diff --git a/.gitignore b/.gitignore
index b3f910c5eec040dae269333e36738b18d21a4f0f..eab982a888fbccd30148ae4aaa458303b32c12c9 100644
--- a/.gitignore
+++ b/.gitignore
@@ -6,3 +6,6 @@ group_vars/*
 releases/*
 contract/*
 paquerette_utils.conf.yml
+
+# IDE
+.idea
\ No newline at end of file
diff --git a/roles/_app_backup_data/README.md b/roles/_app_backup_data/README.md
new file mode 100644
index 0000000000000000000000000000000000000000..a151482a0b9ccb6b673525d7d3b91f8310633c83
--- /dev/null
+++ b/roles/_app_backup_data/README.md
@@ -0,0 +1,2 @@
+# Backup task for Apps Data
+
diff --git a/roles/_app_backup_data/tasks/install.yml b/roles/_app_backup_data/tasks/install.yml
new file mode 100644
index 0000000000000000000000000000000000000000..f1029ce062a066cda53b4c971e272dec844423d6
--- /dev/null
+++ b/roles/_app_backup_data/tasks/install.yml
@@ -0,0 +1,10 @@
+---
+
+  - name: "template for backup - no database"
+    template:
+      src: app_backup_data.j2
+      dest: "{{ backup_item_dir }}/20-{{ app_instance_id }}-data.sh"
+      mode: 0640
+    when: app_backup_data == "yes"
+
+    
diff --git a/roles/_app_backup_data/tasks/main.yml b/roles/_app_backup_data/tasks/main.yml
new file mode 100644
index 0000000000000000000000000000000000000000..af2267e1ffef66cfe604372bc17eabeec79dc3a0
--- /dev/null
+++ b/roles/_app_backup_data/tasks/main.yml
@@ -0,0 +1,10 @@
+---
+
+- import_tasks: install.yml
+  when: app_run in ['install', 'reinstall']
+
+#- import_tasks: upgrade.yml
+#  when: app_run == 'upgrade'
+
+- import_tasks: uninstall.yml
+  when: app_run == 'uninstall'
diff --git a/roles/_app_backup_data/tasks/uninstall.yml b/roles/_app_backup_data/tasks/uninstall.yml
new file mode 100644
index 0000000000000000000000000000000000000000..c3c6c084487231ff0b10ca4f3d3b9258f94c944a
--- /dev/null
+++ b/roles/_app_backup_data/tasks/uninstall.yml
@@ -0,0 +1,5 @@
+---
+  - name: "remove backup task"
+    file:
+      path: "{{ backup_item_dir }}/20-{{ app_instance_id }}-data.sh"
+      state: absent
diff --git a/roles/_app_backup_data/templates/app_backup_data.j2 b/roles/_app_backup_data/templates/app_backup_data.j2
new file mode 100644
index 0000000000000000000000000000000000000000..0880f7e3bf66847920d7be1d2bdc3bf6a2c78ef0
--- /dev/null
+++ b/roles/_app_backup_data/templates/app_backup_data.j2
@@ -0,0 +1,5 @@
+# Note: the spaces around the equal sign ('=') are optional.
