |
|---|---|---|---|
| Gestion clientèle propriétaires | Suivi commercial, facturation, relation client | Art. 6.1.b — Contrat de service | Durée relation + 5 ans |
| Suivi comportemental animaux | Prestation comportementaliste — dossier EC, CAC | Art. 6.1.b — Contrat de service | Durée relation + 3 ans |
| Facturation & comptabilité | Obligations comptables et fiscales | Art. 6.1.c — Obligation légale | 10 ans (Code commerce) |
| GED — documents clients | Archivage des pièces justificatives | Art. 6.1.b — Contrat | Durée relation + 5 ans |
| CRM & prospection | Suivi commercial prospects/leads | Art. 6.1.f — Intérêt légitime | 3 ans sans contact |
| Portail client (partage dossier) | Accès propriétaire à son dossier animal | Art. 6.1.a — Consentement | Durée relation |
03DPA — Accord de traitement des données
Le DPA (Data Processing Agreement) est le contrat obligatoire entre Anim'Gest (ST) et chaque professionnel client (RT), exigé par l'art. 28 RGPD. Il doit être signé avant tout traitement.
Clauses obligatoires (art. 28.3 RGPD)
| Clause | Contenu requis | Statut Anim'Gest |
|---|---|---|
| Objet & durée | Description du traitement, durée alignée sur le contrat commercial | À rédiger |
| Instructions documentées | ST traite uniquement sur instruction du RT — instructions incluses dans les CGV | À rédiger |
| Confidentialité | Personnel autorisé soumis à obligation de confidentialité | À rédiger |
| Mesures de sécurité | Référence aux mesures techniques (art. 32) — voir section 06 | À rédiger |
| Sous-traitants ultérieurs | Liste des ST (Hetzner, GoCardless…) + autorisation générale ou spécifique | À rédiger |
| Assistance au RT | Aide pour répondre aux droits des personnes et aux demandes CNIL | À rédiger |
| Sort des données | Restitution ou suppression en fin de contrat — délais définis | Dans CGV |
| Audit | Droit d'audit du RT — modalités pratiques définies | À rédiger |
| Violation de données | Notification au RT dans les 24h d'une violation détectée | À rédiger |
Le DPA peut être intégré directement dans les CGV (Annexe DPA) ou constituer un document séparé. L'intégrer dans les CGV simplifie la gestion à l'échelle SaaS — à valider avec un juriste.
Liste des sous-traitants ultérieurs à déclarer
| Prestataire | Pays | Traitement | DPA disponible |
|---|---|---|---|
| Hetzner Cloud | 🇩🇪 Allemagne (UE) | Hébergement serveurs, stockage | Oui — contrat standard |
| GoCardless | 🇬🇧 UK / 🇪🇺 UE | Traitement mandats SEPA, prélèvements | Oui — certifié |
| Mailgun (Sinch) | 🇺🇸 USA → SCC | Routage emails transactionnels | Oui — SCC incluses |
| Twilio | 🇺🇸 USA → SCC | SMS rappels | Oui — SCC incluses |
| Stripe | 🇮🇪 Irlande (UE) | Paiement CB portail client | Oui — certifié |
| Yousign | 🇫🇷 France (UE) | Signature électronique | Oui — eIDAS |
| GitHub (Microsoft) | 🇺🇸 USA → SCC | Code source + CI/CD | Oui — SCC |
SCC = Standard Contractual Clauses — mécanisme légal permettant les transferts hors UE post-Schrems II. Mailgun, Twilio et GitHub en USA sont couverts par ces clauses.
04Droits des personnes concernées
Les personnes concernées par les données des professionnels (propriétaires d'animaux, contacts) doivent exercer leurs droits directement auprès du professionnel (RT). Anim'Gest (ST) assiste le professionnel dans ce traitement.
Droits des propriétaires (vis-à-vis du pro)
Droit d'information
Informé via mentions légales dans le portail client. Le pro est responsable de cette information.
Immédiat — à la collecte
Droit d'accès
Le portail client est l'outil d'accès natif. Le propriétaire voit ses données directement.
30 jours maximum
Droit de rectification
Le propriétaire contacte le pro — le pro corrige dans l'application. Pas d'accès direct en écriture.
30 jours maximum
Droit à l'effacement
Le pro peut supprimer le dossier. Attention aux obligations de conservation comptable (5 ans).
