RGPD / GDPR

Le RGPD (Règlement Général sur la Protection des Données), en anglais GDPR, est entré en vigueur le 25 mai 2018 dans toute l Union Européenne. Il impose à toute entreprise traitant des données personnelles de citoyens européens des obligations strictes :

• **Consentement explicite** pour le marketing direct (email, SMS, profilage commercial). Case pré-cochée interdite.
• **Droit d accès** : la personne peut demander une copie de ses données à tout moment
• **Droit à l effacement** ("droit à l oubli") sur demande, sauf obligations comptables (factures gardées 10 ans)
• **Droit à la portabilité** : export des données dans un format réutilisable
• **Registre des traitements** auditable
• **Notification des fuites de données** dans les 72 h à l autorité (APD en Belgique) si risque significatif
• **Limitation de durée** : 3 ans après la dernière interaction pour le marketing

Sanctions possibles : amende administrative jusqu à 20 millions d euros ou 4 % du CA mondial annuel.

Comment AuraPOS gère le RGPD : sépare le consentement résa du consentement marketing (opt-in explicite), supporte l effacement via la fiche client (anonymisation des tickets passés), inclut un export RGPD CSV dans le backend web (registre complet des clients avec leur statut consent_marketing pour audit), hébergement IONOS Belgique pour le backend — aucune donnée hors UE, authentification chiffrée (NextAuth v5 + bcrypt cost 12), API publique qui masque email/téléphone des clients sans consent marketing dans `/api/v1/clients`.