Contexte
Le laboratoire Galaxy Swiss Bourdin (GSB) exerce une activité de conseil et d’information médicale auprès des prescripteurs tels que les médecins et pharmaciens.
Ce rôle est assuré par les visiteurs médicaux, chargés de se déplacer pour présenter les nouveaux produits pharmaceutiques du laboratoire.
Ces déplacements et les différentes actions menées sur le terrain engendrent des frais professionnels devant être gérés et pris en charge par le service comptabilité.
Dans ce cadre, une application web de gestion des frais est actuellement en cours de développement.
La conception de cette application a été confiée à une société de services informatiques au sein de laquelle notre équipe intervient.
Notre mission consiste à poursuivre le développement de l’application et à proposer une solution d’hébergement sécurisée, garantissant la fiabilité et la confidentialité des données.
Partie Réseau
Dans le cadre du projet Galaxy Swiss Bourdin (GSB), le serveur web a été migré vers un environnement virtualisé nommé INTRALABn (où n correspond au numéro de groupe).
L’objectif était de reconstituer un serveur web sous Debian 11, destiné à héberger le site www.swiss-galaxyn.com.
Ce déploiement nécessitait l’installation et la configuration des services suivants :
Apache2 pour l’hébergement web,
PHP pour le traitement dynamique des pages,
FTPS pour les transferts sécurisés,
et la mise en place d’une base de données BDMEDOCLABn sur un serveur dédié.
Les sites devaient être accessibles via leurs noms de domaine (ex. www.swiss-galaxyn-france.fr), et les informaticiens devaient pouvoir mettre à jour les contenus à l’aide d’un client FTP sécurisé, via des comptes utilisateurs spécifiques.
Un outil d’administration, tel que phpMyAdmin ou Adminer, devait être déployé pour faciliter la gestion de la base de données.
Des mécanismes de sécurité ont été intégrés pour protéger les échanges et l’hébergement, garantissant la confidentialité et l’intégrité des données.
Pour les équipes avancées, une solution de répartition de charges (load balancing) devait être étudiée, impliquant l’ajout d’un second serveur web identique et la sécurisation des échanges entre la plateforme web et le serveur de base de données distant.
Des Proofs of Concept (POCs) devaient être réalisés afin de valider la faisabilité et la fiabilité de ces solutions.
Partie Développement
Le laboratoire Galaxy Swiss Bourdin (GSB) a demandé la vérification du bon fonctionnement de la saisie et de l’affichage des fiches de frais destinées aux visiteurs médicaux.
Dans un second temps, il s’agissait de développer la partie “Service comptable” de l’application, permettant la validation des fiches de frais conformément aux cas d’utilisation fournis.
L’application devait être testée et validée en local avant son déploiement sur les serveurs de production.
Tout au long du développement, il était essentiel de respecter les conventions de codage ainsi que l’architecture MVC (Modèle–Vue–Contrôleur), afin de garantir un code clair, structuré et maintenable dans le temps.
Situation d’avancement du projet
Dans le cadre de ce projet, et étant en option SISR, j’ai principalement travaillé sur la partie réseau.
J’ai pris en charge les missions relatives à la reconstitution du serveur web du GSB, à la liaison avec la base de données distante (BDMEDOCLABn), à la gestion des noms de domaine, ainsi qu’à la sécurisation du serveur web.
J’ai également contribué à la partie juridique, en répondant aux questions liées à la conformité et à la protection des données.
En tant que chef de projet, j’étais responsable de la planification, de la coordination et du suivi des tâches de l’équipe.
Avec le recul, je reconnais qu’une meilleure organisation et une gestion du temps plus rigoureuse auraient permis de mener à bien les Proofs of Concept (POCs) liés à la répartition de charges et à la sécurisation des échanges avec le serveur de base de données distant.
Cette expérience m’a néanmoins permis de développer des compétences techniques et humaines, et m’a appris l’importance d’une gestion de projet structurée.
Reconnaître ces points d’amélioration constitue une étape essentielle dans ma progression professionnelle.
Partie Réseau
Reconstitution du serveur web GSB
À la suite du transfert du serveur physique vers un environnement virtualisé INTRALABn (où n correspond au numéro du groupe), il était nécessaire de reconstituer le serveur web du GSB sous la distribution Debian 11.
Cette opération impliquait l’installation et la configuration des services essentiels au fonctionnement du site www.swiss-galaxyn.com, à savoir :
Apache2, pour l’hébergement et la diffusion des pages web,
PHP, pour le traitement dynamique des scripts,
et FTPS, pour assurer des transferts de fichiers sécurisés entre les administrateurs et le serveur.
L’objectif était de restaurer un environnement stable, fonctionnel et sécurisé, garantissant la continuité des services web du laboratoire.
Mise en place de la liaison avec le serveur de base de données
La base de données BDMEDOCLABn devait être hébergée sur un serveur dédié, distinct du serveur web, afin d’assurer une meilleure sécurité et une isolation des données vis-à-vis des autres services.
