silverscout

Version en vigueur le 26 avril 2026

DPIA v1.0 — Analyse d'Impact RGPD

Cette page est l'analyse d'impact relative à la protection des données (DPIA / PIA) au sens de l'Article 35 du RGPD UE 2016/679, rédigée selon la méthodologie publique de la CNIL (logiciel PIA v3.0). Elle est obligatoire en raison de la nature des données traitées (données de santé Art. 9) et du caractère vulnérable des personnes concernées.

Référence : SS-DPIA-v1.0
Méthodologie : CNIL PIA v3.0 (logiciel public)
Signataire : Matthieu Angibaud, fondateur, responsable de traitement
Date de signature : 26 avril 2026
Prochaine révision : 26 avril 2027 (annuelle) — ou avant en cas d'évolution matérielle (nouvelle finalité, nouveau sous-traitant, nouvelle régulation).

La version intégrale (commentée, plus détaillée que cette synthèse) est tenue à disposition de la CNIL en cas de contrôle (Art. 35.7 RGPD), et téléchargeable sur demande à dpo@silverscout.fr — réponse sous 30 jours.

1. Contexte du traitement

1.1 Description générale

Silverscout est une plateforme française d'orientation des familles aidantes vers des établissements d'hébergement pour personnes âgées (EHPAD, résidences autonomie, résidences services seniors). Le service est gratuit pour les familles ; il est rémunéré par les établissements partenaires qui paient un forfait lead (90-180 € HT par dossier qualifié transmis avec consentement explicite).

Hébergement : Scaleway (HDS — Hébergeur de Données de Santé certifié, datacenters Paris). Aucune donnée chez AWS, Google Cloud ou Azure.

1.2 Finalités du traitement

  1. Mise en relation entre familles aidantes et établissements partenaires compatibles (finalité principale).
  2. Aide à la décision via simulateurs (reste à charge, APA, ASH, réduction d'impôt 25 %) sans capture de données personnelles préalable.
  3. Communication éditoriale via newsletter (opt-in double opt-in) sur les évolutions sectorielles.
  4. Amélioration du service via mesure d'audience anonyme (Plausible EU sans cookie) et tracking d'erreurs techniques (Sentry sans données personnelles identifiantes).

1.3 Personnes concernées

  • Familles aidantes (proches, enfants, conjoints, etc.) — adultes responsables de la recherche d'hébergement pour un parent âgé.
  • Bénéficiaires (parents âgés concernés) — données déclaratives renseignées par l'aidant : âge approximatif, niveau d'autonomie en langage courant, pathologies déclaratives optionnelles.
  • Représentants légaux d'EHPAD partenaires (côté B2B, hors scope de cette DPIA centrée famille).

2. Données traitées

2.1 Données d'identification (Art. 4.1 RGPD)

  • Prénom, nom, adresse email, numéro de téléphone (chiffré AES-256-GCM en base).
  • Adresse IP (pseudonymisée — hash SHA-256 + sel applicatif rotatable).
  • User-agent tronqué (200 premiers caractères).

2.2 Données de santé (Art. 9 RGPD)

  • Niveau d'autonomie déclaratif (4 catégories en langage courant — « autonome / aide ponctuelle / aide quotidienne / dépendance totale »). Pas de GIR exact (volonté de minimisation — cf. ADR 0006).
  • Pathologies déclaratives optionnelles : Alzheimer, Parkinson, mobilité réduite (case à cocher, jamais de champ libre médical).
  • Documents d'hospitalisation OCR (mode urgence optionnel) : analyse IA Anthropic Claude Haiku, document original détruit en mémoire, conservation uniquement d'un hash SHA-256 d'audit + 3 champs structurés extraits (date sortie, motif synthétique, hôpital).

2.3 Données financières

  • Budget mensuel envisagé (déclaratif, fourchettes).
  • Revenus mensuels (optionnel, pour estimation APA / ASH).
  • Existence patrimoine immobilier (booléen optionnel pour estimation ASH).

