docs: améliorer rendu markdown et navigation mkdocs

- Ajouter ADR-018 (librairies Go) dans TECHNICAL.md - Transformer Shared en menu dépliable dans mkdocs (cohérence avec autres domaines) - Corriger listes markdown (ajout lignes vides avant listes) - Corriger line breaks dans génération BDD (étapes "Et" sur nouvelles lignes) - Ajouter script fix-markdown-lists.sh pour corrections futures Impacte 86 fichiers de documentation et 164 fichiers BDD générés.
2026-02-09 20:49:52 +01:00
parent 95c65b8be1
commit 35aaa105d0
87 changed files with 1044 additions and 91 deletions
--- a/docs/domains/_shared/rules/rgpd.md
+++ b/docs/domains/_shared/rules/rgpd.md
@@ -5,21 +5,25 @@
 **Décision** : Tarteaucitron.js + PostgreSQL backend

 **Implémentation web** :
+
 - ✅ Tarteaucitron.js (opensource, self-hosted)
 - ✅ Banner RGPD français, customisable
 - ✅ Granularité : fonctionnel / analytique / marketing

 **Implémentation backend** :
+
 - Table `user_consents` avec versioning
 - Champs : user_id, consent_type, version, accepted, timestamp
 - Historique complet conservé (preuve légale)

 **Consentements requis** :
+
 - **Géolocalisation précise** : obligatoire (banner + permission OS)
 - **Analytics** : optionnel (Matomo)
 - **Notifications push** : optionnel (permission OS)

 **Justification** :
+
 - Opensource, 0€, conformité RGPD garantie
 - Historique backend = preuve légale en cas de contrôle
 - Granularité conforme recommandations CNIL
@@ -37,10 +41,12 @@
 4. Job quotidien automatique via cron

 **Exceptions** :
+
 - ✅ Historique personnel visible (liste trajets) : conservation intégrale tant que compte actif
 - ❌ Analytics globales : uniquement geohash anonyme

 **Justification** :
+
 - Vraie anonymisation RGPD (CNIL compliant)
 - Permet analytics agrégées (heatmaps trafic)
 - PostGIS natif, 0€
@@ -54,6 +60,7 @@
 **Format export** : Archive ZIP contenant JSON (machine-readable), HTML (human-readable), fichiers audio, README

 **Données exportées** :
+
 - Profil utilisateur (email, pseudo, date inscription, bio)
 - Historique d'écoute (titres, dates, durées)
 - Contenus créés (audio + métadonnées)
@@ -68,9 +75,11 @@
 4. Délai : **48h maximum** (conformité RGPD)

 **Limite** :
+
 - Maximum **1 export/mois** (anti-abus)

 **Justification** :
+
 - Conformité article 20 RGPD (portabilité)
 - Double format (human + machine)
 - Worker asynchrone évite timeout
@@ -89,6 +98,7 @@
 5. Après 30j sans annulation : suppression effective

 **Suppression effective** :
+
 - ✅ Compte utilisateur supprimé (données personnelles)
 - ✅ Historique d'écoute supprimé
 - ✅ GPS historique supprimé
@@ -97,11 +107,13 @@
 - ⚠️ Likes et abonnements supprimés (mais compteurs préservés)

 **Contenus conservés anonymement** :
+
 - Audio files (CDN)
 - Métadonnées (titre, description, tags, géolocalisation)
 - Statistiques d'écoute

 **Justification** :
+
 - Grace period évite suppressions impulsives
 - Anonymisation contenus = intérêt légitime communauté
 - Conforme RGPD si créateur = donnée supprimée
@@ -121,16 +133,19 @@
 | **Précis** | GPS | Tous contenus (hyperlocaux inclus) | ✅ Requis |

 **Implémentation** :
+
 - Démarrage app : GeoIP automatique (IP → ville)
 - Banner in-app : "Activez la géolocalisation pour découvrir du contenu près de chez vous"
 - Upgrade volontaire vers GPS

