G
Garante

AIPD interne — Mai 2026 — Version 2.0

Analyse d'Impact relative à la Protection des Données — SaaS Garante

Réalisée sur la plateforme Garante en tant qu'éditeur SaaS, conformément à l'article 35 du RGPD. Document public — destiné aux prospects, clients, auditeurs et autorités de contrôle.

1. Description du traitement

Finalité : permettre aux cabinets DPO externalisés de gérer la conformité RGPD de leurs clients (workflow DSAR, registre Art. 30, AIPD, violations 72h, sous-traitants Art. 28, documents légaux).

Données traitées :identité des collaborateurs cabinet (nom, email, rôle), métadonnées clients (raison sociale, secteur, contact), demandes DSAR (identité demandeur, nature droit exercé, résultats discovery), violations (description, données concernées), pièces justificatives (contrats, certifs, DPA), preuves d'identité DSAR (purgées 30j).

Personnes concernées : utilisateurs cabinet (DPO, admin, assistant), demandeurs DSAR (clients finaux des clients cabinet), contacts opérationnels chez les sous-traitants.

Bases légales : exécution du contrat de prestation SaaS pour les cabinets (Art. 6.1.b RGPD), exercice de droits RGPD pour les demandeurs DSAR (Art. 6.1.c — obligation légale du responsable de traitement représenté par le cabinet).

2. Nécessité de l'AIPD (critères CNIL)

La liste CNIL fixe 9 critères. Une AIPD est obligatoire dès lors qu'au moins 2 critères sont réunis. Pour Garante :

  • ✓ Évaluation/scoring : notation de maturité RGPD des prospects/clients (Audit Flash, score conformité).
  • ✓ Données à caractère hautement personnel : pièces d'identité collectées dans le flow DSAR (CNI, passeport).
  • ✓ Personnes vulnérables : potentiellement enfants concernés par une DSAR (selon les données détenues par les clients).
  • ✓ Croisement de données : agrégation via 40 connecteurs API hétérogènes pour produire une réponse DSAR consolidée.

→ 4 critères réunis. AIPD obligatoire et pertinente.

3. Analyse des risques

8 risques identifiés et qualifiés selon vraisemblance/gravité, avec mesures de mitigation appliquées et niveau résiduel.

R1

Accès non autorisé aux données d'un cabinet par un autre cabinet

Sources : Faille applicative cross-tenant · Compromission credentials cabinet

Impacts : Violation confidentialité Art. 5.1.f RGPD · Sanction CNIL pour le cabinet et pour Garante · Perte de confiance commerciale, résiliation en cascade

Vraisemblance : moyenne · Gravité : élevée

Mesures de mitigation :
  • Row-Level Security Postgres au niveau DB (rôle non-superuser garante_app)
  • Filtrage applicatif cabinetId sur toutes les requêtes Prisma (defense in depth)
  • Tests d'intégration tenant-isolation sur 9 tables critiques
  • Audit trail tamper-evident détectant toute manipulation

Risque résiduel : faible

R2

Fuite de données via réponse DSAR mal anonymisée

Sources : L'IA n'identifie pas un nom de tiers dans les données collectées · Le DPO valide la réponse sans relecture attentive

Impacts : Communication d'informations sur un tiers à un demandeur — atteinte vie privée · Plainte CNIL du tiers concerné · Procès civil contre le cabinet et le responsable de traitement

Vraisemblance : moyenne · Gravité : élevée

Mesures de mitigation :
  • Détection IA explicite des données de tiers (étape detectAnonymization)
  • Validation à 4 yeux ACTIVÉE PAR DÉFAUT — désactivable uniquement avec déclaration écrite
  • Disclaimer permanent « BROUILLON IA — relecture obligatoire » sur tout livrable IA
  • Audit log de chaque réponse DSAR envoyée (preuve opposable)

Risque résiduel : modéré

R3

Compromission d'un compte DPO admin (vol identifiants ou phishing)

Sources : Phishing · Mot de passe faible/réutilisé · Token volé

Impacts : Accès complet aux données du cabinet attaquant · Modifications/suppressions données sensibles · Envoi frauduleux de réponses DSAR à de faux demandeurs

Vraisemblance : moyenne · Gravité : élevée

Mesures de mitigation :
  • Mot de passe bcrypt 12 rounds, jamais en clair, jamais logué
  • 2FA TOTP disponible, drift ±120s, codes recovery 48 bits chiffrés
  • Lockout 10 tentatives → 1h, alerte email automatique
  • Refresh token rotation single-use + blacklist Redis+DB
  • Audit log toutes actions sensibles (Art. 5.2 accountability)
  • Sessions JWT 15 min, force re-auth sur actions sensibles

Risque résiduel : faible

R4

Hallucinations IA dans documents juridiques générés

Sources : Mistral génère un texte plausible mais juridiquement faux · Le DPO publie sans validation avocat

Impacts : Politique de confidentialité non conforme publiée pour le client · Engagement contractuel erroné dans procédure DSAR · Sanction CNIL pour le client final, retournée contre le cabinet

