FUTURES - Conformité & RGPD
L'app manipule des données personnelles sensibles (identité, date de naissance, adresse, nationalité, salaire, RIB via documents, justificatifs). Points à traiter.
Priorité haute (liée à la sécurité)
- Cloisonnement d'accès en base (RLS par rôle/périmètre) - cf. ADR-0003. Sans cela, minimisation et confidentialité ne sont pas assurées.
- Journal d'audit : tracer qui consulte/modifie les données sensibles (salaires, documents).
Registre & durées de conservation
- Registre des traitements (finalités, catégories de données, destinataires).
- Durées de conservation : ex. bulletins/registre du personnel (5 ans),
candidats non retenus, purge des salariés
sortiaprès le délai légal. - Base légale du traitement (exécution du contrat de travail, obligations légales).
Droits des personnes
- Accès / rectification : le self-service « Ma fiche » y contribue déjà.
- Effacement / anonymisation d'un salarié sorti (au-delà des obligations légales).
- Export des données d'un salarié (portabilité).
Sécurité des documents
- Bucket privé + URLs signées : ✅ déjà en place. À compléter par des règles d'accès Storage cohérentes avec les rôles.
- Chiffrement au repos (par défaut côté Supabase) et transport (HTTPS) : OK.
Divers
- Mentions d'information des salariés (comment leurs données sont traitées).
- Sous-traitance : DPA avec Supabase/Netlify, localisation des données (UE).
- Consentement pour les usages non strictement nécessaires (ex. photo/trombinoscope).
