Clients

L'entreprise voit une liste de ses propres clients, indexée par son identifiant client interne (par exemple 90), jamais par un DID citoyen. La vue unifie sur une même ligne les trois formes de consentement d'une même personne concernée : le consentement complet signé par le citoyen, le consentement partiel, et le consentement hors ligne saisi manuellement. Une seule personne, un seul identifiant, une seule ligne.

La liste des clients

La liste est cherchable et filtrable. Vous y retrouvez chaque client par votre identifiant interne, avec un aperçu de son état de consentement agrégé. C'est le point d'entrée pour ouvrir un dossier, préparer une réponse à une demande de droits, ou vérifier ce à quoi une personne a consenti avant un usage de données.

Le dossier d'un client

Ouvrir un client affiche son dossier, la vue complète de son consentement à la granularité de la cellule. Le dossier présente chaque cellule (catégorie, fin) avec :

  • le statut de la cellule, acceptée ou refusée;
  • le document de consentement et sa version exacts qui font autorité pour cette cellule;
  • le palier d'assurance de la preuve;
  • le statut hors ligne de la cellule, et un bouton générer un lien de réclamation qui n'apparaît que lorsque le client détient un consentement manuel, pour inviter la personne à revendiquer et à signer sa preuve;
  • le journal des accès propre à ce client.

Le document et sa version font autorité

Chaque cellule porte le document de consentement et le numéro de version qui étaient en vigueur au moment de la décision. Une révision ultérieure du document ne réécrit jamais une décision déjà prise : le dossier montre exactement ce que la personne a vu et accepté.

Export de portabilité, article 27

Les données d'un client peuvent être exportées en JSON ou en CSV, et uniquement dans ces deux formats. L'export répond au droit à la portabilité de l'article 27 : il est structuré, technologiquement neutre, et remis dans un format d'usage courant.

L'export est indexé par votre identifiant client, jamais par un DID citoyen. Il contient le consentement de cette personne tel que votre entreprise le détient, et rien de la représentation cryptographique interne qui permettrait de corréler la personne entre entreprises.

JSON ou CSV, et rien d'autre

L'export se limite volontairement à JSON et CSV. Ce sont des formats structurés, portables et lisibles par machine, ce qui satisfait l'exigence de portabilité sans exposer d'artéfact interne ni de lien de corrélation.

Non-corrélation côté entreprise

L'entreprise ne voit que ses propres identifiants client, cantonnés à son locataire. Il n'existe aucune jointure entre entreprises, et aucun DID citoyen n'est jamais exposé du côté entreprise. Deux entreprises qui servent la même personne ne peuvent pas la reconnaître comme la même personne à partir de ce que chacune voit. La non-corrélation est structurelle, pas une politique.

Le journal des accès

En plus du journal propre à chaque client, l'application tient un journal des accès à l'échelle de l'entreprise. Il se parcourt par pagination à clé (keyset) pour rester rapide même sur de longs historiques.

Le journal est inviolable : ses entrées forment une chaîne de hachage où chaque entrée engage la précédente, de sorte qu'aucune ligne ne peut être insérée, retirée ni modifiée après coup sans rompre la chaîne. L'état de vérification de la chaîne est affiché : vérifié, en attente ou échoué. Un état vérifié signifie que la chaîne est intacte de bout en bout.

Ensuite

  • Conformité : le carrefour Loi 25, dont les demandes de droits et les obligations de destruction.
  • Confidentialité et effacement : la non-corrélation entreprise/citoyen et l'effacement par destruction de clé.