privacy-compliance

Par mkurman · zorai

Utilisez cette skill lors de la mise en œuvre de la conformité GDPR ou CCPA, de la conception de la gestion du consentement, de la réalisation de DPIAs ou de la gestion des accords de traitement des données. Se déclenche sur GDPR, CCPA, confidentialité des données, gestion du consentement, DPIA, droits des personnes concernées, politique de confidentialité, consentement aux cookies, et toute tâche nécessitant la conformité aux réglementations sur la vie privée ou la conception de la protection des données.

npx skills add https://github.com/mkurman/zorai --skill privacy-compliance

Principes clés

  1. Confidentialité par conception - Intégrez les contrôles de confidentialité à l'architecture dès le départ. La minimisation des données, les contrôles d'accès et les journaux d'audit sont des décisions structurelles, pas des fonctionnalités ajoutées après le lancement. L'adaptation ultérieure est coûteuse et incomplète.

  2. Minimisation des données - Collectez uniquement ce dont vous avez besoin, conservez-le seulement aussi longtemps que nécessaire, et supprimez-le selon un calendrier défini. Chaque champ dans votre base de données est un risque si vous ne pouvez pas justifier son objectif et sa période de conservation.

  3. Base légale de traitement - Chaque activité de traitement doit avoir une base légale documentée (RGPD) ou une obligation de divulgation (CCPA). « Nous en aurons peut-être besoin un jour » n'est pas une base légale. Documentez la base avant de collecter les données.

  4. Transparence - Les utilisateurs doivent comprendre quelles données vous collectez, pourquoi, combien de temps vous les conservez et avec qui vous les partagez. Les politiques de confidentialité doivent être lisibles, pas un mur juridique. Le consentement doit être éclairé pour être valide.

  5. Responsabilité - Tenez à jour les registres des activités de traitement (RoPa), effectuez des AIPD pour les traitements à haut risque, nommez un DPD si nécessaire, et répondez aux demandes des personnes concernées dans les délais légaux. La conformité est un processus continu, pas un audit unique.

Concepts fondamentaux

RGPD vs CCPA en un coup d'œil

Dimension RGPD (UE/EEA) CCPA / CPRA (Californie)
Champ d'application Toute organisation traitant les données des résidents UE/EEA Entreprises dépassant les seuils de revenus/données servant les résidents de Californie
Base légale requise Oui - 6 bases légales Pas de base explicite requise; divulgation + droit d'opposition
Standard de consentement Librement donné, spécifique, éclairé, sans ambiguïté, révocable Droit d'opposition pour vente/partage; consentement préalable pour données sensibles (CPRA)
Droits des personnes Accès, rectification, suppression, portabilité, limitation, opposition, absence de décision automatisée Droit de savoir, droit à l'oubli, correction, opposition à vente/partage, limitation de l'utilisation de données sensibles, non-discrimination
Délai de réponse 30 jours (extensible à 90 jours) 45 jours (extensible à 90 jours)
Notification de violation 72 heures à l'autorité de contrôle; notification aux personnes si risque élevé Délai raisonnable; droit d'action privée pour violations
Pénalités Jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 M € Jusqu'à 7 500 $ par violation intentionnelle
DPD requis Pour traitement systématique à grande échelle ou données sensibles Aucun rôle équivalent requis
Transferts transfrontaliers CCN, décisions d'adéquation, règles de protection des données requises Aucun mécanisme équivalent requis

Bases légales de traitement (RGPD Art. 6)

Base Quand l'utiliser Attention
Consentement Marketing, cookies non essentiels, fonctionnalités optionnelles Doit être révocable; la révocation doit être aussi facile que le consentement
Contrat Traitement nécessaire pour exécuter un contrat avec l'utilisateur Ne peut couvrir que ce qui est strictement nécessaire au contrat
Obligation légale Registres fiscaux, signalement de fraude mandaté par la loi Doit être une loi spécifique, pas une réclamation de conformité vague
Intérêts vitaux Situations médicales d'urgence Rarement applicable en dehors des contextes de santé
Mission d'intérêt public Traitement par les gouvernements et autorités publiques Non applicable à la plupart des organisations privées
Intérêts légitimes (IL) Analyse, prévention de la fraude, marketing direct (avec restrictions) Doit passer une Évaluation des Intérêts Légitimes (EIL) - vos intérêts ne doivent pas l'emporter sur ceux de l'utilisateur

