1.1 KiB
1.1 KiB
ADR-0007 — Effacement RGPD par anonymisation (tombstone), pas DELETE
- Statut : Accepte
- Date : 2026-06-17
Contexte
Le droit a l'effacement (RGPD, Cr 3.d) s'applique aux comptes back-office. Un DELETE
dur casserait l'integrite referentielle (FK entrantes depuis stock_movement.user_id,
customer_order.acting_user_id, audit_log.actor_user_id) et effacerait la trace
d'imputabilite des actes passes.
Decision
Anonymisation (mlt 10.5), pas suppression : en une transaction, vider la PII de la
ligne user (email -> anon-<id>@wakdo.invalid RFC 2606, prenom/nom vides, hash vide,
PIN/reset NULL), poser anonymized_at, is_active = 0. La ligne persiste comme
tombstone. Idempotent (clause anonymized_at IS NULL). Trace : audit_log
user.erase_pii.
Consequences
- (+) FK preservees ; les actes passes restent imputables a un principal anonymise (qui-en-tant-qu-id), sans PII.
- (+) Email unique conserve, non identifiant.
- (-) La ligne reste en base (tombstone) : a documenter dans le registre de traitement.
- Garde-fou : interdit d'anonymiser le dernier admin actif / soi-meme (anti-lockout).