RGPD — comment Auralith vous aide
Ce document mappe les articles du RGPD aux fonctionnalites Auralith. Auralith est un outil, pas une certification. Vous restez responsable de votre conformite ; Auralith vous donne les moyens techniques.
Tableau des techniques RGPD vs outils Auralith
| Article RGPD | Exigence | Outil Auralith | Page |
|---|---|---|---|
| Art 5 | Minimisation, integrite, confidentialite | Column masking + audit log | Column masking |
| Art 17 | Droit a l'oubli | Anonymize redact + DELETE traces | Art 17 |
| Art 20 | Portabilite | Export RGPD JSON par user, export workflow | Art 20 |
| Art 30 | Registre des traitements | Audit log + project metadata | Audit trail |
| Art 32 | Pseudonymisation, securite | Anonymize hash / encrypt + chiffrement at rest | Art 32 |
| Art 33 | Notification breach 72h | Audit export + alerting drift | Audit export |
| Art 35 | DPIA pour traitements a risque | Audit log granular pour DPIA | Audit trail |
Workflow RGPD type
Use cases concrets
Refresh staging depuis prod (anonymization at copy time)
- Bridge prod -> staging avec
AnonymizationConfig. - Strategies :
hashsur les emails / IDs,redactsur les SSN,fakesur les noms,generalizesur les dates de naissance (-> annee). - Export trace dans
CopyAudit: qui, quand, vers ou.
Resultat : staging contient des donnees realistes mais Art 32 compliant (pseudonymisation).
Demande de droit a l'oubli (Art 17)
- User demande la suppression de son compte via
Mon profil->Supprimer mon compte. - Auralith dispatche un workflow : export RGPD propose en download, puis
anonymize les references du user dans les patches, audits, annotations
(remplace par
[deleted user]), puis DELETE leUser. - Audit log est preserve (mais le user_id est nullifie ou hash-only). Trace "deleted_user" pour conformite.
Reponse a une demande d'export (Art 20)
User -> Mon profil -> Exporter mes donnees. Auralith genere un JSON
contenant : profile, projects auxquels le user appartient (lecture seule),
audit trail filtre user-only. Download direct.
Notification breach (Art 33)
Pas un workflow Auralith specifique, mais l'audit trail granulaire vous permet de reconstituer en quelques heures l'etendue d'un breach (qui a accede quoi). C'est ce que demande l'Art 33 : "decrire les categories et le nombre approximatif de personnes concernees".
Limites a connaitre
- Auralith ne classe pas les donnees pour vous. Le
domain_classifier_servicesuggere les colonnes PII probables, mais c'est a vous de valider. Pas de certificat magique. - Anonymisation reversible vs irreversible :
hashavec salt connu est reversible (rainbow table).encryptest reversible avec la cle. Pour vraie anonymisation au sens RGPD, combinezredact+generalize+shuffle. - Sous-traitants : si vous utilisez l'instance hostee Auralith, signez le DPA (Data Processing Agreement). Si self-host, vous etes responsable de traitement direct.