Documentation Index
Fetch the complete documentation index at: https://snakysec.mintlify.app/llms.txt
Use this file to discover all available pages before exploring further.
Mapping RGPD (Règlement UE 2016/679)
Cadre
SnakySec est sous-traitant au sens art. 28 RGPD pour les données traitées
au compte de ses clients (audits Microsoft 365, configurations Entra,
résultats CIS/SCuBA, rapports GRC).
SnakySec est responsable de traitement pour les données de ses propres
salariés et utilisateurs internes (V1 = Nicolas + futurs comptes).
Articles couverts par le runbook DR
Article 28 — Sous-traitance
| Exigence | Couverture | Référence |
|---|
| 28.1 — Garanties suffisantes du sous-traitant | ✅ | Tier 2 maturité documentée + assurance cyber Stoik |
| 28.3 — Contrat écrit définissant traitement | ✅ V1 | DPA standard inclus dans CGU SnakySec |
| 28.3 (a) — Traiter sur instruction documentée | ✅ | Pas de traitement secondaire non autorisé |
| 28.3 (b) — Confidentialité des préposés | N/A V1 (solo) | Clause type Phase 1 |
| 28.3 (c) — Mesures art. 32 | ✅ | Cf. iso-27001-mapping.md + ce runbook |
| 28.3 (d) — Recours sous-traitant ultérieur sur autorisation | ⚠️ Partiel | OVH, Scaleway, Microsoft listés dans CGU mais pas par client V1 |
| 28.3 (e) — Aide art. 32-36 (sécurité, breach notif) | ✅ | incident-response/03-cnil-rgpd-notification.md |
| 28.3 (f) — Aide art. 35-36 (DPIA, consultation préalable) | ⚠️ Partiel | Sur demande client V1, formel Phase 2 |
| 28.3 (g) — Suppression/restitution post-fin contrat | ✅ V1 | Procédure d’offboarding docs/runbooks/offboarding-client.md |
| 28.3 (h) — Inspection / audit du sous-traitant | ⚠️ Partiel | Sur demande client V1, audit formel Phase 2 |
Article 32 — Sécurité du traitement
| Exigence | Couverture | Référence |
|---|
| 32.1 (a) — Pseudonymisation et chiffrement | ✅ | TLS + AES-256-GCM secrets DB + restic native |
| 32.1 (b) — Confidentialité, intégrité, disponibilité, résilience | ✅ | 00-policy.md §5 RPO/RTO + 03-backup-strategy.md |
| 32.1 (c) — Rétablissement disponibilité après incident | ✅ | 10 runbooks dans runbooks/ |
| 32.1 (d) — Tests réguliers | ✅ | test-schedule.md Q1-Q4 obligatoires |
| 32.4 — Personnes agissant sous l’autorité | N/A V1 (solo) | Phase 1+ |
Article 33 — Notification CNIL (responsable de traitement)
S’applique à SnakySec uniquement pour ses propres données (salariés,
utilisateurs internes). Pour les données clients, c’est le client qui
notifie la CNIL après notification SnakySec sous 24h.
| Exigence | Couverture | Référence |
|---|
| 33.1 — Notification sous 72h | ✅ | 03-cnil-rgpd-notification.md §5 |
| 33.3 — Contenu de la notification | ✅ | Template fourni dans IR-03 §5.2 |
| 33.5 — Registre des violations | ✅ | docs/dr/registre-violations.md (à créer au premier incident) |
Article 34 — Communication aux personnes concernées
| Exigence | Couverture | Référence |
|---|
| 34.1 — Communication si risque élevé | ✅ | Template 03-cnil-rgpd-notification.md §6 |
| 34.2 — Communication claire et compréhensible | ✅ | Template en français accessible |
| 34.3 — Exemptions (chiffrement, mesures contraires, effort disproportionné) | ✅ | Argumentation possible : data chiffrée AES-256-GCM avant breach |
Article 35 — DPIA
V1 SnakySec : pas de DPIA propre obligatoire (pas de traitement à risque
élevé pour les data internes solo founder). DPIA sur demande des clients
sous-traités (Phase 2 — accompagnement).
Article 37-39 — DPO
V1 : Nicolas assure les fonctions DPO en interne (pas obligatoire en sous-traitant non public).
Phase 1 : DPO externalisé Dastra ou Captain DPO (~150€/mois).
Synthèse
- Article 28 : 8/10 exigences complètes, 2 partielles
- Article 32 : 4/5 exigences complètes (le solo founder ne déclenche pas 32.4)
- Articles 33-34 : 100% couverts par les templates IR
- Article 35-39 : reportés Phase 1+ (proportionnalité)
Position commerciale (DPA SnakySec)
Extrait DPA standard inclus dans les CGU :
“Le Sous-Traitant met en œuvre les mesures techniques et organisationnelles
appropriées au sens de l’art. 32 RGPD, dont notamment :
- Chiffrement des données au repos (AES-256-GCM) et en transit (TLS 1.3)
- Sauvegardes 3-2-1-1-0 sur fournisseurs souverains FR (OVH + Scaleway)
- Plan de continuité d’activité Tier 2 BCMS-grade (RPO 5min Postgres / 24h
Vault et artifacts ; RTO 4h)
- Procédures de notification de violation sous 24 heures au Responsable
de Traitement, conformément à l’art. 33 §2
- Test annuel des procédures de restauration documentés”
| Version | Date | Auteur |
|---|
| 1.0 | 2026-04-26 | Nicolas Schiffgens |