 **API GeoIP** :
+
 - IP2Location Lite (gratuit, self-hosted, voir [ADR-019](../../../adr/019-geolocalisation-ip.md))
 - Update DB mensuelle automatique
 - Précision ~80% au niveau ville

 **Justification** :
+
 - RGPD : pas de consentement requis pour GeoIP (pas de donnée personnelle)
 - UX dégradée acceptable (contenus disponibles)
 - Progressive disclosure (upgrade optionnel)
@@ -150,15 +165,18 @@
 | **Créateur inactif** | 5 ans sans connexion + 2 ans sans écoute | Suppression automatique |

 **Notifications avant suppression** :
+
 - Email + push : **90 jours** avant
 - Email + push : **30 jours** avant
 - Email + push : **7 jours** avant
 - Toute connexion = reset compteur inactivité

 **Contenu conservé** :
+
 - Contenus créés par comptes supprimés (anonymisés) : conservation indéfinie

 **Justification** :
+
 - Conformité principe minimisation RGPD
 - 5 ans = équilibre raisonnable (standard industrie)
 - Exception créateurs actifs = intérêt légitime plateforme
@@ -178,17 +196,20 @@
 | `_pk_id` | Analytique | 13 mois | Matomo (IP anonyme) | ✅ Requis |

 **Analytics : Matomo self-hosted** :
+
 - Hébergé sur nos serveurs (Docker)
 - IP anonymisées automatiquement (2 derniers octets)
 - Pas de cookie si consentement refusé
 - Alternative : Plausible (SaaS EU, 9€/mois)

 **Trackers interdits** :
+
 - ❌ Google Analytics
 - ❌ Facebook Pixel
 - ❌ Hotjar, Mixpanel, etc.

 **Justification** :
+
 - Souveraineté données (pas de transfert US)
 - Conformité RGPD max (CNIL compatible)
 - Matomo = opensource, 0€ infra
@@ -200,10 +221,12 @@
 **Décision** : Document Markdown versionné Git (MVP)

 **Emplacement** :
+
 - `docs/rgpd/registre-traitements.md`
 - Versionné Git (historique modifications)

 **Contenu obligatoire par traitement** :
+
 - Nom et finalité du traitement
 - Catégories de données collectées
 - Base légale (consentement / contrat / intérêt légitime)
@@ -212,14 +235,17 @@
 - Transferts hors UE (aucun prévu)

 **Responsable** :
+
 - DPO / Fondateur
 - Review trimestrielle obligatoire
 - Update immédiate si nouveau traitement

 **Migration future** :
+
 - Si > 100K utilisateurs : interface admin PostgreSQL

 **Justification** :
+
 - Obligation RGPD Article 30
 - Markdown = simple, versionné, auditable
 - 0€
@@ -240,6 +266,7 @@
 | Authentification suspecte | Zitadel alerts | Email équipe |

 **Procédure breach** :
+
 - Runbook : `docs/rgpd/procedure-breach.md`
 - Checklist 72h CNIL :
  1. H+0 : Détection et confinement
@@ -248,10 +275,12 @@
  4. H+72 : Notification utilisateurs si risque élevé

 **Contact CNIL** :
+
 - Email pré-rédigé (template)
 - Formulaire en ligne (account CNIL créé)

 **Justification** :
+
 - Obligation RGPD Article 33 (notification 72h)
 - Monitoring proactif évite découverte tardive
 - Sentry gratuit < 5K events/mois
@@ -263,25 +292,30 @@
 **Décision** : Fondateur = DPO temporaire (MVP)

 **Raison légale** :
+
 - Non obligatoire si :
  - < 250 employés
  - Pas de traitement à grande échelle de données sensibles
  - RoadWave : données localisation = sensible MAIS échelle MVP

 **Formation** :
+
 - CNIL : formation gratuite en ligne (4h)
 - Certification CNIL "Atelier RGPD" (gratuit)

 **Contact** :
+
 - Email : dpo@roadwave.fr
 - Publié dans CGU et mentions légales
 - Délai réponse : **1 mois** (RGPD)

 **Migration future** :
+
 - Si > 100K utilisateurs : DPO externe mutualisé (~200€/mois)
 - Ou recrutement DPO interne si > 10 employés

