Art. 5
Minimisation des données
« Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités. »
→ Nous ne collectons que le code dossier, le nom et la description. Aucune donnée non strictement nécessaire au suivi des contrôles réglementaires.
Art. 25
Protection dès la conception
« Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées dès la conception. »
→ Code PIN à 6 chiffres obligatoire à chaque accès, sessions de 30 minutes, blocage automatique après 5 tentatives échouées.
Art. 28
Sous-traitants identifiés
« Le responsable du traitement fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes. »
→ Un seul sous-traitant : notre hébergeur français. Liste tenue à jour, contrat de sous-traitance disponible sur demande.
Art. 30
Registre des traitements
« Chaque responsable du traitement tient un registre des activités de traitement. »
→ Registre tenu par Odiens, communiqué sur demande à votre DPO ou à la CNIL en cas de contrôle.
Art. 32
Sécurité du traitement
« Le responsable et le sous-traitant mettent en œuvre des mesures techniques et organisationnelles appropriées : pseudonymisation, chiffrement, intégrité, disponibilité. »
→ HTTPS forcé (TLS 1.3), mots de passe hashés bcrypt, sauvegardes quotidiennes chiffrées, journal d'audit horodaté et inviolable.