10 points que votre boutique doit respecter. La plupart ne le font pas

1. Registre des activités de traitement

Obligatoire selon l'art. 30 RGPD — même pour les petites entreprises. Documentez : quelles données, finalité, base légale, durée de conservation, destinataires. Un simple tableau suffit. PlotonIQ génère automatiquement cette vue d'ensemble.

2. Accords de traitement des données (DPA)

Obligatoire avec chaque service cloud traitant vos données clients : logiciel comptable, outils email, hébergement, logiciel métier. PlotonIQ fournit un DPA. Demandez-en un à tous vos autres fournisseurs.

3. Politique de confidentialité

Spécifique : quels cookies, quelles analyses, quels tiers, coordonnées du responsable du traitement.

4. Serveurs UE

Les données clients sur serveurs américains sont problématiques post-Schrems II. Le plus sûr : serveurs allemands. PlotonIQ : Hetzner Falkenstein, certifié ISO 27001. Aucun transfert vers pays tiers.

5. Durées de conservation

Droit fiscal : 10 ans pour les factures, 6 ans pour la correspondance commerciale. Photos de chantier : supprimer après projet + période de garantie. Données des candidats : 6 mois après refus.

6. Chiffrement

Transit : TLS 1.2+ (de préférence 1.3). Stockage : AES-256. Mots de passe : bcrypt ou Argon2. Clés API : chiffrées, jamais en texte brut.

7. Contrôle d'accès

Tous les installateurs n'ont pas besoin d'accès à toutes les factures. Système de rôles : Admin (tout), Bureau (clients, devis, factures), Installateur (propres tâches, suivi du temps).

8. Photos uniquement dans les applications gérées

Photos de chantier sur téléphones personnels = données clients sur appareils non gérés. Solution : capture dans l'app PlotonIQ — upload chiffré, jamais stocké sur l'appareil.

9. Remplacer WhatsApp

WhatsApp partage les métadonnées avec Meta. Non conforme au RGPD sans Business API + DPA. Pour les approbations : portail client PlotonIQ avec signature numérique et horodatage.

10. Analyse d'impact pour le géorepérage

Le suivi GPS des installateurs nécessite une analyse d'impact sur la protection des données selon l'art. 35 RGPD. Documentez : finalité, base légale, mesures de protection. Les employés doivent être informés.