Registre des activités de traitement
Conformément à l'article 30 du RGPD (UE) 2016/679
Logiciel : RESEAU GO
Responsable du traitement : Infoforma - Romain LE GOHLISSE
Date de mise à jour : 23 mars 2026
Traitement 1 : Gestion des comptes utilisateurs
| Élément | Détail |
|---|
| Finalité | Permettre l'authentification et l'accès au Service |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Utilisateurs du logiciel (employés des clients), utilisateurs du portail client |
| Catégories de données | Nom, prénom, email, téléphone (facultatif), mot de passe (hashé bcrypt), rôle, permissions, clés d'API, date de dernière connexion |
| Destinataires | Administrateurs du tenant, Infoforma (support technique) |
| Transferts hors UE | Non |
| Durée de conservation | Durée du contrat + 3 ans après la dernière activité |
| Mesures de sécurité | Hachage bcrypt, HTTPS, sessions sécurisées (HttpOnly, SameSite), isolation multi-tenant, RBAC |
Traitement 2 : Gestion des contacts de sites
| Élément | Détail |
|---|
| Finalité | Identifier les interlocuteurs pour les interventions sur site |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Contacts techniques/administratifs des sites gérés |
| Catégories de données | Nom, email (facultatif), téléphone (facultatif), fonction |
| Destinataires | Utilisateurs du tenant ayant accès au site |
| Transferts hors UE | Non |
| Durée de conservation | Durée du contrat + 1 an |
| Mesures de sécurité | Isolation multi-tenant, HTTPS, requêtes préparées PDO |
Traitement 3 : Journaux d'activité (logs)
| Élément | Détail |
|---|
| Finalité | Sécurité, traçabilité, détection d'anomalies, audit |
| Base légale | Intérêt légitime (Art. 6.1.f RGPD) - sécurité du système d'information |
| Catégories de personnes | Tous les utilisateurs du logiciel |
| Catégories de données | Adresse IP, user-agent, date/heure, action effectuée, identifiant utilisateur |
| Destinataires | Administrateurs du tenant, Infoforma (support technique) |
| Transferts hors UE | Non |
| Durée de conservation | 90 jours glissants |
| Mesures de sécurité | Accès restreint aux administrateurs, isolation multi-tenant, stockage sécurisé |
Traitement 4 : Réinitialisation de mot de passe
| Élément | Détail |
|---|
| Finalité | Permettre la récupération d'un compte en cas d'oubli du mot de passe |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Utilisateurs demandant une réinitialisation |
| Catégories de données | Email, token unique, date d'expiration |
| Destinataires | Système automatique (aucun accès humain) |
| Transferts hors UE | Non |
| Durée de conservation | 1 heure après génération (suppression automatique) |
| Mesures de sécurité | Token unique à usage unique, expiration automatique, HTTPS |
Traitement 5 : Gestion des licences et activations
| Élément | Détail |
|---|
| Finalité | Validation et suivi des licences logicielles |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Administrateurs des tenants |
| Catégories de données | Clé de licence, domaine d'activation, date d'activation |
| Destinataires | Infoforma (administration des licences) |
| Transferts hors UE | Non |
| Durée de conservation | Durée de la licence + 1 an |
| Mesures de sécurité | Validation API sécurisée, journalisation des activations |
Traitement 6 : Collecte de données par les agents de monitoring
| Élément | Détail |
|---|
| Finalité | Supervision de l'infrastructure IT, maintenance préventive, détection d'anomalies |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Utilisateurs des machines supervisées (indirectement, via les données machine) |
| Catégories de données | Métriques CPU, RAM, disque, températures ; inventaire logiciel (nom, version, éditeur) ; interfaces réseau (nom, IP, MAC) ; informations Active Directory (nom machine, domaine, OU, groupes) ; adresse IP publique ; nom de machine et OS |
| Destinataires | Administrateurs et techniciens du tenant, Infoforma (support technique) |
| Transferts hors UE | Non |
| Durée de conservation | Métriques : 30 jours glissants ; Inventaire logiciel : durée du contrat |
| Mesures de sécurité | Communication chiffrée HTTPS, identification par clé unique, isolation multi-tenant |
Traitement 7 : Suivi EOL (fin de vie)
| Élément | Détail |
|---|
| Finalité | Identifier les logiciels et équipements en fin de vie pour planifier les mises à jour |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Aucune (données techniques non personnelles) |
| Catégories de données | Noms et versions de produits, dates de fin de support |
| Destinataires | Utilisateurs du tenant |
| Transferts hors UE | Requêtes vers l'API publique endoflife.date (pas de données personnelles transmises) |
| Durée de conservation | Cache mis à jour périodiquement |
| Mesures de sécurité | Requêtes HTTPS, aucune donnée personnelle transmise |
Traitement 8 : Gestion des interventions
| Élément | Détail |
|---|
| Finalité | Planification, suivi et historique des interventions de maintenance |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Techniciens assignés, contacts de sites |
| Catégories de données | Description de l'intervention, technicien assigné, horodatage, statut, rapport PDF |
| Destinataires | Utilisateurs du tenant ayant accès aux interventions |
| Transferts hors UE | Non |
| Durée de conservation | Durée du contrat (conservation indéfinie pendant le contrat) |
| Mesures de sécurité | Isolation multi-tenant, RBAC, HTTPS |
Traitement 9 : Suivi SLA et KPI
| Élément | Détail |
|---|
| Finalité | Mesure de la qualité de service, respect des engagements contractuels |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Techniciens (performance individuelle), contacts clients |
| Catégories de données | Temps de réponse, temps de résolution, taux de respect SLA, MTTR, MTBF |