2.4 Données techniques

  • Hash IP, user-agent tronqué, horodatage HTTP (anti-spam, rate limiting).
  • Métriques d'audience anonymes (Plausible EU sans cookie ni identifiant persistant).
  • Hash SHA-256 d'événements de sécurité (AccessLog interne).

2.5 Données de consentement (Art. 7 RGPD — preuve)

  • Horodatage, type de consentement, version du document accepté, IP pseudonymisée, user-agent tronqué.
  • Chaînage cryptographique SHA-256 (immuabilité opérationnelle, traçabilité interne).
  • Conservé 5 ans en archivage intermédiaire (obligation légale de preuve Art. 7 §1 RGPD).

3. Bases légales (Art. 6 + Art. 9 RGPD)

3.1 Données d'identification + financières

  • Art. 6.1.b RGPD — exécution de mesures pré-contractuelles à la demande de la personne concernée (mise en relation avec EHPAD).
  • Art. 6.1.a RGPD — consentement (newsletter, opt-in double opt-in via Resend).

3.2 Données de santé Art. 9

  • Art. 9.2.a RGPD — consentement explicite, recueilli au tunnel via case obligatoire avec wording clair couvrant la finalité.
  • Retirable à tout moment via dpo@silverscout.fr (Art. 7 §3).

3.3 Données techniques

Art. 6.1.f RGPD — intérêt légitime documenté. Test 3 critères passé : finalité légitime (anti-spam, sécurité), nécessité technique, balance des intérêts en faveur du traitement (impact résiduel mineur, pseudonymisation appliquée).

3.4 Transmission aux EHPAD partenaires

Art. 9.2.a + Art. 6.1.b combinés — consentement explicite + exécution pré-contractuelle. Recueilli en fin de tunnel via case obligatoire dédiée :

« J'autorise Silverscout à transmettre ma demande à 3 à 5 EHPAD partenaires compatibles avec mon profil dans la zone recherchée. »

Liste nominative des destinataires communiquée immédiatement par email post-transmission. Retrait possible à tout moment (Art. 7 §3) — Silverscout notifie les partenaires sous 48 h d'ignorer la demande.

4. Sous-traitants (Art. 28 RGPD)

Tous les sous-traitants Art. 28 sont liés par DPA signé. Aucun sous-traitant ne traite de données de santé Art. 9 hors Scaleway HDS.

  • Scaleway SAS (France, Paris DC5) — hébergement DB + infrastructure HDS.
  • Vercel Inc. (USA) — diffusion statique site (CDN). Clauses Contractuelles Types UE 04/06/2021 + Data Privacy Framework UE-US.
  • Clerk (USA) — authentification. CCT UE + DPF UE-US.
  • Resend (USA) — emails transactionnels. CCT UE + DPF UE-US.
  • Anthropic PBC (USA) — OCR mode urgence (Claude Haiku). CCT UE + DPF UE-US — appels API stateless, aucun stockage côté Anthropic.
  • Plausible EU (Francfort) — mesure d'audience anonyme. Pas de transfert hors UE.
  • Sentry (USA) — monitoring erreurs techniques sans données personnelles identifiantes. CCT UE + DPF UE-US.

5. Mesures de protection des droits des personnes

5.1 Information préalable (Art. 12-14)

  • Politique de confidentialité publique : /confidentialite.
  • Information dans le formulaire au moment du recueil.
  • Mention des sous-traitants nominale + base juridique des transferts.
  • DPIA résumée publiquement (cette page), intégrale sur demande.

5.2 Consentement (Art. 7)

  • Cases à cocher non pré-cochées (illégalité explicite).
  • Wording clair, spécifique, séparé par finalité (privacy + santé + transmission partenaires + newsletter).
  • Granularité préservée (refus partenaires possible — interdit la transmission tout en conservant la mise en relation).
  • Retrait en un clic via dpo@silverscout.fr, traité sous 48 h ouvrées.