 **Justification** :
+
 - Conforme RGPD (non obligatoire en phase MVP)
 - 0€, contrôle total
 - Bonne pratique : avoir un contact identifié
@@ -293,6 +327,7 @@
 **Décision** : Interface self-service + validation immédiate

 **Données rectifiables** :
+
 - Email (avec re-vérification)
 - Pseudo (unique, disponibilité vérifiée)
 - Bio / description
@@ -300,11 +335,13 @@
 - Photo de profil

 **Processus** :
+
 - Changements immédiats (sauf email)
 - Email : lien vérification → validation sous 24h
 - Historique modifications conservé (audit trail)

 **Limitations** :
+
 - Pseudo : max 1 changement/30j (anti-squat)

 **Justification** : Conformité Article 16 RGPD, self-service 0€
@@ -323,6 +360,7 @@
 | **Recommandations personnalisées** | "Mode anonyme" | Reco génériques uniquement |

 **Mode anonyme** :
+
 - Désactive algorithme (jauges ignorées)
 - Recommandations = top contenus zone géo uniquement
 - Historique non utilisé
@@ -336,6 +374,7 @@
 **Décision** : "Geler mon compte" temporaire

 **Effets** :
+
 - Compte gelé, contenus cachés, profil invisible
 - Connexion lecture seule OK
 - Réactivation à tout moment
@@ -349,6 +388,7 @@
 **Décision** : Page web + popup in-app + versioning Git

 **Emplacement** :
+
 - Web : `roadwave.fr/confidentialite`
 - App : page dédiée paramètres
 - Popup première connexion (scroll requis)
@@ -450,6 +490,7 @@
 4. Validation parent → compte ado activé avec restrictions

 **Restrictions 13-15 ans** :
+
 - ✅ Écoute contenus autorisés
 - ✅ Création contenus (modération renforcée)
 - ⚠️ GPS précis : consentement parental explicite requis
@@ -458,6 +499,7 @@
 - ⚠️ Profil public limité (pas d'affichage ville précise)

 **Contrôles parentaux** :
+
 - Dashboard parent : `roadwave.fr/parent/[child_id]`
 - Visualisation historique écoute
 - Activation/désactivation GPS précis
@@ -466,6 +508,7 @@
 - Notification hebdomadaire activité

 **Vérification légère identité parent** :
+
 - Email parent ≠ email ado (vérification domaine)
 - Lien expiration 7 jours
 - Pas de vérification identité forte (MVP)
@@ -475,6 +518,7 @@
 **App dédiée** : Version séparée avec contrôles renforcés

 **Caractéristiques** :
+
 - ❌ Pas de GPS précis (GeoIP ville uniquement)
 - ❌ Pas de création contenu
 - ❌ Pas de profil public
@@ -484,6 +528,7 @@
 - ✅ Contrôle parental obligatoire

 **Contenus autorisés** :
+
 - Contes audio enfants
 - Guides touristiques famille
 - Podcasts éducatifs labellisés
@@ -496,17 +541,20 @@
 4. Pas de compte autonome enfant

 **Modération** :
+
 - 100% contenus présélectionnés par équipe éditoriale
 - Aucun UGC accessible
 - Whitelist créateurs vérifiés uniquement

 **Justification** :
+
 - Conformité Article 8 RGPD (13-16 ans selon pays)
 - 13 ans France = seuil légal avec consentement parental
 - App Kids = protection renforcée < 13 ans
 - Alignement marché (YouTube 13+, YouTube Kids)

 **Roadmap** :
+
 - **MVP** : App principale 16+ uniquement (simplicité)
 - **Phase 2** : Workflow 13-15 ans + consentement parental
 - **Phase 3** : RoadWave Kids (app séparée)
@@ -537,6 +585,7 @@
 **Décision** : DPIA obligatoire (GPS + profilage grande échelle)

 **Raisons** :
+
 - Traitement grande échelle données GPS sensibles
 - Profilage automatisé recommandations
 - Surveillance zones publiques