+when = everyday at {{ backup_app_service_conf_time | mandatory }}
+
+rsync -aAx --del {{ app_data }} {{ backup_prod_dir }}/{{ app_instance_id }}.data
+rc=$?; if [[ $rc != 0 ]]; then error "app" ; fi
diff --git a/roles/_web_app/defaults/main.yml b/roles/_web_app/defaults/main.yml
index 38e10e063a336fe1c0e601bc5b0f22723915da43..4f17c556c263cad82c2e1969b3c8ef8edead19c0 100644
--- a/roles/_web_app/defaults/main.yml
+++ b/roles/_web_app/defaults/main.yml
@@ -2,7 +2,7 @@
   packages_list: []
 
   app_user_chrooted: "yes"
-  app_group: "{{ app_user }}"
+  app_group: "www-data"
 
   app_git_repo: ""
   app_src: ""
@@ -28,6 +28,8 @@
   app_wsgi_entry_point: "{{ app_instance_root }}/{{ app_instance_id }}.wsgi"
   app_wsgi_script_reloading: "On"
   app_wsgi_pass_authorization: "On"
+  
+  app_backup_data: "no"
 
 
 
diff --git a/roles/_web_app/tasks/install.yml b/roles/_web_app/tasks/install.yml
index 97949e5924935f6d4a982c8646f5e55bfc7abf6e..f02846372a98657e8ddf0e2322f0b6b0c7ee47e5 100644
--- a/roles/_web_app/tasks/install.yml
+++ b/roles/_web_app/tasks/install.yml
@@ -24,6 +24,11 @@
   - import_role:
       name: _app_backup
 
+  - name: "Backup data"
+    import_role:
+      name: _app_backup_data
+    when: app_backup_data == "yes"
+
   ### reverse proxy configuration
   - block:
 
diff --git a/roles/garradin_instance/.gitignore b/roles/garradin_instance/.gitignore
new file mode 100644
index 0000000000000000000000000000000000000000..85e7c1dfcb7fbb33f932c81024018cd8c10519da
--- /dev/null
+++ b/roles/garradin_instance/.gitignore
@@ -0,0 +1 @@
+/.idea/
diff --git a/roles/garradin_instance/README.md b/roles/garradin_instance/README.md
new file mode 100644
index 0000000000000000000000000000000000000000..441927e49c713e8ef886dc0df0fe43561c6247de
--- /dev/null
+++ b/roles/garradin_instance/README.md
@@ -0,0 +1,26 @@
+# Instance Garradin
+
+## Résumé
+
+Rôle permettant d'installer garradin. https://garradin.eu
+
+## Variables
+
+### Configuration du mail
+````
+smtp_security: STARTTLS
+smtp_host: false
+smtp_user: null
+smtp_pass: null
+smtp_port: 587
+````
+
+### Chrootage de l'environnement utilisateur
+````
+app_user_chrooted: "yes"
+````
+
+### Version de l'application
+````
+app_version: 1.1.14
+````
\ No newline at end of file
diff --git a/roles/garradin_instance/defaults/main.yml b/roles/garradin_instance/defaults/main.yml
new file mode 100644
index 0000000000000000000000000000000000000000..0f47072dfff86f59c27371c24f8c10b12478f99a
--- /dev/null
+++ b/roles/garradin_instance/defaults/main.yml
@@ -0,0 +1,21 @@
+---
+app_version: 1.1.14
+
+app_user_chrooted: "yes"
+
+php_composer: "no"
+python3: "no"
+app_wsgi: "no"
+
+#
+# smtp default parameters
+#
+
+smtp_security: STARTTLS
+smtp_host: false
+smtp_user: null
+smtp_pass: null
+smtp_port: 587
+
+
+app_backup_data: "yes"
diff --git a/roles/garradin_instance/handlers/main.yml b/roles/garradin_instance/handlers/main.yml
new file mode 100644
index 0000000000000000000000000000000000000000..0bb9a7bd2393dcb08ffdec6ada2f1715d5eacbbe
--- /dev/null
+++ b/roles/garradin_instance/handlers/main.yml
@@ -0,0 +1,7 @@
+---
+
+- name: reload nginx web_app - Garradin
+  service: name=nginx state=reloaded
+
+- name: reload php-fpm web_app - Garradin
+  service: name=php{{ php_version }}-fpm state=reloaded
\ No newline at end of file
diff --git a/roles/garradin_instance/tasks/configure.yml b/roles/garradin_instance/tasks/configure.yml
new file mode 100644
index 0000000000000000000000000000000000000000..509d62006ebc60eb15342d5ce028b973726d8fc5
--- /dev/null
+++ b/roles/garradin_instance/tasks/configure.yml
@@ -0,0 +1,22 @@
+---
+
+- name: "Configuring Garradin"
+  template:
+    src: "config.local.php.j2"
+    dest: "{{ app_instance_root }}/config.local.php"
+    owner: "{{ app_user }}"
+    group: "{{ app_group }}"
+    backup: yes
+    mode: 0660
