Registre des traitements
Administratif
Registre des employées
Finalité : AVS, LPP et Assurance Accident
Base légale : obligation légale
Durée de rétention : toute la durée du contrat de travail
Données concernées : nom, prénom, adresse, téléphone, adresse email
Localisation des données :
- titanide:dolibarr
- Centre Patronal Vaudois
- AXA Assurances SA
Mesures de sécurité :
- les données sont chiffrées
- restriction des accès SSH
- accès VPN seulement
Données bancaires
Finalité : versement des salaires aux employés et remboursement des notes de frais
Base légale : obligation légale
Durée de rétention : toute la durée du contrat de travail
Données concernées : données bancaires (IBAN, nom, prénom, adresse)
Localisation des données :
- titanide:dolibarr
- Banque WIR
Mesures de sécurité :
- les données sont chiffrées
- restriction des accès SSH
- accès VPN seulement
Conformité et risques
Journaux HTTP
Finalité : répondre aux obligations légales de l'entreprise
Base légale : obligation légale
Durée de rétention : 15 jours
Données concernées :
- adresse IP
- date de la visite
- user agent
- URL consultée
Localisation des données :
- jail:/var/log/haproxy
- jail:/var/log/nginx
- jail:/var/log/apache
Mesures de sécurité :
- restriction des accès SSH
- accès VPN seulement
Sauvegarde
Finalité : assurer la reprise d'activité en cas d'incident d'exploitation sur la production
Base légale : intérêt légitime
Durée de rétention : 1 an
Localisation des données :
- sdgspa02@/mnt/pool-data/backup
- sdgspb01@/mnt/pool-data/backup
- 2 disques externes en rotation
Mesures de sécurité :
- les données sont chiffrées
- restriction des accès SSH
- accès VPN seulement
Fourniture de services
BookStack
Finalité : documentation pour les clients
Base légale : intérêt légitime
Durée de rétention : illimité
Données concernées :
- nom des projets et des clients
- nom d'utilisateur des clients et mot de passe
- contenu et date des pages éditées
Localisation des données :
- sdgspa01:sdg_bookstack
- sdgspa02:sdg_bookstack
Mesures de sécurité :
- restriction des accès administrateur
- désactivation de Gravatar
- désactivation des services tiers
- retrait des exceptions CSP des services tiers
- réduction de la précision des logs IP
- chiffrement des données en transit
- chiffrement des données au repos
Phorge
Finalité : tâches techniques, documentation d'architecture, code source
Base légale : intérêt légitime
Durée de rétention : illimité
Données concernées :
- nom des projets et des clients
- nom d'utilisateur des employés et mot de passe
- contenu et date des objets éditées
Localisation des données :
- titanide:phorge
Mesures de sécurité :
- restriction des accès administrateur
- chiffrement des mots de passe stockés
- chiffrement des données en transit
Dolibarr
Finalité : facturation, comptabilité, salaires, support
Base légale : intérêt légitime
Durée de rétention : illimité
Données concernées :
- nom des projets, des clients (nom, prénom, téléphone, email) et des fournisseurs
- nom d'utilisateur des employés et mot de passe
- contenu et date des objets éditées
Localisation des données :
- titanide:dolibarr
Mesures de sécurité :
- restriction des accès administrateur
- chiffrement des mots de passe stockés
- chiffrement des données en transit
- chiffrement des données au repos
DNS
Finalité : hébergement des zones des noms de domaine de l'entreprise
Base légale : intérêt légitime
Durée de rétention : illimité
Données concernées :
- adresse IP des entités demandant une résolution du nom de domaine
- requête DNS effectuée
Localisation des données :
Mesures de sécurité :
- restriction des accès administrateur
Matomo
Finalité : service de mesure d'audience
Base légale : intérêt légitime
Durée de rétention :
- les données brutes sont supprimées après 6 mois
- les rapports construits à partir de données agrégées sont supprimés après 11 mois
Données concernées :
- nom des projets et des clients
- nom d'utilisateur des employés et mot de passe
- contenu et date des objets éditées
Localisation des données :
- vm:matomo
Mesures de sécurité :
- le tracking avec cookie est désactivé
- le paramètre “Do Not Track” de votre navigateur est respecté
- seuls les 2 premiers bytes de l’adresse IP sont utilisés
- les adresses IP sont anonymisées
- restriction des accès administrateur
- chiffrement des mots de passe stockés
- chiffrement des données en transit
Nextcloud
Finalité : gestion des documents et des projets
Base légale : intérêt légitime
Durée de rétention : 5 ans
Données concernées :
- nom des projets
- nom des clients (nom, prénom, email) et mot de passe
- nom d'utilisateur des employés et mot de passe
- contenu et date des objets éditées
Localisation des données :
- sdgspa01:sdg_nextcloud
Mesures de sécurité :
- restriction des accès administrateur
- obligation d'utiliser un dispositif TOTP pour les membres de l'entreprise
- chiffrement des mots de passe stockés
- chiffrement des données en transit
- chiffrement des données au repos
Tactical RMM
Finalité : monitoring et support des appareils des clients sous mandat
Base légale : intérêt légitime
Durée de rétention : illimité
Données concernées :
- nom des clients
- nom d'utilisateur des employés et mot de passe
- contenu et date des objets éditées
Localisation des données :
- vm:rmm
Mesures de sécurité :
- restriction des accès administrateur
- obligation d'utiliser un dispositif TOTP
- chiffrement des mots de passe stockés
- chiffrement des données en transit