Droits des personnes concernées

Droit RGPD CCPA/CPRA Note d'implémentation
Droit de savoir / d'accès Art. 15 Oui Exportez toutes les données personnelles dans un format portable
Droit de rectification / correction Art. 16 CPRA uniquement Mettez à jour les données incorrectes dans tous les systèmes
Droit à l'oubli / droit à la suppression Art. 17 Oui Suppressions en cascade dans magasin principal, répliques, sauvegardes, processeurs tiers
Droit à la portabilité Art. 20 Oui (catégories + éléments spécifiques) Format lisible par machine (JSON, CSV)
Droit à la limitation du traitement Art. 18 Non Gel du traitement pendant la résolution du différend
Droit d'opposition Art. 21 Opposition à vente/partage Particulièrement pour marketing direct et traitement basé sur IL
Absence de décision automatisée Art. 22 Non Option d'examen humain pour décisions ayant effets juridiques ou importants

Mécanismes de transfert transfrontalier

Mécanisme À utiliser quand
Décision d'adéquation Transfert vers un pays approuvé par la Commission UE (ex. : Royaume-Uni post-IDTA, Japon, Canada)
Clauses Contractuelles Types (CCN) Plus courant pour transferts vers pays non-adéquats (ex. : États-Unis). Utilisez les CCN 2021.
Règles de Protection des Données d'Entreprise (RPDE) Transferts intra-groupe au sein d'une grande multinationale; requiert approbation DPA, processus long
Dérogations (Art. 49) Exceptions étroites: consentement explicite, exécution de contrat, intérêts vitaux. Pas pour transferts systématiques.

Tâches courantes

1. Mettre en place une liste de contrôle de conformité RGPD

Utilisez ceci comme porte de lancement pour le produit/l'ingénierie :

Inventaire des données

  • [ ] Registre des Activités de Traitement (RoPa) créé et à jour
  • [ ] Base légale documentée pour chaque activité de traitement
  • [ ] Périodes de conservation définies pour chaque catégorie de données
  • [ ] Processeurs tiers identifiés; contrats de traitement signés avec chacun

Contrôles techniques

  • [ ] Données personnelles chiffrées au repos et en transit
  • [ ] Accès aux données personnelles basé sur les rôles et audité
  • [ ] Pseudonymisation appliquée où l'identification complète n'est pas nécessaire
  • [ ] Tâches de suppression automatisée programmées selon la politique de conservation

Obligations envers les utilisateurs

  • [ ] Politique de confidentialité publiée, accessible et à jour
  • [ ] Mécanisme de consentement aux cookies en place (voir tâche 2)
  • [ ] Flux de traitement des demandes des personnes concernées implémenté (voir tâche 4)
  • [ ] Vérification de l'âge où requise (catégories spéciales, données d'enfants)

Organisationnel

  • [ ] DPD nommé (si requis) et coordonnées publiées
  • [ ] Procédure de réponse aux violations de données documentée et testée
  • [ ] AIPD complétée pour les activités de traitement à haut risque (voir tâche 3)
  • [ ] Formation à la confidentialité du personnel complétée

2. Concevoir la gestion du consentement (bandeaux de cookies et centre de préférences)

La barre de consentement est plus élevée que la plupart des implémentations. Pour le RGPD, les cases pré-cochées, le consentement groupé et rendre « rejeter » plus difficile que « accepter » sont tous invalides.

