Suppression des données client (RGPD — Droit à l'effacement)
Contexte légal
Le RGPD (Règlement Général sur la Protection des Données) accorde aux utilisateurs un droit à l'effacement de leurs données personnelles (art. 17). Ce droit n'est pas absolu : il est limité par les obligations légales de conservation, notamment comptables.
Références légales :
- Art. 17 RGPD — Droit à l'effacement
- Art. 12 RGPD — Délai de réponse : 1 mois maximum
- Art. L123-22 C.com — Conservation des documents comptables : 10 ans
- Art. 5§2 RGPD — Principe de responsabilité (accountability) : être en mesure de démontrer la conformité
- Art. 30 RGPD — Registre des activités de traitement (document institutionnel à tenir par Unova en tant que sous-traitant)
Périmètre
Données à anonymiser
| Modèle | Champs |
|---|---|
Contact |
nom, prenom, email, numero_telephone, date_naissance, code_postal, rue, ville, raison_sociale, numero_tva, commentaire, external_data, consentement_donnees_commercial, is_newsletter_accepted, repeat_match_notification |
Commande |
frozen_nom, frozen_prenom, frozen_email, frozen_numero_telephone, frozen_date_naissance, frozen_code_postal, frozen_rue, frozen_ville, frozen_raison_sociale, frozen_numero_tva |
Reservation |
Annulation via cancel! (libère les articles) puis suppression |
Données à supprimer
| Modèle | Raison |
|---|---|
User |
Suppression du compte de connexion |
ContactBrevo |
Entrées de synchronisation emailing |
SimpleTokenAuthenticator |
Tokens d'accès profil minisite |
NotificationSubscription |
Abonnements aux notifications push |
BilletShareRequest |
Demandes de partage de billet |
Données à conserver (obligation légale)
| Modèle | Justification |
|---|---|
Justification (tous les frozen_*_client et frozen_*_vendeur) |
Documents fiscaux — obligation 10 ans (art. L123-22 C.com) |
Commande (montants, identifiant, statut, dates) |
Traçabilité comptable |
Operation, Remboursement |
Traçabilité financière |
| PDFs Active Storage des justificatifs | Couverts par l'obligation fiscale — ne pas supprimer |
Interconnexions tierces
| Service | Action requise |
|---|---|
| Brevo | Suppression des abonnements aux listes, suppression du contact |
| Arenametrix | Trouver un moyen pour transmettre l'information (email, export...) |
Stratégie d'anonymisation
Chaque champ string est remplacé par une valeur préfixée du nom du champ et suffixée de l'id du contact, par exemple :
| Champ | Valeur après anonymisation |
|---|---|
nom |
nom_supprime_123 |
prenom |
prenom_supprime_123 |
email |
email_supprime_123@anonyme.invalid |
numero_telephone |
telephone_supprime_123 |
code_postal |
cp_supprime_123 |
rue |
rue_supprime_123 |
ville |
ville_supprime_123 |
raison_sociale |
raison_sociale_supprime_123 |
numero_tva |
tva_supprime_123 |
commentaire |
commentaire_supprime_123 |
Ce pattern garantit :
- Aucun champ
nilsur des colonnesNOT NULLou utilisées dans du code sans garde-fou - Valeurs uniques par contact (l'id évite les collisions d'unicité)
- L'email
@anonyme.invalidest un domaine invalide par standard Internet (RFC 2606 — Reserved Top Level DNS Names), jamais délivrable - Traçabilité : on sait qu'un champ a été anonymisé et quel contact était concerné
A noter : - Timestamp automatique de l'exécution + nom de l'opérateur — bonne pratique recommandée par la CNIL pour démontrer la conformité (art. 5§2 accountability) et le respect du délai d'un mois (art. 12§3)
Procédure opérationnelle
Avant toute exécution, vérifier les points suivants :
- Vérification d'identité — S'assurer que la demande provient bien du titulaire du compte (email confirmé, ou vérification manuelle)
- Délai — La demande doit être traitée dans le mois suivant la réception (art. 12 RGPD)
- Traçabilité — Consigner dans un log interne : date de la demande, date d'exécution, nom de l'opérateur. Il n'existe pas d'article imposant explicitement ce format, mais c'est la bonne pratique recommandée par la CNIL pour démontrer la conformité (art. 5§2) et prouver le respect du délai d'un mois (art. 12§3) en cas de contrôle.
- Cas de refus légal — Le droit à l'effacement peut être refusé si les données sont nécessaires à l'exécution d'un contrat en cours, à une obligation légale, ou à la constatation de droits en justice. Documenter le motif.
- PDFs de justificatifs — Ne pas supprimer les fichiers Active Storage liés aux justificatifs. Ils sont couverts par l'obligation de conservation fiscale de 10 ans.