fd2b0f70c5
Règles RGPD (docs/domains/_shared/rules/rgpd.md): - Ajouter sections 13.11-13.22 (droits utilisateurs, mineurs, sécurité) - Droit de rectification, opposition, limitation du traitement - Gestion des mineurs: 13 ans minimum + consentement parental 13-15 ans - Protection renforcée: RoadWave Kids pour < 13 ans - Sécurité: chiffrement multi-niveaux, procédure breach 72h CNIL - Politique de confidentialité avec versioning - Sous-traitants, DPIA, délais de réponse Entités (6 nouvelles): - PARENTAL_CONSENTS + PARENTAL_CONTROLS (workflow 13-15 ans) - PRIVACY_POLICY_VERSIONS + USER_POLICY_ACCEPTANCES - ACCOUNT_DELETIONS (grace period 30j) - BREACH_INCIDENTS + BREACH_AFFECTED_USERS - USER_PROFILE_HISTORY (audit trail rectification) - DATA_RETENTION_LOGS (purge 5 ans) Diagrammes séquences (5 nouveaux): - Consentement parental avec validation email - Anonymisation GPS automatique après 24h - Notification breach CNIL (procédure 72h) - Export données asynchrone - Suppression compte avec grace period Cycles de vie (3 nouveaux + 1 enrichi): - parental-consent-lifecycle.md - breach-incident-lifecycle.md - account-deletion-lifecycle.md - user-account-lifecycle.md (ajout états mineurs, frozen) Features BDD (4 nouvelles, 195 scénarios RGPD): - minors-protection.feature (9 scénarios) - data-security.feature (12 scénarios) - privacy-policy.feature (8 scénarios) - user-rights.feature (8 scénarios) Infrastructure: - Réorganiser docs générées: docs/bdd + output → generated/bdd + generated/pdf - Mettre à jour mkdocs.yml, Makefile, scripts Python - Ajouter /generated/ au .gitignore
64 lines
2.3 KiB
Markdown
64 lines
2.3 KiB
Markdown
# Notification violation de données (breach) - Procédure 72h CNIL
|
|
|
|
```mermaid
|
|
sequenceDiagram
|
|
participant Monitoring as Monitoring (Sentry/Grafana)
|
|
participant Equipe as Équipe Technique
|
|
participant DPO as DPO
|
|
participant DB as Base de données
|
|
participant CNIL as CNIL
|
|
participant Users as Utilisateurs impactés
|
|
|
|
Note over Monitoring: H+0 - Détection
|
|
|
|
Monitoring->>Equipe: Alerte breach détecté
|
|
Equipe->>Equipe: Confinement immédiat
|
|
Equipe->>DB: Bloquer accès compromis
|
|
Equipe->>DPO: Notification breach
|
|
|
|
Note over DPO,Equipe: H+0 à H+24 - Évaluation
|
|
|
|
DPO->>DB: Investigation périmètre
|
|
DB->>DPO: Données compromises
|
|
DPO->>DB: Liste utilisateurs impactés
|
|
DB->>DPO: X utilisateurs
|
|
|
|
DPO->>DPO: Évaluation gravité
|
|
Note over DPO: - Type données (GPS, email, etc.)<br/>- Nombre utilisateurs<br/>- Risque pour droits/libertés
|
|
|
|
alt Risque pour utilisateurs
|
|
Note over DPO: H+24 à H+48 - Préparation notification CNIL
|
|
|
|
DPO->>DPO: Rédaction rapport breach
|
|
Note over DPO: - Nature violation<br/>- Catégories/nb données<br/>- Conséquences probables<br/>- Mesures prises/envisagées
|
|
|
|
DPO->>CNIL: Notification sous 72h (email + formulaire en ligne)
|
|
CNIL->>DPO: Accusé réception
|
|
|
|
alt Risque élevé pour utilisateurs
|
|
Note over DPO: H+48 à H+72 - Notification utilisateurs
|
|
|
|
DPO->>Users: Email notification breach
|
|
Note over Users: - Nature violation<br/>- Coordonnées DPO<br/>- Mesures prises<br/>- Recommandations (changer mdp, etc.)
|
|
|
|
DPO->>Users: Notification in-app
|
|
end
|
|
else Risque faible (mesures techniques suffisantes)
|
|
DPO->>DPO: Documentation interne uniquement
|
|
Note over DPO: Pas de notification CNIL requise
|
|
end
|
|
|
|
Note over DPO: Post-incident
|
|
|
|
DPO->>Equipe: Audit sécurité complet
|
|
DPO->>DB: Enregistrement incident (registre violations)
|
|
DPO->>DPO: Plan correctif
|
|
```
|
|
|
|
**Légende** :
|
|
- **H+0 à H+24** : Détection, confinement, évaluation périmètre
|
|
- **H+24 à H+48** : Évaluation gravité, préparation rapport
|
|
- **H+48 à H+72** : Notification CNIL (si risque) + utilisateurs (si risque élevé)
|
|
- Délai CNIL : **72h maximum** (Article 33 RGPD)
|
|
- Notification utilisateurs obligatoire si **risque élevé** pour droits/libertés (Article 34 RGPD)
|