Catégories de cookies à présenter aux utilisateurs :

Catégorie Exemples Requiert consentement?
Strictement nécessaires Authentification de session, équilibrage de charge, jetons CSRF Non - mais doit être divulgué
Fonctionnels / préférences Langue, thème, paramètres mémorisés Oui (RGPD), divulguer (CCPA)
Analyse / performance Google Analytics, Heap, enregistrement de session Oui (RGPD), opposition (CCPA)
Marketing / publicité Pixels publicitaires, reciblage, suivi intersite Oui (RGPD), opposition à vente (CCPA)

Exigences d'implémentation :

La bannière doit :
- Apparaître avant la définition de tous les cookies non essentiels
- Présenter les options d'acceptation et de rejet avec une importance égale
- Faire le lien vers la politique de confidentialité complète et la politique relative aux cookies
- Permettre un choix granulaire au niveau des catégories (pas seulement accepter/rejeter tout)
- Enregistrer le consentement avec horodatage, version et signal (pour l'audit)

Le centre de préférences doit :
- Être accessible depuis le pied de page à tout moment
- Permettre le retrait du consentement aussi facilement que l'octroi
- Persister les préférences entre sessions (stockage dans cookie first-party ou côté serveur)
- Respecter le signal GPC (Global Privacy Control) pour opposition CCPA

Schéma d'enregistrement du consentement (minimum) :

{
  "user_id": "...",
  "session_id": "...",
  "timestamp": "2024-01-15T10:23:00Z",
  "policy_version": "2.3",
  "signal": "explicit_accept",
  "categories": {
    "strictly_necessary": true,
    "functional": true,
    "analytics": false,
    "marketing": false
  },
  "geo": "DE",
  "ip_hash": "sha256(...)"
}

3. Effectuer une AIPD (Analyse d'Impact relative à la Protection des Données)

Une AIPD est obligatoire selon l'article 35 du RGPD quand le traitement est susceptible de créer un risque élevé pour les personnes. Toujours requise pour : profilage systématique, traitement à grande échelle de données sensibles, surveillance systématique d'espaces publics.

Modèle d'AIPD :

1. DESCRIPTION DU TRAITEMENT
   - Objectif(s) du traitement
   - Nature du traitement (collecte, stockage, partage, suppression)
   - Champ d'application: catégories de données, volume, fréquence, conservation
   - Contexte: qui sont les personnes concernées? Sont-elles vulnérables?
   - Destinataires: équipes internes, processeurs tiers, grand public

2. NÉCESSITÉ ET PROPORTIONNALITÉ
   - Chaque élément de données est-il strictement nécessaire à l'objectif déclaré?
   - Une approche moins invasive pour la confidentialité pourrait-elle atteindre le même résultat?
   - Quelle est la base légale? Est-elle proportionnée au risque?
   - Quelle période de conservation est justifiée?

3. IDENTIFICATION DES RISQUES
   Pour chaque risque, évaluez: probabilité (Faible/Moyen/Élevé) x gravité (Faible/Moyen/Élevé)
   - Accès non autorisé ou violation de données
   - Divulgation inadvertante aux mauvais destinataires
   - Collecte excessive au-delà de l'objectif déclaré
   - Incapacité à remplir les droits des personnes concernées
   - Ré-identification des données pseudonymisées
   - Discrimination ou décisions automatisées déloyales

4. MESURES D'ATTÉNUATION DES RISQUES
   - Techniques: chiffrement, contrôles d'accès, pseudonymisation, journaux d'audit
   - Organisationnelles: formation, contrats de traitement avec processeurs, plan de réponse aux incidents
   - Procédurales: calendriers de conservation, flux de traitement des demandes, procédure de notification de violation

5. RISQUE RÉSIDUEL ET SIGNATURE
   - Niveau de risque résiduel après mesures d'atténuation: Faible / Moyen / Élevé
   - Si risque résiduel Élevé: consultez l'autorité de contrôle avant de procéder
   - Signature: DPD (si applicable), Juridique, Ingénierie, Propriétaire du produit
   - Date d'examen: (recommandé annuellement ou lors de changement significatif)

4. Traiter les demandes des personnes concernées (DSR, suppression, portabilité)

Délais de réponse : 30 jours (RGPD), 45 jours (CCPA), tous deux extensibles une fois de 30-45 jours supplémentaires avec notification au demandeur.