5.3 Droits Art. 15 à 22

  • Accès (Art. 15) — copie complète des données en JSON / CSV sous 30 jours.
  • Rectification (Art. 16) — correction sous 30 jours.
  • Effacement (Art. 17) — suppression / pseudonymisation sous 30 jours (ConsentLog conservé 5 ans pseudonymisé pour obligation de preuve).
  • Limitation (Art. 18) — gel temporaire sur demande.
  • Portabilité (Art. 20) — export JSON / CSV.
  • Opposition (Art. 21) — refus traitement intérêt légitime sur demande motivée.
  • Pas de décision automatisée (Art. 22) — matching rules-based, validation humaine pour cascade FAST_TRACK.
  • Directives post-mortem (Art. 85 loi 78-17) — possibles via dpo@silverscout.fr.

6. Analyse des risques (méthode CNIL)

Pour chaque événement redouté (ER), évaluation des sources de risque (qui), menaces (comment), impacts (quoi), gravité (1 négligeable → 4 maximale), et vraisemblance (1 → 4).

6.1 ER1 — Accès illégitime aux données

  • Sources : ancien employé (futur), prestataire technique, attaquant externe, compromission compte admin.
  • Menaces : vol identifiant Clerk admin, exploitation faille app, compromission Scaleway (improbable mais théorique), ingénierie sociale.
  • Impacts : divulgation données santé → atteinte vie privée, discrimination potentielle, profilage marketing non consenti.
  • Gravité 3/4 (importante) — données santé Art. 9 = sensibilité maximale. Mais minimisation appliquée (4 niveaux autonomie courants vs GIR exact).
  • Vraisemblance 2/4 (limitée) — chiffrement AES-256-GCM données santé, hébergement HDS, MFA admin Clerk, rate limiting, hash IP, monitoring Sentry sans PII.
  • Risque résiduel : modéré, acceptable. Surveillance continue requise.

6.2 ER2 — Modification non désirée de données

  • Sources : erreur humaine admin, bug applicatif, attaquant interne / externe.
  • Menaces : UPDATE Prisma erroné, race condition, injection (couvert par Zod validation + Prisma type-safety).
  • Impacts : transmission à un mauvais EHPAD, échec matching, profil dégradé.
  • Gravité 2/4 (limitée) — réversible via ConsentLog audit + sauvegardes 30 jours.
  • Vraisemblance 2/4 (limitée) — TypeScript strict, Zod validation Server Actions, ORM Prisma type-safe, code review obligatoire pour migrations.
  • Risque résiduel : faible.

6.3 ER3 — Disparition de données

  • Sources : erreur de suppression, sinistre datacenter Scaleway, attaque ransomware, défaut sauvegarde.
  • Gravité 2/4 (limitée) — réversible si sauvegardes opérationnelles.
  • Vraisemblance 1/4 (négligeable) — sauvegardes Scaleway 30 jours chiffrées, redondance HDS, ConsentLog chaîné = détection corruption.
  • Risque résiduel : très faible.

6.4 ER4 — Détournement de finalité

  • Sources : Silverscout (changement modèle économique), partenaire EHPAD (réutilisation hors périmètre).
  • Gravité 3/4 (importante) — secteur santé senior particulièrement scruté (CNIL délibérations 2024-2026).
  • Vraisemblance 1/4 (négligeable) — engagement public charte éthique 7 engagements + CGV partenaire interdisant réutilisation hors périmètre + contrôle ConsentLog.
  • Risque résiduel : faible (mais à monitorer).