+  tags:
+    - garradin_local_conf
+
+- name: "cron mode for background jobs"
+  cron:
+    name: "{{ app_instance_root }}/scripts/cron.php >/dev/null 2>&1"
+    user: "{{ app_user }}"
+    day: "*/1"
+    job: "php -f {{ app_instance_root }}/cron.php >/dev/null 2>&1"
+  tags:
+    - garradin_cron
+  
diff --git a/roles/garradin_instance/tasks/main.yml b/roles/garradin_instance/tasks/main.yml
new file mode 100644
index 0000000000000000000000000000000000000000..6fdeae59f6c4a1c5483008cbec40c26e222ef6c7
--- /dev/null
+++ b/roles/garradin_instance/tasks/main.yml
@@ -0,0 +1,41 @@
+---
+
+- import_role:
+    name: _web_app
+
+- name: "template {{ rev_proxy }}_app.j2 {{ app_instance_id }}"
+  template:
+    src: "{{ rev_proxy }}_app.j2"
+    dest: "/etc/{{ rev_proxy }}/sites-available/{{ app_instance_id }}.conf"
+  when: app_wsgi == "no"
+  notify: reload {{ rev_proxy }} web_app
+  tags:
+    - garradin_rev_proxy
+
+- name: Check if app folder exists
+  stat:
+    path: "{{ app_instance_root }}"
+  register: app_folder
+
+- name: Check if data folder exists
+  stat:
+    path: "{{ app_data }}"
+  register: data_folder
+  tags: "data_setup"
+
+- name: "dir {{ app_data }}"
+  file:
+    path: "{{ app_data }}"
+    state: directory
+    mode: 0700
+    group: "www-data"
+    owner: "{{ app_user }}"
+  when: data_folder.stat.exists == false and app_folder.stat.exists
+  tags: "data_setup"
+
+- name: Configuring garradin if app folder exists
+  import_tasks: configure.yml
+  when: app_folder.stat.exists
+  tags:
+    - garradin_configure
+
diff --git a/roles/garradin_instance/templates/config.local.php.j2 b/roles/garradin_instance/templates/config.local.php.j2
new file mode 100644
index 0000000000000000000000000000000000000000..792d2568df0f9563d8957cc0f225a206309626fc
--- /dev/null
+++ b/roles/garradin_instance/templates/config.local.php.j2
@@ -0,0 +1,466 @@
+<?php
+
+/**
+ * Ce fichier représente un exemple des constantes de configuration
+ * disponibles pour Garradin.
+ *
+ * NE PAS MODIFIER CE FICHIER!
+ *
+ * Pour configurer Garradin, copiez ce fichier en 'config.local.php'
+ * puis décommentez et modifiez ce dont vous avez besoin.
+ */
+
+// Nécessaire pour situer les constantes dans le bon namespace
+namespace Garradin;
+
+/**
+ * Clé secrète, doit être unique à chaque instance de Garradin
+ *
+ * Ceci est utilisé afin de sécuriser l'envoi de formulaires
+ * (protection anti-CSRF).
+ *
+ * Cette valeur peut être modifiée sans autre impact que la déconnexion des utilisateurs
+ * actuellement connectés.
+ *
+ * Si cette constante n'est définie, Garradin ajoutera automatiquement
+ * une valeur aléatoire dans le fichier config.local.php.
+ */
+
+const SECRET_KEY = '{{ secret_key }}';
+
+/**
+ * Se connecter automatiquement avec l'ID de membre indiqué
+ * Exemple: LOCAL_LOGIN = 42 connectera automatiquement le membre n°42
+ * Attention à ne pas utiliser en production !
+ *
+ * Il est aussi possible de mettre "LOCAL_LOGIN = -1" pour se connecter
+ * avec le premier membre trouvé qui peut gérer la configuration (et donc
+ * modifier les droits des membres).
+ *
+ * Défault : false (connexion automatique désactivée)
+ */
+
+//const LOCAL_LOGIN = false;
+
+/**
+ * Autoriser (ou non) l'import de sauvegarde qui a été modifiée ?
+ *
+ * Si mis à true, un avertissement et une confirmation seront demandés
+ * Si mis à false, tout fichier SQLite importé qui ne comporte pas une signature
+ * valide (hash SHA1) sera refusé.
+ *
+ * Ceci ne s'applique qu'à la page "Sauvegarde et restauration" de l'admin,
+ * il est toujours possible de restaurer une base de données non signée en
+ * la recopiant à la place du fichier association.sqlite
+ *
+ * Défaut : true
+ */
+
+//const ALLOW_MODIFIED_IMPORT = true;
+
+/**
+ * Doit-on suggérer à l'utilisateur d'utiliser la version chiffrée du site ?