Vérification d'identité : Vérifiez l'identité avant de traiter toute demande. Pour les utilisateurs authentifiés, la confirmation de session suffit. Pour les demandes non authentifiées, demandez des informations déjà détenues (ex.: email + 4 derniers chiffres de carte bancaire). Ne demandez pas plus de données que nécessaire pour vérifier l'identité.

Types de demandes et implémentation :

Demande d'Accès aux Données (DAD / Droit de Savoir):
- Exportez toutes les données personnelles détenues dans: base de données primaire, 
  entrepôt de données, outils d'analyse, plates-formes marketing, tickets d'assistance, 
  sauvegardes*
- Inclure: catégories de données, objectifs, périodes de conservation, 
  destinataires/tiers, source des données si non collectées directement
- Format: lisible par machine (JSON/CSV) + résumé lisible par l'homme
- *Note: vous devez décrire les données de sauvegarde; vous n'êtes pas tenu de 
  restaurer une sauvegarde uniquement pour traiter une DAD

Suppression / Droit à l'Oubli:
- Supprimez du magasin primaire, répliques en lecture, analyse, plates-formes marketing
- Notifiez tous les processeurs et sous-processeurs
- Exceptions: données détenues pour obligation légale (impôts, fraude) peuvent être 
  conservées avec traitement limité; documentez l'exception
- Sauvegardes: documentez la politique (ex.: « purgées dans 90 jours lors de la rotation 
  des sauvegardes »)
- Envoyez une confirmation au demandeur avec l'étendue de la suppression

Portabilité (RGPD Art. 20 / CCPA):
- S'applique aux données que l'utilisateur a fournies (pas données déduites selon RGPD)
- Format: structuré, couramment utilisé, lisible par machine (JSON préféré)
- Doit inclure toutes les données fournies par l'utilisateur + données comportementales observées

Champs minimum de suivi des demandes:
- ID demande, type, date reçue, identité du demandeur vérifiée (booléen)
- Date de traitement / extension / refus, raison si refus, réponse envoyée (booléen)

5. Rédiger une politique de confidentialité

Une politique de confidentialité conforme doit être concise, transparente et rédigée en langage clair. Structurez-la comme suit :

Section Contenu requis
Qui nous sommes Identité du responsable de traitement, contact DPD (si applicable), autorité de contrôle principale
Quelles données nous collectons Catégories de données personnelles, sources (directes, tierces, déduites)
Pourquoi nous les traitons Objectif pour chaque catégorie, base légale (RGPD) ou objectif commercial (CCPA)
Combien de temps nous les conservons Période de conservation ou critères pour chaque catégorie
Avec qui nous les partageons Catégories de destinataires, processeurs, vente/partage pour publicité (CCPA)
Vos droits Énumérez tous les droits applicables et comment les exercer
Transferts transfrontaliers Mécanismes utilisés si les données quittent la juridiction
Cookies Résumé + lien vers politique cookies complète
Comment nous contacter Email/formulaire pour demandes de confidentialité, plainte/info autorité de contrôle
Modifications Comment vous notifiez les utilisateurs des mises à jour matérielles; date effective

6. Mettre en place des politiques de conservation des données

Chaque catégorie de données a besoin d'un calendrier de conservation documenté appliqué par du code, pas seulement des documents de politique.

Cadre de décision de conservation :

Pour chaque tableau / catégorie de données:
1. Quel est l'objectif de ces données?
2. Y a-t-il une conservation minimum légale? (ex.: registres financiers: 7 ans)
3. Y a-t-il une conservation maximum légale? (ex.: principe RGPD de limitation de stockage)
4. Quand l'horloge de conservation démarre-t-elle?
   - Date de collecte, dernière interaction, fin de contrat, ou fin de l'obligation légale
5. Quelle action de suppression est prise?
   - Suppression complète: supprimer la ligne entièrement
   - Anonymisation: remplacer les champs PII par null/hash - conserver pour analyse
   - Archivage: déplacer vers stockage froid, accès limité, puis supprimer à TTL d'archive

