Obexal Docs

Docs/Sécurité et conformité/RGPD

RGPD et protection des données

Le double rôle d'Obexal au sens du RGPD, et l'outillage intégré pour les droits des personnes, la minimisation, la rétention et la notification de violation.

Obexal fournit l'outillage sur lequel repose le travail de protection des données: export, suppression, minimisation dès la conception, journal d'audit immuable et rétention configurable. Cette page relie cet outillage au RGPD. Elle décrit des fonctionnalités, pas un avis juridique.

Deux rôles au sens du RGPD

Pour les données personnelles des utilisateurs finaux de vos tenants, Obexal agit comme sous-traitant (article 28): il traite les données sur vos instructions, et vous restez le responsable de traitement qui détermine les finalités et les bases légales. Cette relation est encadrée par le contrat de sous-traitance (DPA).

Pour ses propres données (comptes clients, facturation, contacts B2B), Obexal est responsable de traitement, avec les bases légales habituelles: exécution du contrat pour les comptes clients, obligation légale pour la comptabilité, intérêt légitime pour la sécurisation de la plateforme.

Droits des personnes, mappés aux fonctions

DroitArticleFonction Obexal
Accès, portabilité15, 20Export self-service du compte en JSON lisible par machine
Rectification16Profil en self-service, console admin, synchronisation SCIM et LDAP
Effacement17Suppression de compte self-service avec ré-authentification, en cascade sur toutes les données
Limitation18Suspension de compte par un admin, suspension de tenant par l'opérateur de plateforme
Opposition, décision automatisée21, 22Aucun profilage ni décision automatisée produisant des effets juridiques

L'export est un simple appel authentifié:

curl https://accounts.obexal.com/v1/auth/account/export \
  -b "obexal_session=$SESSION"

Il renvoie le profil de l'utilisateur, ses identités fédérées (fournisseur et sujet, jamais aucun secret du fournisseur) et les métadonnées de ses facteurs MFA. Aucun secret n'y figure jamais: ni hash de mot de passe, ni secret TOTP. Chaque export est consigné dans le journal d'audit.

La suppression (POST /v1/auth/account/delete) exige une ré-authentification (le mot de passe actuel, ou l'adresse email exacte pour les comptes sans mot de passe) et s'effectue en cascade sur les identifiants, sessions, facteurs MFA, passkeys, consentements et jetons. L'entrée d'audit est écrite avant l'effacement, et le webhook user.deleted ne porte que l'identifiant de l'utilisateur, jamais l'email. Le déprovisioning SCIM est distinct: il désactive le compte (les sessions deviennent aussitôt inopérantes) sans l'effacer; voir SCIM entrant.

Minimisation des données

  • Le schéma de profil se limite à ce dont le SSO a besoin: nom, nom d'affichage, poste, département, langue. Il n'y a délibérément aucun champ date de naissance.
  • La connexion sociale ne stocke que le lien (fournisseur, sujet) plus l'email. Aucun jeton d'accès ou de rafraîchissement du fournisseur n'est conservé.
  • Les passkeys ne stockent qu'une clé publique; les codes de récupération et tous les jetons à usage unique n'existent côté serveur que sous forme de hash.
  • La vérification des mots de passe compromis s'appuie sur une liste locale: aucun email ni matériau de mot de passe ne quitte la plateforme.

Journal d'audit et rétention

Le journal d'audit est en ajout seul et immuable (un trigger de base de données rejette toute modification ou suppression). Il consigne les évènements pertinents pour la sécurité, y compris les exports et les suppressions. La rétention est configurable par déploiement (AUDIT_RETENTION, 0 signifiant illimitée): une purge quotidienne supprime les entrées plus anciennes que la fenêtre, ce qui borne la durée de conservation sans jamais éditer une entrée. Voir Journal d'audit.

Notification de violation

En tant que sous-traitant, Obexal notifie le responsable de traitement sans délai injustifié après avoir eu connaissance d'une violation de données personnelles (article 33.2), avec les éléments dont le responsable a besoin pour notifier son autorité de contrôle sous 72 heures quand c'est requis, et les personnes concernées quand le risque est élevé. La procédure opérationnelle suit: contenir, préserver les preuves, éradiquer, restaurer, post-mortem.

Responsabilité partagée

Cette documentation décrit l'outillage. La conformité globale dépend aussi de la manière dont vous, responsable de traitement, le configurez et l'utilisez: déterminer les bases légales, fixer les durées de conservation, répondre aux personnes concernées (Obexal vous assiste au titre de l'article 28.3.e mais ne répond pas directement à vos utilisateurs finaux), et mener une AIPD quand votre contexte l'exige. Les sous-traitants ultérieurs dans le chemin des données (hébergement, relais SMTP) sont établis en UE; tout ajout est notifié avec droit d'opposition, et en fin de contrat les données sont supprimées ou restituées, à votre choix. Détails dans le DPA.

Note

Cette page est une documentation produit factuelle, pas un avis juridique. Faites valider votre propre posture de conformité par votre DPO ou votre conseil.