Cette architecture permettait de protéger les informations sensibles tout en optimisant la stabilité et les performances du système.
Les paramètres de connexion nécessaires à la liaison entre le serveur web et le serveur de base de données étaient fournis sur demande, permettant ainsi d’établir une communication sécurisée entre les deux environnements.
Gestion des domaines
Il était nécessaire de configurer les noms de domaine afin que les différents sites du laboratoire soient accessibles via leurs adresses web officielles —
www.swiss-galaxyn.com, www.swiss-galaxyn-france.fr et www.swiss-galaxyn-europe.eu — plutôt que par l’adresse IP du serveur.
Cette étape impliquait la configuration du service DNS, ainsi que la création et la vérification des enregistrements de domaine (A, CNAME, et éventuellement MX), de manière à ce qu’ils pointent correctement vers les serveurs d’hébergement concernés.
L’objectif était d’assurer une résolution de noms fiable, garantissant l’accessibilité et la cohérence de l’infrastructure web du GSB.
Mise à jour des sites
Il était indispensable de permettre aux informaticiens de mettre à jour les sites hébergés à tout moment à l’aide d’un client FTP sécurisé.
Pour cela, des comptes FTP dédiés ont été créés, tels que websgncom pour le site www.swiss-galaxyn.com et websgnfr pour www.swiss-galaxyn-france.fr, garantissant une gestion isolée et sécurisée de chaque domaine.
De plus, un outil d’administration de base de données, tel que phpMyAdmin ou Adminer, devait être installé afin de faciliter la gestion, la maintenance et la supervision de la base de données distante.
Sécurisation du serveur web
Il était nécessaire de renforcer la sécurité du serveur web afin de protéger les échanges et les données hébergées.
Cette étape visait à permettre aux développeurs de proposer des pages nécessitant une authentification sécurisée et un transfert de données chiffré.La mise en place de certificats SSL/TLS a permis d’activer le protocole HTTPS, garantissant la confidentialité et l’intégrité des communications entre le serveur et les utilisateurs.
D’autres mesures de sécurité complémentaires pouvaient également être envisagées, telles que la restriction des accès, la configuration des permissions serveur ou encore la surveillance des connexions.
Répartition de charges
Pour les équipes les plus expérimentées, il était prévu de mettre en place une solution de répartition de charges reposant sur l’ajout d’un second serveur web identique au premier.
Cette architecture avait pour objectif d’améliorer la disponibilité du service et d’optimiser la répartition du trafic entre les serveurs.La mise en œuvre pouvait s’appuyer sur des outils tels que Corosync, Pacemaker et/ou HAProxy, permettant de gérer la haute disponibilité (HA) et la synchronisation des services.
Un Proof of Concept (POC) devait être réalisé afin de démontrer la faisabilité et l’efficacité de cette solution avant un déploiement en production.
Sécurisation des échanges
Il était envisagé de sécuriser les échanges entre la plateforme web et le serveur de base de données distant hébergeant la base BDMEDOCLABn, afin de garantir la confidentialité et l’intégrité des données transmises.
Un Proof of Concept (POC) devait être réalisé pour démontrer la faisabilité technique de cette solution et évaluer les différentes méthodes de chiffrement ou de tunnelisation possibles (ex. SSH, VPN, TLS).
Ces initiatives faisaient partie des objectifs avancés du projet et étaient considérées comme des bonus techniques, destinés aux équipes les plus expérimentées souhaitant approfondir les aspects sécurité et infrastructure.
Partie Développement
Vérification des fonctionnalités existantes
La première étape du projet consistait à vérifier le bon fonctionnement de la saisie et de l’affichage des fiches de frais destinées aux visiteurs médicaux.
Cette phase de validation impliquait de tester l’interface utilisateur existante, de contrôler l’enregistrement correct des données dans la base de données, et de s’assurer que les utilisateurs pouvaient consulter leurs fiches de frais sans erreurs ni incohérences.
Ces tests avaient pour objectif de garantir la stabilité et la fiabilité des fonctionnalités déjà en place avant d’entamer les développements complémentaires.
Développement de la partie “Service comptable”
Une fois les fonctionnalités existantes validées, il a été nécessaire de développer la partie “Service comptable” de l’application.
Cette nouvelle section devait permettre aux comptables de consulter, contrôler et valider les fiches de frais soumises par les visiteurs médicaux.
Le développement s’appuyait sur des cas d’utilisation détaillés, fournis en amont, afin d’assurer la conformité fonctionnelle de la solution.
Une attention particulière a été portée à la gestion des états des fiches de frais (en attente, validée, refusée, etc.) ainsi qu’au processus de validation, garantissant une traçabilité et une cohérence dans le suivi des remboursements.
Mise en ligne de l’application
Après la phase de développement local, l’application devait être déployée sur les serveurs de production afin d’être accessible aux utilisateurs finaux.
Cette étape comprenait la migration complète du projet depuis l’environnement local, la vérification des dépendances, et l’adaptation des configurations nécessaires au bon fonctionnement dans l’environnement de production.
