Menu

Politique de protection des données (RGPD) – Shopital

Résumé par thèmes. Version : octobre 2025. Responsable de traitement : vous-même. DPD diocésain : Florent Tramu.

En bref : données limitées (identité, chambre, visites), pas de données médicales ; chiffrement systématique (base, sauvegardes, sessions), cloisonnement par établissement, accès nominatif par rôles ; une seule page accessible depuis l’extérieur : login() ; invitation administrateur pour tout nouveau compte.

Sommaire

Gouvernance & politique

  • Politique RGPD documentée et révisée annuellement (dernière révision : 10/2025).
  • Responsable de traitement : vous (aumônerie). Supervision : DPD du diocèse (Florent Tramu).
  • Base religieuse par finalité (aumônerie), sans donnée religieuse explicite au sens de l’art. 9.
  • Plan d’action et registre tenus dans l’application PIA ; comptes-rendus annuels.

Minimisation des données

  • Données traitées : nom, prénom (chiffrés), chambre, bâtiment, service (chiffrés), visites, présence, observations (chiffrement asymétrique, lisibles uniquement par l’auteur).
  • Pas de données médicales. Formulaires papier : usage ponctuel, intégration puis destruction/anonymisation.
  • Conservations types : données actives pendant le séjour, puis anonymisation/suppression ; journaux 6 mois.

Contrôle des accès & authentification

  • Une seule page publique : login(). Anti-forçage : blocage par répétition, temporisation, captcha, double mot de passe (personnel + aumônerie).
  • Création de compte par invitation administrateur (token). Le nouvel utilisateur définit un mot de passe aumônerie personnalisé pour son établissement.
  • Rôles différenciés : responsable d’aumônerie, aumônier, bénévole (principe du moindre privilège).
  • Politique de mot de passe personnel : ≥ 10 caractères, majuscules, minuscules, chiffres et caractères spéciaux.
  • Sessions et cookies chiffrés ; expiration automatique ; cloisonnement strict par hopital_id.

Chiffrement

  • Colonnes sensibles chiffrées AES‑256 par établissement (clé par aumônerie).
  • DEK chiffrée en base + salt serveur ; clé de l’aumônerie jamais stockée, saisie à chaque session et combinée en mémoire.
  • Observations : chiffrement asymétrique (libsodium) – clé publique en base, clé privée en IndexedDB navigateur (serveur ne peut pas lire).
  • Transport : TLS (HTTPS). Sessions/cookies chiffrés.
  • Perte du mot de passe aumônerie => données irrécupérables (conçu ainsi).
  • Rotation des clés automatique tous les 6 mois (ancienne clé + nouvelle clé requises).

Sauvegardes & restauration

  • Sauvegardes quotidiennes chiffrées (OVH + copie locale chiffrée sur poste admin).
  • Transferts par SFTP/SSH/HTTPS. Rétention : 7 jours, avec plusieurs versions.
  • Cloisonnement : clé distincte par établissement. Prestataire sans accès aux données en clair.
  • Restauration : dernière version, D+1 (≤ 24h). Procédure documentée ; tests de restauration à planifier.

Traçabilité & journaux

  • Journaux applicatifs, système et sécurité : chiffrés, rotation automatique, conservation 6 mois.
  • Traçage des actions sensibles (lecture/décryptage, ajout, modification, suppression, export, rotation de clés).
  • Revue hebdomadaire par l’administrateur ; supervision prestataire ; preuves conservées en cas d’incident.

Gestion des incidents

  • Détection : logs applicatifs, supervision OVH, outil d’observation anonymisé du prestataire.
  • Réaction : blocage du compte/accès, rotation de clés, restauration ≤ 24h, reprise contrôlée.
  • Qualification : mineur / modéré / critique ; notification CNIL < 72h si violation ; information des personnes.
  • Post‑mortem : bilan, mesures correctives, mise à jour du PIA et des habilitations.

Sécurisation des matériels & postes

  • Serveur : VPS OVH (France), accès SSH par clé, pare‑feu OVH + iptables, datacenter sécurisé.
  • Poste d’administration unique : chiffré, Windows à jour, antivirus/pare‑feu, bureau fermé, verrouillage auto.
  • Réseau : Wi‑Fi admin isolé, box/routeur à jour, mots de passe forts. Supports amovibles interdits.
  • Perte/vol : alerte immédiate, révocation clés SSH, rotation clés, blocage des sessions.

Tiers & sous‑traitance

  • OVH (hébergement) et prestataire technique (maintenance) encadrés par contrat RGPD.
  • Accès tiers temporaires, chiffrés, journalisés ; pas d’accès aux clés « aumônerie ». Destruction des données de travail en fin de contrat.
  • Base chiffrée au repos : données inexploitables sans clé locale.

Protection du site web

  • TLS 1.2/1.3 obligatoire, redirection HTTPS, en‑têtes de sécurité (HSTS, X‑Frame‑Options, X‑Content‑Type‑Options, Referrer‑Policy).
  • Protections CakePHP 5 : CSRF/FormProtection, ORM (anti‑SQLi), échappement XSS, RateLimiter/captcha.
  • Politique cookies : strictement nécessaires, chiffrés (EncryptedCookieMiddleware), sans pistage.

Gérer les risques

  • Grille risques (gravité × vraisemblance) revue chaque année ; mesures associées (chiffrement, cloisonnement, sauvegardes, sensibilisation).
  • Base religieuse par finalité, sécurité renforcée équivalente aux données sensibles (art. 32).
  • Résumé matériel : en cas d’usage non volontaire d’un ordinateur, risque d’accès illégitime réduit par chiffrement disque, sessions/cookies chiffrés, verrouillage auto, blocage & rotation de clés dès le signalement.

Droits des personnes

  • Information, accès/portabilité (PDF/CSV), rectification, effacement/anonymisation, limitation/opposition.
  • Procédure via l’aumônier référent (contact ci‑dessous) ; réponse sous 1 mois.

Contact RGPD

  • Responsable de traitement : aumônerie (coordonnées internes).
  • DPD diocésain : Florent Tramu.
  • Signalement incident / exercice des droits : téléphone & e‑mail indiqués sur la page d’accueil.