Piste d'audit

La piste d’audit est le journal sans lacune de chaque modification pertinente dans votre tenant CampOne. Elle vous permet de prouver à tout moment qui a modifié quoi sur une réservation, une facture ou un dossier hôte — exigence à la fois de la nLPD, du RGPD et du droit suisse de la TVA.

Ce qui est journalisé

CampOne capture automatiquement chaque modification de :

• Réservations : création, changement d’emplacement, modification de dates, annulation, nombre de personnes
• Factures : création, envoi, paiement, avoir, annulation
• Données hôtes : adresse, données de pièce, date de naissance, consentement marketing, suppression
• Taxe de séjour et HESTA : changements de tarif, exonérations, corrections
• Emplacements et types : création, renommage, changement de tarif, blocage
• Utilisateurs : connexion, tentatives, changement de rôle

Chaque entrée enregistre :

Champ	Contenu
Horodatage	UTC et heure locale
Utilisateur	Nom, rôle, adresse IP
Action	Création, modification, suppression
Valeur précédente	si modification
Nouvelle valeur	si modification
Motif	optionnel, fourni par l’utilisateur

Qui peut consulter la piste d’audit

Par défaut, seul le rôle Propriétaire a accès à la piste complète. Les Responsables voient la piste de leur périmètre (par ex. uniquement les factures, pas les connexions). Les Collaborateurs ne voient que l’historique des réservations sur lesquelles ils ont eux-mêmes travaillé.

Les droits sont configurables sous Utilisateurs → Rôles — vous pouvez par exemple ne donner à un fiduciaire qu’un accès en lecture aux logs de factures.

Filtres et recherche

Le navigateur de la piste accepte :

• Période (libre, max. 5 ans à la fois)
• Utilisateur (qui a modifié)
• Type de donnée (réservation, facture, hôte, …)
• Action (créations seulement, suppressions seulement)
• Recherche plein texte (par ex. par numéro de réservation ou nom d’hôte)

Les résultats s’exportent en PDF ou CSV — les deux portent une somme cryptographique permettant de détecter une falsification.

Durées de conservation

Chaque type de donnée a une durée légale de conservation :

Type de donnée	Conservation
Log de réservation	10 ans
Log de facture	10 ans (loi TVA)
Log de données hôte	10 ans pour les données d’annonce, 12 mois pour les scans de pièces
Log de connexion	24 mois
Log de correction HESTA	illimité (append-only, pas de suppression)

Après expiration, les entrées sont anonymisées automatiquement. L’action reste dans le log, le lien personnel est retiré.

Résistance à la falsification

Les entrées sont :

• Append-only : ni édition ni suppression possibles par un utilisateur
• Hachées en chaîne : chaque entrée contient le hash de la précédente — toute modification ultérieure briserait la chaîne
• Synchronisées en temps : NTP, avec un serveur stratum-2 en Suisse

Pour un export aux autorités, CampOne crée un PDF signé dont l’authenticité est vérifiable à tout moment via la chaîne de hash dans les métadonnées.

Demandes des autorités

Quand la police, l’administration fiscale ou l’OFS demandent des données, vous générez sous Conformité → Export aux autorités un rapport filtré. L’export contient :

• les données demandées
• les entrées d’audit associées
• une déclaration PDF sur le contenu et le contexte
• une signature cryptographique

L’export lui-même est journalisé — vous savez à tout moment quelles données ont été remises à qui.

Conseils

• Saisir des motifs. Pour les actions sensibles (annulation d’une facture payée, suppression d’un dossier hôte), CampOne vous force à saisir un motif. Cette discipline est payante — lors d’un audit ultérieur, vous gagnez la recherche.
• Vérifier les logs de connexion mensuellement. Des tentatives suspectes depuis des pays inhabituels sont un indice précoce d’identifiants compromis.
• Accès en lecture seule pour les fiduciaires. Ne donnez pas de droits d’écriture aux comptables externes — la piste reste plus propre si toutes les corrections viennent de votre équipe.