Modèle d'application :

// Tâche programmée (quotidienne ou hebdomadaire)
function runRetentionPolicy():
    for each retention_rule in retention_schedule:
        records = db.query(
            "SELECT id FROM " + rule.table +
            " WHERE " + rule.clock_column + " < NOW() - INTERVAL '" + rule.period + "'" +
            " AND NOT has_legal_hold"
        )
        for each record in records:
            if rule.action == "delete":
                db.hardDelete(rule.table, record.id)
                auditLog("retention_delete", rule.table, record.id)
            else if rule.action == "anonymize":
                db.anonymize(rule.table, record.id, rule.pii_columns)
                auditLog("retention_anonymize", rule.table, record.id)

7. Gérer les transferts de données transfrontaliers

Arbre de décision :

Le pays de destination figure-t-il sur la liste d'adéquation de l'UE?
  OUI -> Transfert permis. Aucun mécanisme supplémentaire requis.
         (Tenez à jour la documentation confirmant le statut d'adéquation.)
  NON -> Est-ce un transfert intra-groupe?
    OUI -> Envisagez les Règles de Protection des Données d'Entreprise (RPDE)
           - Processus d'approbation long; viable seulement pour grandes multinationales
    NON -> Utilisez les Clauses Contractuelles Types (CCN 2021)
           - Utilisez Module 1 (responsable à responsable)
           - Utilisez Module 2 (responsable à processeur) - plus courant
           - Effectuez Évaluation d'Impact de Transfert (EIT) pour destinations à haut risque
           - Implémentez mesures supplémentaires si EIT montre risque élevé
             (ex.: chiffrement où le processeur ne peut pas accéder aux clés)

Évaluation d'Impact de Transfert (EIT) - questions clés :

  • Le pays de destination a-t-il des lois permettant l'accès gouvernemental aux données?
  • Quel recours juridique est disponible pour les personnes UE?
  • Quelles mesures techniques supplémentaires réduiraient le risque (ex.: chiffrement bout à bout, pseudonymisation, minimisation des données avant transfert)?

Anti-modèles

Anti-modèle Pourquoi c'est faux Faire plutôt
Dark patterns dans le consentement (cases pré-cochées, bouton rejet caché) Consentement invalide selon RGPD; risque de sanction FTC/CCPA Importance égale pour accepter/rejeter; pas de cases pré-cochées; contrôles granulaires
Collecter des données « au cas où nous en aurions besoin plus tard » Viole la minimisation; chaque champ est un risque; pas de base légale Définissez l'objectif avant la collecte; si pas d'objectif, ne collectez pas
Traiter la politique de confidentialité comme un bouclier juridique, pas un document pour l'utilisateur Les utilisateurs ne lisent pas les murs de charabia légal; les régulateurs le remarquent Écrivez en langage clair; utilisez en-têtes, tableaux et phrases courtes
Oublier les processeurs dans les flux de suppression L'obligation d'effacement s'étend à tous les processeurs; suppression incomplète = non-conforme Tenez à jour l'inventaire des processeurs; déclenchez notifications de suppression via API ou DPA
Pas de calendrier de conservation ou « conserver indéfiniment » par défaut Viole le principe de limitation du stockage; augmente l'impact de violation Chaque catégorie de données a besoin d'une période; automatisez la suppression
Ignorer AIPD pour traitement « évidemment à bas risque » Régulateurs et cours ne l'acceptent pas; AIPD obligatoire pour catégories définies Effectuez AIPD pour tout traitement impliquant profilage, données sensibles ou surveillance systématique

Points d'attention

  1. Les bandeaux de consentement qui se déclenchent après le chargement des scripts d'analyse ne sont pas conformes - Une erreur d'implémentation courante est de charger Google Analytics, Meta Pixel ou Heap dans le <head> avant que le bandeau de consentement s'affiche. Au moment où l'utilisateur voit le bandeau, des cookies non essentiels ont déjà été définis. Chargez les scripts d'analyse de manière conditionnelle : ne les déclenchez qu'après octroi du consentement, pas avant que le bandeau ne soit résolu.