Vraisemblance : moyenne · Gravité : moyenne

Mesures de mitigation :
  • Statut « brouillon » par défaut sur tout document IA
  • Disclaimer obligatoire « à faire valider par votre conseil juridique »
  • Versioning + workflow publication : passage en « publié » requiert action manuelle
  • Audit log de chaque génération IA (prompt + réponse + acteur)

Risque résiduel : modéré

R5

Perte de données suite à incident d'infrastructure

Sources : Panne hardware Hetzner · Erreur opérateur (DROP TABLE, rm -rf) · Ransomware

Impacts : Indisponibilité service (atteinte intégrité Art. 32.1.b) · Perte définitive de données client (atteinte disponibilité) · Violation Art. 33-34 obligation notification CNIL

Vraisemblance : faible · Gravité : élevée

Mesures de mitigation :
  • Backup quotidien chiffré AES-256-CBC + PBKDF2 100k itérations, rétention 30j glissants
  • Copie hors-ligne rotative quotidienne sur stockage isolé du runtime (rétention 7j)
  • Réplication off-site géographique : prévue en feuille de route, non encore active (souveraineté UE, RTO/RPO cibles documentés sur /legal/securite)
  • Procédure de restauration documentée ; tests planifiés périodiquement (dont migrations Prisma)
  • Runtime non-superuser (garante_app NOBYPASSRLS) — pas de DROP/ALTER possible
  • Migrations Prisma en mode « deploy » (jamais « dev » en prod)
  • Healthcheck monitoring + alerting email Brevo + UptimeRobot externe

Risque résiduel : faible

R6

Transfert de données hors UE via sous-traitants

Sources : Mistral hébergé en France/UE — pas de risque · Brevo hébergé en France/UE — pas de risque · Cas potentiel : un connecteur API tiers du client (Stripe, HubSpot...) qui transfère hors UE

Impacts : Transfert non encadré (Art. 44-49 RGPD) · Sanction CNIL pour le client (responsable de traitement)

Vraisemblance : moyenne (selon connecteurs activés par client) · Gravité : moyenne

Mesures de mitigation :
  • Garante n'envoie aucune donnée client hors UE — infrastructure 100% UE (Hetzner Allemagne)
  • Mistral AI utilisé en mode API EU (pas de US/Asia)
  • Liste publique des sous-traitants Garante (page /legal/subprocessors)
  • Connecteurs API tiers : la responsabilité de l'encadrement (CCT/adéquation) revient au client/cabinet
  • Documentation pédagogique dans l'outil pour chaque connecteur (mention pays + transfert mechanism)

Risque résiduel : à charge du client (non Garante)

R7

Non-respect des durées de conservation

Sources : Bug dans le cron de purge · Configuration cabinet erronée (durée trop longue)

Impacts : Conservation excessive Art. 5.1.e RGPD · Risque CNIL en cas de contrôle

Vraisemblance : faible · Gravité : moyenne

Mesures de mitigation :
  • Pièces d'identité DSAR purgées 30j auto (cron quotidien testé)
  • DSAR clos purgés 36 mois par défaut (configurable cabinet, max 84 mois)
  • Logs offboarding purgés 5 ans (Art. 28.3.g + prescription civile)
  • Audit log des purges effectuées (traçabilité)

Risque résiduel : faible

R8

Atteinte à la vie privée par des tiers via portail public DSAR

Sources : Énumération de demandes DSAR par leur référence · Brute-force du token de delivery proof · Phishing imitant Garante

Impacts : Exposition de DSAR d'autres demandeurs · Téléchargement frauduleux de réponses DSAR

Vraisemblance : faible · Gravité : élevée

Mesures de mitigation :
  • Tokens delivery proof 256 bits aléatoires (impossibles à deviner)
  • Rate limiting portail public 5/h par IP
  • Bunny WAF en frontal
  • Liens de delivery expirent après téléchargement ou délai configurable
  • Audit log de chaque téléchargement (IP + UA + horodatage)

Risque résiduel : faible

4. Conclusion

Sur les 8 risques identifiés, 6 ont un niveau résiduel faible après application des mesures, 2 ont un niveau résiduel modéré (R2 fuite via DSAR mal anonymisé, R4 hallucinations IA documents).

Pour les 2 risques résiduels modérés, la mitigation principale repose sur la vigilance humaine du DPO(validation à 4 yeux, relecture obligatoire des livrables IA). Garante ne se substitue pas à cette vigilance — c'est un outil d'assistance, pas d'automatisation aveugle.

Décision : traitement autorisé avec les mesures décrites. Pas de consultation préalable CNIL nécessaire (Art. 36 RGPD) — risques résiduels acceptables au regard des bénéfices apportés.

Revue : cette AIPD est revue annuellement et à chaque évolution majeure de la plateforme (nouveau module, nouveau type de données, nouveau sous-traitant).

Contact

Questions sur cette AIPD ? Contactez dpo@garante.fr.