+ *
+ * 1 ou true = affiche un message de suggestion sur l'écran de connexion invitant à utiliser le site chiffré
+ * (conseillé si vous avez un certificat auto-signé ou peu connu type CACert)
+ * 2 = rediriger automatiquement sur la version chiffrée pour l'administration (mais pas le site public)
+ * 3 = rediriger automatiquement sur la version chiffrée pour administration et site public
+ * false ou 0 = aucune version chiffrée disponible, donc ne rien proposer ni rediriger
+ *
+ * Défaut : false
+ */
+
+const PREFER_HTTPS = true;
+
+/**
+ * Répertoire où se situe le code source de Garradin
+ *
+ * Défaut : répertoire racine de Garradin (__DIR__)
+ */
+
+//const ROOT = __DIR__;
+
+/**
+ * Répertoire où sont situées les données de Garradin
+ * (incluant la base de données SQLite, les sauvegardes, le cache, les fichiers locaux et les plugins)
+ *
+ * Défaut : sous-répertoire "data" de la racine
+ */
+
+const DATA_ROOT = '{{ app_data | default() }}';
+
+/**
+ * Répertoire où est situé le cache,
+ * exemples : graphiques de statistiques, templates Brindille, etc.
+ *
+ * Défaut : sous-répertoire 'cache' de DATA_ROOT
+ */
+
+//const CACHE_ROOT = DATA_ROOT . '/cache';
+
+/**
+ * Répertoire où est situé le cache partagé entre instances
+ * Garradin utilisera ce répertoire pour stocker le cache susceptible d'être partagé entre instances, comme
+ * le code PHP généré à partir des templates Smartyer.
+ *
+ * Défaut : sous-répertoire 'shared' de CACHE_ROOT
+ */
+
+//const SHARED_CACHE_ROOT = CACHE_ROOT . '/shared';
+
+/**
+ * Emplacement du fichier de base de données de Garradin
+ *
+ * Défaut : DATA_ROOT . '/association.sqlite'
+ */
+
+//const DB_FILE = DATA_ROOT . '/association.sqlite';
+
+/**
+ * Emplacement de stockage des plugins
+ *
+ * Défaut : DATA_ROOT . '/plugins'
+ */
+
+//const PLUGINS_ROOT = DATA_ROOT . '/plugins';
+
+/**
+ * Plugins fixes qui ne peuvent être désinstallés par l'utilisateur
+ * (séparés par une virgule)
+ *
+ * Ils seront aussi réinstallés en cas de restauration de sauvegarde,
+ * s'ils ne sont pas dans la sauvegarde.
+ *
+ * Exemple : PLUGINS_SYSTEM = 'gestion_emails,factures'
+ *
+ * Défaut : aucun (chaîne vide)
+ */
+
+//const PLUGINS_SYSTEM = '';
+
+/**
+ * Adresse URI de la racine du site Garradin
+ * (doit se terminer par un slash)
+ *
+ * Défaut : découverte automatique à partir de SCRIPT_NAME
+ */
+
+const WWW_URI = '/';
+
+/**
+ * Adresse URL HTTP(S) de Garradin
+ *
+ * Défaut : découverte à partir de HTTP_HOST ou SERVER_NAME + WWW_URI
+ */
+
+const WWW_URL = 'https://{{ app_domain }}' . WWW_URI;
+
+/**
+ * Adresse URL HTTP(S) de l'admin Garradin
+ *
+ * Défaut : WWW_URL + 'admin/'
+ */
+
+//const ADMIN_URL = 'https://admin.garradin.chezmoi.tld/';
+
+/**
+ * Affichage des erreurs
+ * Si "true" alors un message expliquant l'erreur et comment rapporter le bug s'affiche
+ * en cas d'erreur. Sinon rien ne sera affiché.
+ *
+ * Défaut : false
+ *
+ * Il est fortement conseillé de mettre cette valeur à false en production !
+ */
+
+const SHOW_ERRORS = false;
+
+/**
+ * Envoi des erreurs par e-mail
+ *
+ * Si renseigné, un email sera envoyé à l'adresse indiquée à chaque fois qu'une erreur
+ * d'exécution sera rencontrée.
+ * Si "false" alors aucun email ne sera envoyé.
+ * Note : les erreurs sont déjà toutes loguées dans error.log à la racine de DATA_ROOT
+ *
+ * Défaut : false
+ */
+
+//const MAIL_ERRORS = false;
+
+/**
+ * Envoi des erreurs à une API compatible AirBrake/Errbit
+ *
+ * Si renseigné avec une URL HTTP(S) valide, chaque erreur système sera envoyée
+ * automatiquement à cette URL.
+ *
+ * Si laissé à null, aucun rapport ne sera envoyé.