  2. Les demandes de suppression doivent s'étendre à tous les processeurs et entrepôts de données, pas seulement la base de données primaire - Supprimer un utilisateur de votre base de données d'application tout en laissant ses données dans Segment, BigQuery, Amplitude, Intercom et votre plate-forme email n'est pas conforme à l'article 17 du RGPD. Tenez un inventaire des processeurs et créez un flux de suppression qui déclenche la suppression dans chaque système de la chaîne.

  3. Les Intérêts Légitimes comme base fourre-tout pour l'analyse est à haut risque - De nombreuses entreprises utilisent « Intérêts Légitimes » pour toute analyse car cela évite d'exiger le consentement. Mais IL requiert un vrai test d'équilibre (Évaluation des Intérêts Légitimes) où les intérêts de l'utilisateur ne l'emportent pas sur les vôtres. Les régulateurs ont confirmé que l'analyse comportementale pour le marketing ne peut pas compter sur IL et requiert le consentement explicite. Privilégiez le consentement pour l'analyse; utilisez IL seulement pour prévention de la fraude et journalisation de sécurité.

  4. La notification de violation à l'autorité de contrôle doit survenir dans les 72 heures de la découverte - L'horloge des 72 heures du RGPD démarre quand votre organisation a certitude raisonnable qu'une violation s'est produite - pas quand l'enquête médico-légale est complète. Vous pouvez soumettre une notification initiale avec informations incomplètes et la compléter plus tard. De nombreuses organisations ratent ce délai en attendant la confirmation complète.

  5. Les Clauses Contractuelles Types doivent être la version 2021, pas la version 2010 - La Commission UE a invalidé les CCN 2010 en 2021. Tout Contrat de Traitement de Données ou mécanisme de transfert signé avant juin 2021 utilisant les anciennes CCN doit avoir été mis à jour avant décembre 2022. Utiliser les CCN héritées est une lacune de conformité que les régulateurs signalent dans les audits. Utilisez toujours les CCN 2021 avec le module correct (responsable-à-processeur = Module 2).

Références

Pour une comparaison réglementaire détaillée côte à côte, chargez le fichier de référence pertinent :

  • references/gdpr-ccpa-comparison.md - Tableau complet des exigences RGPD vs CCPA avec citations d'articles, seuils et notes d'implémentation

Chargez le fichier de référence seulement si la tâche actuelle requiert détail réglementaire approfondi - il est long et consommera du contexte.

Vérification des compétences complémentaires

À la première activation de cette compétence dans une conversation: vérifiez quelles compétences complémentaires sont installées en exécutant ls ~/.claude/skills/ ~/.agent/skills/ ~/.agents/skills/ .claude/skills/ .agent/skills/ .agents/skills/ 2>/dev/null. Comparez les résultats avec le champ recommended_skills dans le frontmatter de ce fichier. Pour celles qui manquent, mentionnez-les une fois et proposez une installation:

npx skills add AbsolutelySkilled/AbsolutelySkilled --skill <name>

Ignorez entièrement si recommended_skills est vide ou si tous les compléments sont déjà installés.

Skills similaires

data-breach-blast-radius
github / awesome-copilot

Analyser proactivement l'impact réglementaire et financier d'une fuite de données dans un codebase.

34 530
gdpr-compliant
github / awesome-copilot

Appliquer les principes GDPR en ingénierie logicielle selon les articles clés.

34 530
regulatory-compliance
mkurman / zorai

Mettre en place et maintenir une conformité continue SOC 2, HIPAA ou PCI-DSS.

309
clerk-cli
clerk / skills

Interagir avec l'API Clerk via un binaire CLI pré-authentifié en agent IA.

45
pci-compliance
wshobson / agents

Maîtriser la conformité PCI DSS pour sécuriser le traitement des données de paiement.

36 406