Aller au contenu principal

Traiter une DSAR (Demande d'accès aux données)

En vertu de l'Art. 15 RGPD, les utilisateurs peuvent demander une copie de toutes les données que vous détenez sur eux — y compris leur historique de consentement. Vous devez répondre dans les 30 jours.

Ce que ConsentForge détient sur un utilisateur

ConsentForge stocke :

  • Décisions de consentement (par catégorie, par horodatage)
  • Chaîne HMAC des reçus
  • IP et agent utilisateur hachés (non réversibles en DCP)

Étant donné que les identifiants sont hachés à sens unique, ConsentForge ne peut pas rechercher un utilisateur par email. Vous devez reconstruire le hash à partir de l'IP et du navigateur de l'utilisateur.

Étape 1 : Obtenir le hash de l'utilisateur

Vous aurez besoin de :

  • L'adresse IP de l'utilisateur au moment de la décision de consentement (depuis vos journaux serveur)
  • La chaîne d'agent utilisateur (depuis vos journaux serveur ou leur navigateur)

Reconstruisez le hash :

const crypto = require('crypto');
const hash = crypto
  .createHash('sha256')
  .update(`${ip}|${userAgent}|${propertyId}|${date}`)
  .digest('hex');

Étape 2 : Rechercher les reçus

Tableau de bord → Preuves → Rechercher → saisissez le hash → affichez tous les reçus pour cet identifiant.

Ou via API :

GET /api/v1/receipts?property_id=prop_abc&user_id={hash}
Authorization: Bearer YOUR_API_TOKEN

Étape 3 : Exporter la chaîne de reçus

Depuis les résultats de recherche, cliquez sur Exporter PDF pour télécharger une chaîne de reçus lisible à fournir à la personne concernée.

Étape 4 : Demandes d'effacement (Art. 17)

Étant donné que ConsentForge stocke uniquement des hashes (pas de DCP), il n'y a rien à effacer — le hash ne peut pas être relié à l'individu par qui que ce soit, y compris ConsentForge. Vous pouvez le noter dans votre réponse DSAR.

Si l'utilisateur insiste, vous pouvez supprimer des reçus spécifiques via :

DELETE /api/v1/receipts/{receipt_id}
Authorization: Bearer YOUR_API_TOKEN

Remarque : la suppression des reçus peut affecter votre capacité à démontrer la conformité pour cette période.

Voir aussi : Reçus de consentement · Traitement des données