My App

RGPD

Données personnelles, durée de rétention, droits des utilisateurs

Wcare traite des données personnelles (email, IP hashée, fingerprints). La conformité RGPD n'est pas optionnelle.

Données collectées

Utilisateurs dashboard (établissements)

DonnéeBase légaleDurée de rétention
EmailContrat (accès au service)Durée du compte + 30 jours
NomContratDurée du compte + 30 jours
Mot de passe (hashé)ContratDurée du compte
SessionsIntérêt légitime (sécurité)30 jours max

Utilisateurs finaux (signalements)

DonnéeBase légaleDurée de rétention
IP hashéeIntérêt légitime (anti-spam)30 jours
Fingerprint hashéIntérêt légitime (anti-spam)30 jours
Texte libreIntérêt légitime (service)Durée du signalement

Aucune donnée identifiante directe n'est collectée pour les utilisateurs finaux. L'IP et le fingerprint sont hashés avec un sel — il est impossible de retrouver l'IP originale depuis le hash.

Principes appliqués

Minimisation

  • Pas de compte requis pour signaler
  • Pas de collecte de géolocalisation
  • Pas de cookies tracking
  • Fingerprint calculé côté client, seul le hash est envoyé

Pseudonymisation

  • IP → SHA-256 + sel rotatif mensuel
  • Fingerprint → SHA-256 côté client

Limitation de stockage

TypePolitique
Signalements résolusArchive après 90 jours, suppression après 1 an
IP hashéesSuppression après 30 jours
FingerprintsSuppression après 30 jours
Sessions expiréesSuppression quotidienne (cron)
Comptes supprimésAnonymisation après 30 jours

Droits des utilisateurs

Établissements (data subjects identifiés)

DroitImplémentation
AccèsExport des données depuis /dashboard/settings
RectificationModification du profil depuis le dashboard
SuppressionDemande via email → anonymisation sous 30 jours
PortabilitéExport JSON depuis le dashboard

Utilisateurs finaux

Les utilisateurs finaux ne sont pas identifiables (pas de compte, IP hashée). Les droits RGPD ne s'appliquent pas aux données anonymes.

Sous-traitants

ServiceDonnées traitéesLocalisation
PostgreSQL (self-hosted)ToutesEU (serveur Dokploy)
ResendEmail des établissementsUS (clauses contractuelles)
WhatsApp Business APINuméro WhatsAppUS (clauses contractuelles)

Actions requises

  • Rédiger la politique de confidentialité (/privacy)
  • Ajouter le bandeau cookies (si cookies non-essentiels ajoutés)
  • Implémenter l'export de données utilisateur
  • Implémenter le cron de purge des données expirées
  • Documenter le registre des traitements

WhatsApp (Meta Business API)

Setup complet, opérations courantes, et résolution d'incidents pour la couche WhatsApp.

Environnements

Dev, staging, production — configuration et déploiement

On this page

Données collectéesUtilisateurs dashboard (établissements)Utilisateurs finaux (signalements)Principes appliquésMinimisationPseudonymisationLimitation de stockageDroits des utilisateursÉtablissements (data subjects identifiés)Utilisateurs finauxSous-traitantsActions requises