Analyse d'Impact relative à la Protection des Données
AIPD / DPIA — Conformément à l'article 35 du RGPD (UE) 2016/679
Dernière mise à jour : avril 2026 — Version 1.0
Synthèse de l'analyse
Cette AIPD a été réalisée conformément à la méthodologie de la CNIL (guides PIA). Elle couvre le traitement principal d'AssmatZen : la gestion des contrats d'assistantes maternelles impliquant des données de mineurs, des données de santé (allergies) et des données financières (salaires, cotisations). Le niveau de risque résiduel global après application des mesures est Résiduel : Modéré.
1. Description du traitement
Nom du traitement
Gestion des contrats d'assistantes maternelles via l'application AssmatZen
Responsable du traitement
[NOM_SOCIÉTÉ] — [SIRET] — [ADRESSE]
Référent DPO
[NOM_DPO] — [email protected]
Date de réalisation
Avril 2026 — Prochaine révision : octobre 2026
Finalités du traitement :
- Gestion des contrats d'accueil (horaires, salaires, absences, congés payés)
- Calcul automatisé des salaires, indemnités (entretien, repas, km) et mensualisation
- Aide à la déclaration Pajemploi / URSSAF
- Suivi administratif des enfants accueillis (présences, carnet de liaison)
- Assistance par intelligence artificielle (Zenia — OpenAI)
- Génération de documents PDF (contrats, bulletins, avenants)
- Communication assmat/parents via le Portail Parents
- Gestion des abonnements et paiements (Stripe)
Personnes concernées :
Assistantes maternelles
Utilisatrices principales — données d'identité, professionnelles, financières
Enfants accueillis (mineurs)
Données d'identité, présences, santé (allergies), activités
Parents employeurs
Données d'identité, contact, Pajemploi
Volumétrie estimée :
~5 000
Assmats inscrites
~15 000
Enfants enregistrés
~10 000
Parents concernés
~50 000
Contrats / bulletins
2. Bases légales et nécessité
2.1 — Bases légales du traitement (Art. 6 RGPD)
| Traitement | Base légale | Justification |
|---|---|---|
| Gestion du compte et contrats | Exécution du contrat (Art. 6-1-b) | Nécessaire à la fourniture du service SaaS |
| Calculs de paie | Exécution du contrat (Art. 6-1-b) | Fonctionnalité principale du service |
| Communication parents (Portail) | Consentement (Art. 6-1-a) | Activation volontaire par l'assmat |
| Assistant IA (Zenia) | Consentement (Art. 6-1-a) | Utilisation optionnelle, crédits limités |
| Données de santé (allergies enfants) | Consentement explicite (Art. 9-2-a) | Données sensibles, saisie volontaire |
| Paiements Stripe | Exécution du contrat (Art. 6-1-b) | Nécessaire au paiement de l'abonnement |
| Facturation et comptabilité | Obligation légale (Art. 6-1-c) | Code de commerce (10 ans) |
| Notifications par email | Intérêt légitime (Art. 6-1-f) | Informer l'utilisateur de l'activité de son compte |
2.2 — Évaluation de la nécessité et de la proportionnalité
Minimisation : Seules les données strictement nécessaires au fonctionnement sont collectées. Pas de collecte de données biométriques, pas de géolocalisation, pas de tracking comportemental.
Proportionnalité : Les données d'enfants (prénom, date de naissance) sont le minimum requis pour le calcul contractuel. Le nom de famille n'est pas obligatoire.
Durées limitées : Conservation alignée sur les obligations légales (5 ans paie, 10 ans compta). Suppression automatique des logs IA après 30 jours.
Droits des personnes : Accès, rectification, suppression, portabilité, opposition — tous exercables via [email protected]. Délai de réponse : 1 mois maximum.