| Destinataires | Administrateurs du tenant, utilisateurs du portail client (vue limitée) |
| Transferts hors UE | Non |
| Durée de conservation | Durée du contrat + 1 an |
| Mesures de sécurité | Isolation multi-tenant, RBAC |
Traitement 10 : Rapports automatisés par email
| Élément | Détail |
|---|
| Finalité | Envoi périodique de rapports de synthèse sur l'infrastructure |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Destinataires des rapports (configurés par l'administrateur) |
| Catégories de données | Adresses email des destinataires, données agrégées de l'infrastructure (statistiques, métriques) |
| Destinataires | Destinataires configurés par l'administrateur du tenant, fournisseur SMTP |
| Transferts hors UE | Non |
| Durée de conservation | Adresses email : durée du contrat ; Contenu des rapports : non stocké après envoi |
| Mesures de sécurité | SMTP sécurisé (TLS), isolation multi-tenant |
Traitement 11 : Webhooks (notifications sortantes)
| Élément | Détail |
|---|
| Finalité | Notification d'événements vers les systèmes tiers du Client |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Personnes éventuellement concernées par les événements notifiés (techniciens, contacts) |
| Catégories de données | Données d'événements (type, horodatage, détails de l'alerte ou intervention), potentiellement noms de techniciens |
| Destinataires | URL configurées par le Client (sous sa responsabilité) |
| Transferts hors UE | Possible selon la localisation des endpoints du Client (sous sa responsabilité) |
| Durée de conservation | Logs d'envoi : 30 jours ; Données côté destinataire : sous responsabilité du Client |
| Mesures de sécurité | HTTPS recommandé, signature HMAC optionnelle, journalisation des envois |
Traitement 12 : Portail client
| Élément | Détail |
|---|
| Finalité | Fournir un accès limité aux données de l'organisation pour les utilisateurs clients |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Utilisateurs disposant du rôle "client" |
| Catégories de données | Mêmes données que le traitement 1 (comptes), accès restreint aux données de l'organisation |
| Destinataires | L'utilisateur client lui-même, administrateurs du tenant |
| Transferts hors UE | Non |
| Durée de conservation | Durée du contrat + 3 ans après la dernière activité |
| Mesures de sécurité | RBAC avec permissions restreintes, isolation multi-tenant, HTTPS |
Traitement 13 : API REST
| Élément | Détail |
|---|
| Finalité | Fournir un accès programmatique aux données du tenant pour les intégrations |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Utilisateurs disposant de clés API |
| Catégories de données | Clés API, journaux d'appels (IP, horodatage, endpoint), données consultées/modifiées |
| Destinataires | Applications configurées par le Client |
| Transferts hors UE | Non (sauf si le Client utilise l'API depuis l'étranger, sous sa responsabilité) |
| Durée de conservation | Clés API : durée du contrat ; Logs d'appels : 90 jours |
| Mesures de sécurité | Authentification par clé API, rate limiting, HTTPS, isolation multi-tenant |
Traitement 14 : Gestion du stock de pièces détachées
| Élément | Détail |
|---|
| Finalité | Suivi des pièces de rechange et composants disponibles |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Aucune (données non personnelles) |
| Catégories de données | Références produits, quantités, emplacements de stockage |
| Destinataires | Utilisateurs du tenant |
| Transferts hors UE | Non |
| Durée de conservation | Durée du contrat |
| Mesures de sécurité | Isolation multi-tenant, RBAC |
Traitement 15 : Intégrations tierces (Dolibarr, GLPI, InterGo, Prospect Go)
| Élément | Détail |
|---|
| Finalité | Synchronisation de données avec les systèmes tiers du Client |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Personnes dont les données sont synchronisées (contacts, techniciens) |
| Catégories de données | Données de contacts, interventions, équipements (selon la configuration) |
| Destinataires | Systèmes tiers configurés par le Client |
| Transferts hors UE | Non (sauf si les systèmes tiers du Client sont hors UE, sous sa responsabilité) |
| Durée de conservation | Durée du contrat (données de configuration) |
| Mesures de sécurité | API sécurisées (HTTPS, authentification), journalisation des synchronisations |
Sous-traitants
| Sous-traitant | Prestation | Localisation | Garanties |
|---|
| o2switch | Hébergement serveurs (mode SaaS) | France | Datacenters en France, certifications ISO |
| Fournisseur SMTP | Envoi d'emails transactionnels et rapports | France / UE | Chiffrement TLS |
Services tiers consultés (non sous-traitants)
| Service | Prestation | Données transmises |
|---|
| endoflife.date | API publique - dates de fin de vie | Noms et versions de produits (non personnelles) |
| api.ipify.org | Détection d'IP publique | Aucune (requête sans paramètre) |
| Nominatim / OpenStreetMap | Géocodage d'adresses | Adresses postales de sites |
Analyse d'impact (AIPD)
Une analyse d'impact relative à la protection des données (AIPD) est recommandée pour le traitement 6 (collecte par agents de monitoring) en raison :
- De la collecte systématique de données sur les postes de travail
- Du caractère potentiellement identifiant de certaines données (adresses IP, noms de machines, informations AD)
- Du volume potentiellement important de données collectées
Pour les autres traitements, une AIPD n'est pas requise car :
- Les données traitées ne sont pas des données sensibles (Art. 9 RGPD)
- Le traitement ne comporte pas de profilage ni de décision automatisée
- Le traitement ne concerne pas de surveillance systématique à grande échelle de l'espace public
Ce registre doit être tenu à jour et mis à la disposition de la CNIL sur demande.
Dernière mise à jour : 23 mars 2026