VESICA
FQDJC_FQ_4Brouillon

DJC_FQ_4 — Registre des activités de traitement

Formulaire· Juridique & Conformité· émetteur VESICA DJC_PRO_4

DJC_FQ_4 — Registre des activités de traitement

Objet (quoi enregistrer)

Tenir le registre des activités de traitement exigé par l'article 30 du RGPD : pour chaque traitement de données personnelles opéré par VESICA, consigner finalité, base légale, catégories de données et de personnes, destinataires, sous-traitants, durée de conservation et mesures de sécurité. C'est la pièce maîtresse de la conformité RGPD, opposable en cas de contrôle CNIL. [STANDARD]

Champs / structure [= prototype d'une table M2]

id: uuid (PK)
nom_traitement: text              # ex. "Gestion des dossiers de diagnostic"
finalite: text                    # pourquoi (réaliser la prestation, facturer, archiver...)
base_legale: enum(contrat, obligation_legale, consentement, interet_legitime)
categories_personnes: text[]      # clients, prospects, occupants du bien
categories_donnees: text[]        # identite, coordonnees, adresse_bien, donnees_dossier, audio
donnees_sensibles: boolean        # a priori false ; vigilance si santé/etc.
destinataires: text[]             # internes (dirigeant), notaire, organisme certif...
sous_traitants: text[]            # OpenRouter, Mistral, Google Drive, Hostinger, Mattermost
localisation_donnees: text        # UE / hors-UE (clauses contractuelles types si hors-UE)
support: text[]                   # postgres(dossiers), drive, mattermost, email, logs_llm
duree_conservation: text          # ex. "rapports: X ans (légal) ; .wav: jusqu'à facturation"
mesures_securite: text            # chiffrement, contrôle d'accès, minimisation LLM
mecanisme_purge: text             # workflow P11 / manuel ; audité par agent RGPD
statut: enum(actif, suspendu, clos)
cree_le: date
revue_le: date

Règles de remplissage

  • Une ligne par traitement (pas par dossier) : « gestion des dossiers », « facturation », « télémétrie LLM », « notifications Mattermost », etc. [STANDARD]
  • base_legale : pour la prestation de diagnostic = contrat ; pour la conservation des rapports = obligation légale. [STANDARD]
  • sous_traitants et localisation_donnees obligatoires : tout sous-traitant appelle un DPA (registre des sous-traitants, futur DJC_FQ_4_2). [STANDARD]
  • duree_conservation doit refléter la rétention M2 (chaud/froid) et l'obligation légale : le .wav est purgé à la facturation par défaut. [CORPUS]
  • donnees_sensibles : a priori false pour le diagnostic standard ; si un traitement en venait à inclure des données sensibles → vérifier l'AIPD. [À CONFIRMER]
  • mecanisme_purge doit pointer le workflow réel (P11) et l'audit de l'agent RGPD (UC-DJC-N9). [CORPUS]
  • Registre revu périodiquement (revue_le) ; un traitement clos passe statut = clos, jamais supprimé. [STANDARD]

Rattachement (procédure/instruction)

  • Procédure : DJC_PQ_4.
  • Instruction : DJC_IQ_4_1 (le registre sert à localiser les données lors d'une demande de droit).
  • Processus : DJC_PRO_4.
  • Lien : registre des sous-traitants (futur DJC_FQ_4_2), politique de conservation (DJC_PQ_4 annexe A), workflow purge P11.

Enregistrement résultant

Le registre des traitements (prototype conformite.traitements_rgpd, schéma 09 à confirmer), document vivant tenu à jour. Référence croisée vers le registre des sous-traitants et la politique de conservation. C'est l'enregistrement présenté en cas de contrôle CNIL. [À CONFIRMER]