3. Cartographie des données et flux
3.1 — Catégories de données traitées
| Catégorie | Données | Sensibilité | Conservation |
|---|---|---|---|
| Identité assmat | Nom, prénom, email, téléphone, adresse, n° agrément, n° SS | Modéré | Durée abo + 12 mois |
| Identité enfants | Prénom, date de naissance | Élevé | Durée contrat + 5 ans |
| Santé enfants | Allergies, PAI, protocoles d'accueil | Critique | Durée contrat + 5 ans |
| Vie quotidienne enfants | Présences, repas, siestes, activités, notes carnet | Élevé | Durée contrat + 5 ans |
| Données financières | Salaires, cotisations, IBAN, bulletins de paie | Élevé | 5 ans (paie) / 10 ans (compta) |
| Identité parents | Nom, prénom, email, téléphone, n° Pajemploi | Modéré | Durée contrat + 5 ans |
| Paiement | Données CB (via Stripe, jamais stockées) | Élevé | Géré par Stripe (PCI-DSS) |
| Données techniques | IP, user-agent, logs de connexion, sessions | Faible | 12 mois (LCEN) |
| Interactions IA | Prompts envoyés, réponses reçues (contextualisées) | Modéré | 30 jours |
3.2 — Flux de données et sous-traitants
Supabase (BDD + Auth)
AWS EU-West-1 (Irlande) — Toutes les données métier — Chiffrement AES-256 + RLS
OpenAI (IA Zenia)
Données contextuelles anonymisées — Pas de noms, pas d'identifiants directs — DPA signé
Stripe (Paiements)
Données de paiement uniquement — PCI-DSS Level 1 — Jamais stockées par AssmatZen
Vercel (Hébergement app)
Code applicatif + CDN — Pas de données persistantes (BDD sur Supabase UE)
4. Critères déclencheurs de l'AIPD
Selon les lignes directrices du CEPD (WP248) et la liste de la CNIL, l'AIPD est obligatoire lorsque 2 critères ou plus sont remplis. AssmatZen en remplit 4 :
Critère 1 — Données de personnes vulnérables : Enfants mineurs (personnes vulnérables au sens du CEPD)
Critère 2 — Données sensibles : Données de santé (allergies, PAI) relevant de l'article 9 RGPD
Critère 3 — Traitement à grande échelle : Des milliers d'utilisateurs avec données financières et contractuelles
Critère 4 — Usage innovant / IA : Intégration d'un modèle de langage (OpenAI) avec transfert hors UE
5. Identification et évaluation des risques
R1 — Accès non autorisé aux données d'enfants
Scénario de menace
Un tiers non autorisé accède aux données de mineurs (prénom, présences, données de santé) via une faille de sécurité, une usurpation de compte ou une erreur d'isolation.
Impact
Atteinte grave à la vie privée d'enfants mineurs. Risque psychologique pour les familles. Exposition de données de santé. Non-conformité RGPD (amende CNIL).
Mesures d'atténuation
- Row Level Security (RLS) Supabase : chaque assmat ne voit que ses propres enfants
- Authentification JWT avec expiration courte + refresh token
- Chiffrement TLS 1.3 (transit) + AES-256 (repos)
- Portail Parents : accès par token sécurisé, limité à ses propres enfants
- Aucune donnée d'enfant accessible sans authentification
R2 — Fuite de données financières (salaires, IBAN)
Scénario de menace
Extraction massive de salaires, IBAN ou bulletins de paie via injection SQL, API non sécurisée ou compromission de la base de données.
Impact
Usurpation d'identité financière, fraude bancaire. Atteinte grave à la vie privée professionnelle. Perte de confiance.
Mesures d'atténuation
- RLS strict + politiques par user_id
- API routes avec vérification JWT obligatoire
- Données CB jamais stockées (Stripe PCI-DSS L1)
- Requêtes paramétrées (pas d'injection SQL possible via Supabase client)
- Sauvegardes chiffrées quotidiennes
R3 — Erreur de calcul de salaire entraînant un préjudice financier
Scénario de menace
Un bug algorithmique ou une mise à jour incomplète des barèmes URSSAF génère un calcul erroné (salaire, cotisations, CP). L'assmat déclare un montant incorrect sur Pajemploi.
Impact
Préjudice financier direct. Redressement URSSAF potentiel. Litige employeur/assmat. Perte de confiance dans le service.
Mesures d'atténuation
- Clause « calculs indicatifs » claire dans CGU (Art. 5) et CGV (Art. 10)
- Bouton « Vérifier le détail du calcul » pour chaque bulletin
- Messages d'avertissement avant envoi Pajemploi
- Tests automatisés sur les algorithmes de calcul
- Veille réglementaire sur les barèmes URSSAF/SMIC
- Responsabilité plafonnée à 12 mois d'abonnement
R4 — Transfert de données personnelles vers OpenAI (US)
Scénario de menace
Des données personnelles identifiantes (noms d'enfants, salaires, informations médicales) sont envoyées à l'API OpenAI, hébergée aux États-Unis, exposant les données aux lois américaines (Cloud Act, FISA 702).
Impact
Violation du RGPD (transfert hors UE non encadré). Accès potentiel par les autorités américaines. Non-conformité vis-à-vis de la CNIL.
Mesures d'atténuation
- Anonymisation des prompts : pas de noms propres, pas de n° SS, pas d'IBAN envoyés à OpenAI
- Clauses contractuelles types (SCC) UE-US signées avec OpenAI
- OpenAI DPA : les données API ne sont pas utilisées pour l'entraînement
- Option d'opt-out de l'IA disponible (utilisation facultative)
- Logs IA supprimés après 30 jours
- Veille sur l'adéquation UE-US (Data Privacy Framework)
R5 — Indisponibilité du service (perte de données)
Scénario
Panne Supabase, corruption de données, erreur de déploiement entraînant l'inaccessibilité du service ou la perte de données utilisateur.