Une attention particulière a été portée au respect de l’architecture MVC (Modèle – Vue – Contrôleur), garantissant un code structuré, maintenable et évolutif.
Cette rigueur dans la conception assurait la pérennité de l’application et facilitait les mises à jour futures.
Partie Juridique
Qualification juridique des informations contenues dans la base de données
Les données personnelles sont des informations permettant d’identifier une personne physique, directement (nom, prénom, adresse, numéro de téléphone, etc.) ou indirectement (identifiant, adresse IP, données de connexion, etc.).
Elles bénéficient d’une protection juridique stricte, encadrée par plusieurs textes législatifs et réglementaires, dont le Règlement Général sur la Protection des Données (RGPD) applicable au sein de l’Union européenne.
Dans le cadre du projet GSB, la base de données contient des informations relatives aux visiteurs médicaux et à leurs frais professionnels, ce qui implique la présence de données personnelles sensibles.
Ces données doivent donc être collectées, traitées et stockées conformément aux principes de licéité, loyauté, transparence et sécurité définis par le RGPD.
Base juridique du recueil des informations et nécessité du consentement
Le recueil des données personnelles dans ce projet s’effectue dans un cadre strictement professionnel.
Les membres du laboratoire GSB saisissent leurs informations sur le site intranet de l’entreprise afin de permettre au service comptabilité de calculer et rembourser les frais liés aux déplacements et aux actions menées sur le terrain.
Les données renseignées (nom, prénom, fonction, montant des frais, etc.) sont en grande partie déjà connues de l’entreprise dans le cadre de la relation de travail.
Ainsi, leur collecte repose sur la base juridique de l’exécution d’un contrat ou de mesures précontractuelles, ce qui ne nécessite pas de consentement préalable.
Le traitement est donc légitime dès lors qu’il est nécessaire à l’exécution des obligations professionnelles ou contractuelles.
Toutefois, les personnes concernées doivent être clairement informées de la finalité du traitement, des données collectées, et de leurs droits (accès, rectification, opposition, suppression).
Principales règles applicables au traitement des informations
Le traitement des données personnelles au sein du laboratoire Galaxy Swiss Bourdin (GSB) est encadré par les lois sur la protection des données, et plus particulièrement par le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne.
Les principales règles à respecter sont les suivantes :
🔹 Transparence et information : les personnes concernées doivent être clairement informées de la finalité du traitement, de la nature des données collectées, et de leurs droits (accès, rectification, suppression, opposition).
🔹 Licéité du traitement : même si le consentement préalable n’est pas obligatoire lorsqu’il existe une nécessité contractuelle, il doit, lorsqu’il est requis, être libre, explicite et éclairé.
🔹 Limitation des finalités : les données ne doivent être collectées et utilisées que pour des objectifs précis et légitimes, en lien direct avec l’activité professionnelle (gestion des frais, suivi comptable, etc.).
🔹 Minimisation et exactitude : seules les données strictement nécessaires doivent être collectées, et elles doivent être tenues à jour.
🔹 Sécurité et confidentialité : des mesures techniques et organisationnelles adaptées doivent être mises en place pour prévenir toute perte, divulgation ou accès non autorisé aux données (chiffrement, authentification, sauvegardes sécurisées, etc.).
Ces principes garantissent un traitement licite, loyal et transparent, assurant la protection des droits des personnes concernées et la conformité de l’entreprise au RGPD.
Protection de la base de données par le droit d’auteur
Une base de données peut, dans certains cas, être protégée par le droit d’auteur, mais cette protection ne concerne pas les données en elles-mêmes.
En effet, les données contenues dans une base (telles que les noms, montants ou informations de frais) sont généralement considérées comme des faits bruts, donc non protégeables.
Cependant, la structure, la sélection ou encore la disposition originale de ces données peuvent être protégées au titre du droit d’auteur, à condition qu’elles reflètent un effort créatif propre à leur concepteur.
Ainsi, si la base de données du GSB présente une organisation spécifique, originale et non purement technique, elle peut bénéficier d’une protection juridique au titre de la propriété intellectuelle.
Autre régime de protection applicable : le droit sui generis des bases de données
Outre le droit d’auteur, une base de données peut bénéficier du droit sui generis, un régime de protection spécifique instauré par le droit européen (directive 96/9/CE).
Ce droit vise à protéger l’investissement réalisé par le producteur de la base — c’est-à-dire la personne ou l’entité ayant financé, organisé ou vérifié la collecte, la vérification ou la présentation des données.
Le droit sui generis ne protège pas la création intellectuelle mais reconnaît la valeur économique du travail nécessaire à la constitution de la base.
Ainsi, il permet au producteur de s’opposer à l’extraction ou à la réutilisation non autorisée de tout ou partie substantielle de la base de données.
Dans le cas du laboratoire GSB, si la base BDMEDOCLABn a nécessité un investissement substantiel en temps, en ressources ou en moyens techniques, elle pourrait effectivement bénéficier de cette protection au titre du droit sui generis.