Portail public — partager une session en lecture seule
Lien sécurisé pour partager une session de collecte avec un tiers sans création de compte.
Mis à jour le 26 avril 2026
Vous voulez partager l'avancement d'une session de collecte avec un tiers — un transporteur sans compte Compagnon, un client final, un auditeur — sans qu'il ait à s'inscrire ? Le portail public de Compagnon génère un lien sécurisé en lecture seule, valable tant que vous le souhaitez.
Principe
Chaque session de collecte peut générer un code d'accès unique de 12 caractères
alphanumériques (ex. K7M2QXP9R3J5). Le destinataire reçoit un lien de la forme :
https://landing.trdc.cloud/portal/sessions/<sessionId>?code=<accessCode>
Ce lien ouvre une page publique affichant la session, ses enlèvements et ses saisies en lecture seule — sans login, sans cookie, sans création de compte.
Étape 1 — Partager une session
- Ouvrez la session concernée dans
/sessions/<id> - Cliquez sur Partager → Envoyer par e-mail
- Saisissez l'e-mail du destinataire (ex. votre transporteur)
- Compagnon génère un code d'accès s'il n'existe pas, et envoie l'e-mail avec le lien
Le même code est réutilisé pour toutes les expéditions ultérieures de la même session. Si le code a fuité, contactez le support pour le régénérer (régénération automatique à venir dans une prochaine version).
Étape 2 — Ce que le destinataire voit
À l'ouverture du lien, la page portail affiche :
| Bloc | Contenu |
|---|---|
| En-tête | Nom session + statut En cours ou Clôturée |
| Établissement & site | Raison sociale, SIRET, adresse |
| Période | Date de début, date de fin (si renseignée), type de BSD |
| Liste des enlèvements | BSD lisible (si émis), date prévue, statut |
| Liste des saisies de déchets | Horodatage, notes terrain |
Le bandeau supérieur affiche en permanence le badge Lecture seule, et le pied de page rappelle l'origine du lien.
Sécurité du portail
| Aspect | Implémentation |
|---|---|
| Authentification | Code à 12 caractères alphanumériques par session |
| Réponse 404 unifiée | Identique pour id invalide ou code invalide |
| Rate-limit | 20 requêtes / minute / IP — au-delà, 429 Too Many Requests |
| Données exposées | Session ciblée uniquement — jamais d'autres tenants ou sites |
| Cookie / session | Aucun — chaque requête est indépendante |
La réponse 404 unifiée rend impossible la devinette d'identifiants : un attaquant ne peut pas savoir si un
sessionIdexiste sous un autre code.
Cas d'usage typiques
Transporteur sans compte Compagnon — vous lui envoyez le lien pour qu'il consulte les détails de la collecte avant intervention. Il voit ce qu'il doit charger sans se créer de compte.
Client final auditeur — votre client veut vérifier la traçabilité d'une collecte. Vous partagez la session, il consulte BSDs + saisies sans accès à vos autres clients.
Inspecteur DREAL — pour une visite inopinée, vous donnez l'accès à une session spécifique sans déléguer un compte interne.
Limitations à connaître
Le portail est volontairement minimaliste pour limiter la surface d'attaque :
- Lecture seule — pas d'upload de photo, pas de signature, pas de modification
- Pas de notification — le destinataire ne reçoit rien d'automatique au-delà de l'e-mail initial
- Pas d'export PDF — la page se consulte en ligne (pour un export traçabilité officiel, passez par le rapport PDF/PPTX côté admin)
- Périmètre session — le lien n'expose que la session ciblée, jamais le reste de votre activité
Bonnes pratiques
- Envoyez le lien uniquement à des tiers de confiance — il est consultable par quiconque l'obtient
- Privilégiez l'e-mail nominatif plutôt qu'une boîte générique partagée
- Pour une signature ou un upload de preuves, créez un compte chauffeur côté transporteur partenaire — la traçabilité légale exige une identification de l'acteur
Et après ?
- Hébergement et conformité RGPD
- Engagements opérationnels et incidents
- Comprendre les statuts d'une session
Vous êtes bloqué ? Écrivez-nous à support@trdc.cloud — engagement Standard : réponse sous 4h ouvrées (lun-ven 9h-18h CET). Enterprise : sous 1h ouvrées (8h-20h CET).