AuditRail

RGPD · Art. 28

Accord de traitement des données

Dernière mise à jour : 2026-05-18. Cet accord forme partie intégrante du contrat liant AuditRail à chaque Tenant ; il peut être signé séparément sur demande.

1. Rôles

Le Tenant est responsable du traitement. AuditRail est sous-traitantau sens de l'article 28 du RGPD et n'agit que sur instruction documentée du Tenant.

2. Finalités et catégories

  • Finalités — fournir la plateforme d'audit terrain : gestion d'équipes, exécution d'audits, génération de rapports PDF, envoi d'emails transactionnels.
  • Catégories de personnes concernées — auditeurs et administrateurs du Tenant, contacts opérationnels (responsables de site, encadrants régionaux).
  • Catégories de données — identifiants, métadonnées de session, contenu d'audit, photos terrain, signatures, journaux d'activité.
  • Pas de catégories particulières — pas de données de santé, biométriques, religieuses ou syndicales.

3. Mesures techniques et organisationnelles (Art. 32)

  • Chiffrement — TLS 1.2+ partout, HSTS preload (2 ans), AES-256 au repos via Neon et Cloudflare R2.
  • Contrôle d'accès — authentification Better Auth (lien magique, passkey WebAuthn, 2FA TOTP) ; RBAC à 6 rôles ; gate propriétaire séparé (OWNER_EMAIL).
  • Isolation multi-tenant — chaque écriture est filtrée par org_id ; contraintes UNIQUE org-scoped ; audit applicatif systématique.
  • Audit-trail tamper-evident — chaîne de hash SHA-256 sur audit_events ; vérification par verify_audit_chain().
  • Protections périmétriques — CSP nonce-based + strict-dynamic, HSTS preload, COOP/CORP same-origin, X-Frame DENY, Permissions-Policy à 34 directives, rate-limiter distribué Upstash.
  • Gestion des sessions — cookie __Host- en production, révocation à la suspension de l'organisation ou au changement de rôle, gate de step-up sur actions sensibles.
  • Rétention bornée — jobs quotidiens automatiques : 180 jours pour login_events, 24 mois pour audit_events et journaux d'email, 7 jours pour les IP/UA de session.
  • Stripping EXIF — les photos uploadées sont réécrites sans métadonnées (GPS, modèle d'appareil) sous 24h.
  • Sauvegardes — Neon PITR 14 jours, chiffré.
  • Audit interne — posture de sécurité surveillée en temps réel via /admin/security.

4. Sous-traitance ultérieure

AuditRail recourt aux sous-traitants listés dans la page sous-traitants. Tout ajout ou changement est notifié 30 jours à l'avance. Le Tenant peut s'opposer à un sous-traitant ajouté ; en cas d'objection légitime, une alternative ou une résiliation seront proposées.

5. Notification de violation (Art. 33/34)

En cas de violation suspectée ou confirmée affectant les données du Tenant, AuditRail notifie l'adresse de contact dans les 72 heuressuivant la prise de connaissance, accompagnée d'une évaluation préliminaire (catégories de données, nombre approximatif de personnes, mesures correctives). Un runbook interne couvre containment (révocation de sessions, rotation de secrets), évaluation (panel /admin/security, audit_events), notification, post-mortem documenté.

6. Droits des personnes concernées

AuditRail expose des endpoints self-service : GET /api/me/export,PATCH /api/me, DELETE /api/me, POST /api/me/restrict. En cas de demande hors plateforme (utilisateur ne pouvant plus accéder à son compte), le Tenant transmet la demande à privacy@auditrail.app ; réponse sous 30 jours.

7. Audits et inspections

Sur demande raisonnable et avec préavis de 30 jours, AuditRail met à disposition les rapports d'audit applicables (SOC 2 type II, ISO 27001 si applicable, journaux pertinents). Audits sur site limités à une fois par an, à frais partagés.

8. Fin du contrat

À la fin du contrat, le Tenant peut exporter ses données via GET /api/me/export et les endpoints admin équivalents. AuditRail supprime ensuite les données dans un délai de 90 jours, sauf obligation légale de conservation (intérêt légitime, défense de droits — Art. 17(3)(b)/(e)).

9. Contact

DPO/Privacy : privacy@auditrail.app. Sécurité : security@auditrail.app.