---
title: Conformité (RGPD & France)
description: Mesures prises pour la conformité au RGPD et aux réglementations françaises.
---

## ⚖️ Conformité Réglementaire

Le projet Memegoat s'inscrit dans une démarche de respect de la vie privée et de protection des données à caractère personnel, conformément au **Règlement Général sur la Protection des Données (RGPD)** de l'Union Européenne et aux recommandations de la **CNIL**.

### 🛡️ Principes Fondamentaux

<Cards>
  <Card title="Minimisation" description="Seules les données strictement nécessaires sont collectées." />
  <Card title="Transparence" description="Finalité des traitements explicitée aux utilisateurs." />
  <Card title="Sécurité" description="Mesures techniques et organisationnelles de pointe." />
</Cards>

### 🔒 Mesures Techniques de Protection

Conformément à la section [Sécurité](/docs/security), les mesures suivantes sont appliquées :
- **Chiffrement au repos** : Utilisation de **PGP (pgcrypto)** pour les données identifiantes.
- **Hachage aveugle** : Pour permettre les opérations sur données chiffrées sans compromettre la confidentialité.
- **Hachage des mots de passe** : Utilisation de l'algorithme **Argon2id**.
- **Communications sécurisées** : Utilisation de **TLS 1.3** via Caddy.
- **Suivi des Erreurs (Sentry)** : Configuration conforme avec désactivation de l'envoi des PII (Personally Identifiable Information) et masquage des données sensibles.

### 👤 Droits des Utilisateurs

Conformément au RGPD, les utilisateurs disposent des droits suivants :

<Callout type="info" title="Droit à l'effacement">
  Mis en œuvre via un mécanisme de **Soft Delete** (`deleted_at`), suivi d'une purge définitive après 30 jours.
</Callout>

<Callout type="info" title="Portabilité">
  Route dédiée `GET /users/me/export` permettant l'extraction immédiate au format JSON.
</Callout>

<Callout type="info" title="Consentement">
  Suivi des versions de CGU et politique de confidentialité (`terms_version`, `privacy_version`).
</Callout>

### ⏳ Conservation et Purge

- **Purge Automatique (Jobs Cron)** : Un service de purge planifiée s'exécute régulièrement pour :
    - Supprimer définitivement les comptes et contenus marqués pour suppression depuis plus de 30 jours.
    - Nettoyer les sessions expirées ou révoquées.
    - Supprimer les signalements (`reports`) ayant atteint leur date d'expiration.

<Callout type="warn" title="Anonymisation">
  Les adresses IP sont hachées (`ip_hash`) via SHA-256 dans les logs d'audit et de session.
</Callout>
- **Logs d'Audit** : Les journaux d'audit sont conservés pour répondre aux obligations de sécurité tout en respectant la minimisation.

### 📍 Hébergement des Données

Les données sont hébergées au sein de l'Union Européenne sur des serveurs dédiés chez **Hetzner**, garantissant un cadre juridique protecteur pour les données des citoyens européens.

### 🔗 Références

- [Site officiel de la CNIL](https://www.cnil.fr/fr/reglement-europeen-protection-donnees)
- [Texte officiel du RGPD](https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679)