7. Mesures techniques et organisationnelles (Art. 32)

7.1 Sécurité technique

  • Chiffrement en transit : TLS 1.3, HSTS max-age=63072000 (2 ans).
  • Chiffrement au repos : Scaleway natif + chiffrement applicatif AES-256-GCM sur table FamilySensitiveData (données santé Art. 9), avec rotation de clé.
  • Pseudonymisation systématique : IP en hash SHA-256 + sel, jamais en clair.
  • Headers sécurité HTTP : HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy (camera/microphone disabled).
  • Authentification admin : Clerk MFA obligatoire pour comptes admin + partenaires.
  • Validation entrée : Zod sur 100 % des Server Actions, rate limiting IP (3 soumissions / 30 min).
  • Anti-fraude (S5 plan 90j) : honeypot field + Cloudflare Turnstile + détection incohérences.

7.2 Sécurité organisationnelle

  • Responsable de traitement : Matthieu Angibaud, fondateur (signataire personnel jusqu'à immatriculation SASU).
  • DPO : mutualisé via dpo@silverscout.fr — réponse sous 30 jours garantie. À externaliser vers cabinet dédié à atteinte 30 traitements importants ou seuil 50 000 personnes concernées.
  • Registre des traitements (Art. 30) : tenu en interne, à formaliser publiquement Q3 2026.
  • Procédure incident (Art. 33-34) : notification CNIL sous 72 h + notification individuelle sous 96 h si risque élevé. Page publique /securite/incident-{date} activable en cas de besoin (cf. politique de confidentialité § 10).

8. Avis du DPO

Matthieu Angibaud, en sa qualité de responsable de traitement et DPO mutualisé Silverscout, considère que :

  1. Le traitement est proportionné aux finalités déclarées (mise en relation famille ↔ EHPAD).
  2. Les principes RGPD fondamentaux sont respectés : minimisation (4 niveaux autonomie vs GIR), licéité (bases légales documentées), transparence (politique publique), exactitude (déclaratif aidant), limitation conservation (3 ans + 5 ans pour preuves), intégrité-confidentialité (AES-256-GCM + HDS).
  3. Les risques résiduels sont acceptables au vu des mesures appliquées.
  4. La collecte de consentement respecte les exigences CNIL 2024 (libre, spécifique, éclairé, univoque, prouvable via ConsentLog chaîné SHA-256).
  5. Le droit à la rétractation est concrètement opérationnel via dpo@silverscout.fr + rétractation 72 h post-soumission.
  6. Les sous-traitants extra-UE sont encadrés par CCT UE + Data Privacy Framework — encadrement juridique solide.

Recommandation : Le traitement peut être mis en œuvre tel que décrit. Audit blanc CNIL externe recommandé en Q4 2026 pour validation indépendante avant scaling au-delà de 100 leads vendus / mois.

9. Plan d'action

  • S1 (semaine du 27/04/2026) : Immatriculation micro-entreprise + SIREN.
  • S2 (semaine du 04/05/2026) : Souscription RC pro santé/médico-social.
  • S5 (semaine du 25/05/2026) : Anti-fraude Cloudflare Turnstile + honeypot + HLR Twilio Lookup (validation phone temps réel).
  • S6 (semaine du 01/06/2026) : Registre des traitements Art. 30 formalisé + Procédure incident PRI v1 documentée.
  • M5 (Q3 2026) : Plan de continuité d'activité (PCA).
  • M6 (Q4 2026) : Audit blanc CNIL externe par cabinet spécialisé. Budget 5-12 k€ provisionné.
  • 2027-04-26 : Révision DPIA v2 (annuelle) ou avant si évolution matérielle.

10. Versionning

v1.0 — 26 avril 2026. Création initiale post-audit profond 7-experts (audit Trust + RGPD + CRO/UX + Copywriting + SEO/GEO + Lead Ops + Performance/Analytics). Désamorce le risque audit RGPD Finding #2 (DPIA citée mais non opposable).

Toute modification matérielle déclenche une nouvelle version (v1.x ou v2.0) datée et signée. Les versions antérieures sont archivées et fournies sur demande à dpo@silverscout.fr.

Signature électronique :
Matthieu Angibaud — Fondateur & Responsable de traitement RGPD
26 avril 2026
silverscout.fr

Pour aller plus loin

DémarrerTrouver mon EHPAD