Protection des données
Statut
Document de cadrage sécurité — version initiale.
Objectif
La protection des données DMV vise à préserver la confidentialité, l'intégrité, la disponibilité et la traçabilité des informations manipulées par l'écosystème.
Elle couvre les données personnelles, métiers, administratives, financières, statistiques et IA.
Données concernées
| Catégorie | Exemples |
|---|---|
| Comptes | identifiants, profils, rôles, rattachements. |
| Acteurs | fiches, documents, revendications, abonnements, boosts. |
| Communes | informations mairie, alertes, services, contenus officiels. |
| Interactions | favoris, messages, groupes, signalements, notifications. |
| Paiements | abonnements, statuts Stripe, webhooks, références externes. |
| Analytics | événements, statistiques, agrégats. |
| IA | prompts, contextes, résultats, quotas, coûts, logs. |
Principes
- Collecter uniquement les données nécessaires.
- Séparer les données publiques, privées, internes et sensibles.
- Protéger les accès par authentification, autorisation et scopes.
- Ne pas stocker localement de données bancaires sensibles.
- Limiter les données envoyées aux providers IA.
- Journaliser les actions sensibles sans exposer de secrets.
- Prévoir export, suppression et rétention par type de donnée.
Paiements
Stripe gère les paiements.
DMV doit éviter de stocker localement :
- numéros de carte ;
- cryptogrammes ;
- données bancaires brutes ;
- secrets Stripe.
Les données locales doivent se limiter aux références et statuts nécessaires au fonctionnement métier : abonnement, boost, compte Stripe, événement webhook ou identifiant externe.
Documents et médias
Les documents et médias doivent être classés selon leur exposition :
- public ;
- privé acteur ;
- interne admin ;
- mairie ;
- association ;
- temporaire.
La cible doit préciser les règles d'accès, de conservation, de suppression et de cache pour chaque catégorie.
Données analytics
Les analytics doivent mesurer la valeur produit sans devenir intrusives.
La cible doit privilégier :
- agrégats ;
- minimisation ;
- pseudonymisation si possible ;
- limitation de conservation ;
- séparation entre analytics produit et audit de sécurité.
Données IA
Les données IA nécessitent une protection spécifique :
- contexte limité au besoin ;
- pas d'accès direct base ;
- pas de secret dans les prompts ;
- logs nettoyés autant que possible ;
- conservation maîtrisée ;
- accès restreint aux analyses IA.
Vision cible
- Cartographier les données par domaine et sensibilité.
- Définir des politiques de rétention.
- Formaliser les règles d'accès aux documents.
- Encadrer les exports et suppressions.
- Tester les droits sur les données sensibles.
- Revoir les caches pour éviter toute fuite de données privées.
Points à clarifier
- Classification officielle des données.
- Durées de conservation par catégorie.
- Stockage cible des documents.
- Règles de suppression physique ou logique.
- Politique de sauvegarde et restauration.
- Sous-traitants et transferts de données.