Aller au contenu principal

Gérer une DSAR (Demande d'accès aux données personnelles)

En vertu de l'Art. 15 du GDPR, les utilisateurs peuvent demander une copie de toutes les données que vous détenez sur eux — y compris leur historique de consentement. Vous devez répondre dans les 30 jours.

Ce que ConsentForge détient sur un utilisateur

ConsentForge stocke :

  • Les décisions de consentement (par catégorie, par horodatage)
  • La chaîne HMAC des reçus
  • L'IP et l'agent utilisateur hachés (non réversibles en DCP)

Étant donné que les identifiants sont hachés de manière irréversible, ConsentForge ne peut pas rechercher un utilisateur par email. Vous devez reconstruire le hachage à partir de l'IP et du navigateur de l'utilisateur.

Étape 1 : Obtenez le hachage de l'utilisateur

Vous aurez besoin des informations suivantes de l'utilisateur :

  • Adresse IP au moment de la décision de consentement (depuis vos journaux serveur)
  • Chaîne de l'agent utilisateur (depuis vos journaux serveur ou leur navigateur)

Reconstruisez le hachage :

const crypto = require('crypto');
const hash = crypto
  .createHash('sha256')
  .update(`${ip}|${userAgent}|${propertyId}|${date}`)
  .digest('hex');

Étape 2 : Recherchez les reçus

Tableau de bord → Preuves → Rechercher → saisissez le hachage → consultez tous les reçus pour cet identifiant.

Ou via l'API :

GET /api/v1/receipts?property_id=prop_abc&user_id={hash}
Authorization: Bearer YOUR_API_TOKEN

Étape 3 : Exportez la chaîne de reçus

Depuis les résultats de la recherche, cliquez sur Exporter en PDF pour télécharger une chaîne de reçus lisible par l'humain à fournir à la personne concernée.

Étape 4 : Demandes d'effacement (Art. 17)

Étant donné que ConsentForge ne stocke que des hachages (pas des DCP), il n'y a rien à effacer — le hachage ne peut pas être relié à l'individu par quiconque, y compris ConsentForge. Vous pouvez noter cela dans votre réponse à la DSAR.

Si l'utilisateur insiste, vous pouvez supprimer des reçus spécifiques via :

DELETE /api/v1/receipts/{receipt_id}
Authorization: Bearer YOUR_API_TOKEN

Remarque : la suppression de reçus peut affecter votre capacité à démontrer la conformité pour cette période.

Voir aussi : Reçus de consentement · Traitement des données