30 jours — sauf exceptions légales
Droit à la portabilité
Export CSV/PDF du dossier animal disponible via le portail ou sur demande au pro.
30 jours maximum
Droits des pros (vis-à-vis de Anim'Gest)
Droit d'accès à leurs données
Le professionnel accède à toutes ses données via l'application. Export complet disponible sur demande.
30 jours
Droit à l'effacement
Déclenche la procédure de résiliation + archivage. Données conservées 5 ans (comptabilité) en cold storage.
Délai résiliation + 5 ans
Droit à la portabilité
Export complet en CSV + archive GED ZIP dans les 30 jours suivant la résiliation.
30 jours après résiliation
Droit d'audit
Le pro peut demander un audit des mesures de sécurité — Anim'Gest fournit un rapport écrit ou accepte un audit tiers.
À définir dans le DPA
Procédure de traitement des demandes
1
Réception de la demande
Email à [email protected] ou via formulaire de contact. Vérification d'identité obligatoire avant traitement.
2
Vérification identité
Pièce d'identité si doute. Pour les pros : email admin du contrat suffit. Pour les personnes concernées par les données des pros : Anim'Gest redirige vers le pro (RT).
3
Traitement dans les délais
30 jours calendaires. Prorogation de 2 mois possible si complexité — notifier dans les 30 jours.
4
Réponse & archivage
Réponse écrite par email. Archivage de la demande + réponse 5 ans (preuve de conformité).
05Durées de conservation
| Type de données | Durée active | Durée archivage | Base légale | Stockage |
|---|---|---|---|---|
| Données d'abonnement (contrat, SIRET) | Durée contrat | 5 ans post-résiliation | L123-22 Code commerce | BDD plateforme → cold storage |
| Données bancaires IBAN (chiffré) | Durée contrat | 13 mois post-résiliation | Règles SEPA | BDD chiffrée AES-256 |
| Factures & règlements (pros) | Exercice + 1 an | 10 ans (comptabilité) | Art. L123-22 + L102B CGI | BDD → S3 Glacier |
| Données métier (animaux, séances) | Durée contrat pro | 5 ans post-résiliation | Art. 6.1.b RGPD | Schema BDD → S3 Glacier |
| GED — documents métier | Durée contrat pro | 5 ans post-résiliation | Art. 6.1.b RGPD | S3 hot → warm → cold |
| Logs d'accès serveurs | 12 mois | — | Art. 6.1.f — Sécurité | Serveur → purge auto |
| Audit log plateforme | Illimité | Illimité | Art. 6.1.f — Sécurité + preuve | BDD plateforme |
| Emails transactionnels (logs) | 3 mois | — | Art. 6.1.f — Sécurité | Mailgun → purge |
| Magic links portail client | 7 jours (validité) | 30 jours (hash) | Art. 6.1.b — Sécurité | BDD → purge cron |
| Données CRM prospects (leads) | 3 ans sans contact | — | Art. 6.1.f — Intérêt légitime | BDD → purge cron |
| Partages carte identité (tokens) | 15 min à 24h | 5 ans (RGPD traçabilité) | Art. 6.1.a — Consentement | BDD (hash) → archive |
06Mesures de sécurité (Art. 32 RGPD)
Chiffrement
TransitTLS 1.3 obligatoire — HTTPS force
Repos — BDDVolume chiffré Hetzner (AES-256)
Repos — S3SSE-S3 AES-256 côté serveur
IBANChiffrement applicatif AES-256 + KMS
BackupsGPG AES-256 avant upload S3
TokensHash SHA-256 — jamais en clair en BDD
Contrôle d'accès
Super adminMFA TOTP obligatoire
SSH serveursClé uniquement — port non standard
Isolation tenantsSchema BDD séparé — pas d'accès croisé
JWTExpiration 15 min — rotation refresh
RBACRôles SUPERADMIN / ADMIN / USER / CLIENT
Fail2banBanissement après 5 échecs SSH
Traçabilité & monitoring
Audit logToutes actions critiques (BDD immuable)
Logs accès APITraefik access logs — 12 mois
Alertes sécuritéPrometheus + Grafana — anomalies en temps réel
Uptime monitoringUptime Kuma — status.Anim'Gest.fr
SentryErreurs applicatives — pas de données personnelles dans les stacks
PIA (DPIA)À réaliser pour les traitements à risque élevé
07Violations de données — Plan de réponse
Délai légal : notification à la CNIL dans les 72 heures si la violation est susceptible d'engendrer un risque pour les droits des personnes (art. 33 RGPD). En cas de risque élevé : notification aussi aux personnes concernées (art. 34).