Impact
Impossibilité de gérer les déclarations, perte de données contractuelles. Préjudice professionnel pour les assmats.
Mesures d'atténuation
- Sauvegardes automatiques quotidiennes Supabase (rétention 30 jours)
- Point-in-time recovery disponible
- Infrastructure Vercel avec haute disponibilité et CDN mondial
- Avoir / remboursement prorata en cas d'indisponibilité >72h (CGV Art. 9)
R6 — Usurpation de compte assmat
Scénario
Un attaquant accède au compte d'une assmat via phishing, mot de passe faible ou brute force. Accès à toutes les données professionnelles et aux données des enfants.
Impact
Accès aux données financières, personnelles et des mineurs. Modification ou suppression de contrats. Envoi de fausses informations aux parents.
Mesures d'atténuation
- Hachage bcrypt des mots de passe (Supabase Auth)
- Tokens JWT avec durée de vie limitée
- Politique de mots de passe (minimum 8 caractères)
- Supabase rate limiting sur les tentatives de connexion
- Notification par email en cas de connexion depuis un nouvel appareil
6. Matrice de risques résumée
| Risque | Gravité | Vraisemblance | Risque brut | Risque résiduel |
|---|---|---|---|---|
| R1 — Accès données enfants | 4/4 | 2/4 | Critique | Résiduel : Faible |
| R2 — Fuite données financières | 4/4 | 2/4 | Élevé | Résiduel : Faible |
| R3 — Erreur calcul salaire | 3/4 | 3/4 | Élevé | Résiduel : Modéré |
| R4 — Transfert OpenAI US | 3/4 | 2/4 | Élevé | Résiduel : Modéré |
| R5 — Indisponibilité service | 2/4 | 2/4 | Modéré | Résiduel : Faible |
| R6 — Usurpation de compte | 4/4 | 2/4 | Élevé | Résiduel : Faible |
7. Mesures de sécurité techniques et organisationnelles
Chiffrement
- ✓ TLS 1.3 pour toutes les communications
- ✓ AES-256 pour les données au repos
- ✓ Hachage bcrypt pour les mots de passe
- ✓ Tokens JWT signés (RS256)
Contrôle d'accès
- ✓ Row Level Security (RLS) par user_id
- ✓ Isolation stricte des données par compte
- ✓ Service Client Supabase pour opérations admin
- ✓ Pas d'accès admin à la base en production
Infrastructure
- ✓ Supabase : SOC 2 Type II, ISO 27001
- ✓ Sauvegardes quotidiennes automatiques
- ✓ Point-in-time recovery
- ✓ CDN Vercel avec protection DDoS
Organisationnel
- ✓ Politique de confidentialité publique
- ✓ Registre des traitements tenu à jour
- ✓ Procédure de notification de violation (72h)
- ✓ Révision semestrielle de l'AIPD
8. Plan d'action et améliorations prévues
| Action | Risque ciblé | Priorité | Échéance | Statut |
|---|---|---|---|---|
| Mise en place de l'authentification à deux facteurs (2FA) | R6 | Élevé | T3 2026 | Planifié |
| Anonymisation complète des prompts IA (suppression de toute donnée contextuelle identifiable) | R4 | Élevé | T2 2026 | En cours |
| Tests automatisés des algorithmes de calcul (suite de tests régression) | R3 | Élevé | T2 2026 | Fait ✓ |
| Nomination officielle d'un DPO ou référent RGPD | Tous | Modéré | T2 2026 | Planifié |
| Audit de sécurité externe (pentest) | R1, R2, R6 | Modéré | T4 2026 | Planifié |
| Hébergement IA en Europe (évaluation des alternatives : Mistral, Azure France) | R4 | Modéré | T1 2027 | Veille |
| Chiffrement supplémentaire des champs IBAN et n° SS en BDD | R2 | Modéré | T3 2026 | Planifié |
9. Conclusion et validation
Avis : Traitement autorisé sous conditions
Les risques identifiés sont correctement couverts par les mesures techniques et organisationnelles en place. Le risque résiduel global est modéré et jugé acceptable au regard des finalités du traitement et de l'utilité du service pour les assistantes maternelles.
Conditions de maintien :
- Mise en œuvre du plan d'action dans les délais prévus (section 8)
- Révision de l'AIPD tous les 6 mois ou en cas de modification substantielle du traitement
- Notification immédiate de toute violation de données (procédure 72h)
- Suivi des évolutions réglementaires (RGPD, AI Act, transferts UE-US)
Validation :
Responsable du traitement
[NOM_DIRIGEANT]
Fonction : [FONCTION]
Date : ____/____/2026
Signature : ________________________
Référent DPO
[NOM_DPO]
Email : [email protected]
Date : ____/____/2026
Signature : ________________________
© 2026 AssmatZen — Document interne de conformité RGPD