Procédure en cas de violation
H+0
Détection & containment
Isoler le système compromis. Couper l'accès si nécessaire. Documenter l'incident (heure, source, données affectées).
H+4
Évaluation du risque
Nature des données affectées ? Combien de personnes ? Probabilité de dommage ? Gravité estimée (faible / élevée) ?
H+24
Notification aux pros (RT)
Email aux admins des tenants concernés — description incident + données affectées + mesures prises.
H+72
Notification CNIL
Via notifications.cnil.fr — formulaire en ligne. Si délai impossible, envoyer notification partielle et compléter ensuite.
Si risque élevé
Notification aux personnes
Email direct aux personnes concernées (propriétaires d'animaux) — description claire, recommandations, contact.
Post
Rapport post-mortem
Documentation complète dans le registre des violations. Mesures correctives mises en place. Conservation 5 ans.
Registre interne des violations
ObligatoireToutes violations documentées — même si non notifiées (art. 33.5)
ContenuNature, données, personnes, causes, conséquences, mesures
Conservation5 ans minimum
Contact CNIL
Notificationsnotifications.cnil.fr
Plaintescnil.fr — formulaire en ligne
Téléphone01 53 73 22 22
DPO requisPas obligatoire pour une TPE — mais recommandé à partir de 50 clients
08Mentions légales & politique de confidentialité
Mentions légales — éléments obligatoires
Pour Anim'Gest.fr (site vitrine)
ÉditeurNom, prénom ou raison sociale, adresse, SIRET
HébergeurHetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, DE
Responsable publicationIdentité du représentant légal
ContactEmail + téléphone de contact
N° TVA intracommunautaireSi assujetti
Pour l'application *.Anim'Gest.fr
Double mentionAnim'Gest (ST) + Professionnel (RT) clairement identifiés
Données traitéesListe des catégories + finalités
DroitsComment exercer les droits + contact DPO/responsable
CookiesBannière consentement cookies analytiques (si utilisés)
LienVers politique de confidentialité complète
Politique de confidentialité — structure recommandée
| # | Section | Contenu clé |
|---|---|---|
| 1 | Qui sommes-nous ? | Identité RT + ST, rôles expliqués simplement |
| 2 | Données collectées | Par catégorie : identification, coordonnées, données animaux, paiement, navigation |
| 3 | Pourquoi nous traitons vos données | Finalités + base légale pour chacune (tableau clair) |
| 4 | Qui accède à vos données | Équipe interne + sous-traitants listés + pas de vente à des tiers |
| 5 | Transferts hors UE | Mailgun/Twilio USA — SCC en place — liste complète |
| 6 | Durée de conservation | Tableau par catégorie (voir section 05 ci-dessus) |
| 7 | Vos droits | Liste des droits + comment les exercer + délais de réponse |
| 8 | Sécurité | Mesures techniques résumées (sans détails exploitables) |
| 9 | Cookies | Types, durée, opt-out |
| 10 | Modifications | Notification des mises à jour — date dernière révision |
| 11 | Contact | [email protected] + adresse postale |
09Checklist conformité RGPD
Documents à produire
Registre des traitementsÉBAUCHE Ce document — à finaliser + dater
DPA (Annexe CGV)TODO Rédiger — validation juriste recommandée
Mentions légalesTODO Site vitrine + application
Politique confidentialitéTODO 11 sections + mise en ligne
Registre des violationsTODO Modèle de fiche à créer
Modèle registre RT (pros)TODO À fournir aux clients comme service
Mesures techniques
Chiffrement IBANTODO AES-256 + KMS avant go-live
Bannière cookiesTODO Si analytics utilisés
Purge cron leads 3 ansTODO Script automatique CRM
Purge cron logs 12 moisTODO Rotation Traefik logs
[email protected]TODO Créer boîte email dédiée
DPA Hetzner signéOK Inclus dans contrat standard
DPA GoCardless signéTODO À l'ouverture du compte
DPA Mailgun signéTODO SCC à accepter explicitement
Recommandation : faire relire le DPA et la politique de confidentialité par un avocat spécialisé RGPD avant le lancement commercial. Budget estimé : 1 000 à 3 000€ pour un cabinet spécialisé TPE/SaaS. Alternative : utilis