+ *
+ * Défaut : null
+ */
+
+//const ERRORS_REPORT_URL = null;
+
+/**
+ * Template HTML d'erreur personnalisé (en production)
+ *
+ * Si SHOW_ERRORS est à FALSE un message d'erreur générique (sans détail technique)
+ * est affiché. Il est possible de personnaliser ce message avec cette constante.
+ *
+ * Voir include/init.php pour le template par défaut.
+ */
+
+// const ERRORS_TEMPLATE = null;
+
+/**
+ * Activation des détails techniques (utile en auto-hébergement) :
+ * - version de PHP
+ * - page permettant de visualiser les erreurs présentes dans le error.log
+ * - permettre de migrer d'un stockage de fichiers à l'autre
+ * - vérification de nouvelle version (sur la page configuration)
+ *
+ * Ces infos ne sont visibles que par les membres ayant accès à la configuration.
+ *
+ * Défaut : true
+ * (Afin d'aider au rapport de bugs des instances auto-hébergées)
+ */
+
+const ENABLE_TECH_DETAILS = true;
+
+/**
+ * Utilisation de cron pour les tâches automatiques
+ *
+ * Si "true" on s'attend à ce qu'une tâche automatisée appelle
+ * le script cron.php dans le répertoire "scripts" toutes les 24 heures.
+ * Sinon Garradin effectuera les actions automatiques quand quelqu'un
+ * se connecte à l'administration ou visite le site.
+ *
+ * Défaut : false
+ */
+
+const USE_CRON = true;
+
+/**
+ * Activation de l'envoi de fichier directement par le serveur web.
+ * (X-SendFile)
+ *
+ * Permet d'améliorer la rapidité d'envoi des fichiers.
+ * Supporte les serveurs web suivants :
+ * - Apache avec mod_xsendfile (paquet libapache2-mod-xsendfile)
+ * - Lighttpd
+ *
+ * N'activer que si vous êtes sûr que le module est installé et activé (sinon
+ * les fichiers ne pourront être vus ou téléchargés).
+ * Nginx n'est PAS supporté, car X-Accel-Redirect ne peut gérer que des fichiers
+ * qui sont *dans* le document root du vhost, ce qui n'est pas le cas ici.
+ *
+ * Pour activer X-SendFile mettre dans la config du virtualhost de Garradin:
+ * XSendFile On
+ * XSendFilePath /var/www/garradin
+ *
+ * (remplacer le chemin par le répertoire racine de Garradin)
+ *
+ * Détails : https://tn123.org/mod_xsendfile/
+ *
+ * Défaut : false
+ */
+
+//const ENABLE_XSENDFILE = false;
+
+/**
+ * Serveur NTP utilisé pour les connexions avec TOTP
+ * (utilisé seulement si le code OTP fourni est faux)
+ *
+ * Désactiver (false) si vous êtes sûr que votre serveur est toujours à l'heure.
+ *
+ * Défaut : fr.pool.ntp.org
+ */
+
+//const NTP_SERVER = 'fr.pool.ntp.org';
+
+/**
+ * Hôte du serveur SMTP, mettre à false (défaut) pour utiliser la fonction
+ * mail() de PHP
+ *
+ * Défaut : false
+ */
+
+const SMTP_HOST = '{{ smtp_host | default() }}';
+
+/**
+ * Port du serveur SMTP
+ *
+ * 25 = port standard pour connexion non chiffrée (465 pour Gmail)
+ * 587 = port standard pour connexion SSL
+ *
+ * Défaut : 587
+ */
+
+const SMTP_PORT = {{ smtp_port | default() }};
+
+/**
+ * Login utilisateur pour le server SMTP
+ *
+ * mettre à null pour utiliser un serveur local ou anonyme
+ *
+ * Défaut : null
+ */
+
+const SMTP_USER = '{{ smtp_user | default() }}';
+
+/**
+ * Mot de passe pour le serveur SMTP
+ *
+ * mettre à null pour utiliser un serveur local ou anonyme
+ *
+ * Défaut : null
+ */
+
+const SMTP_PASSWORD = '{{ smtp_pass | default() }}';
+
+/**
+ * Sécurité du serveur SMTP
+ *
+ * NONE = pas de chiffrement
+ * SSL = connexion SSL native
+ * TLS = connexion TLS native (le plus sécurisé)
+ * STARTTLS = utilisation de STARTTLS (moyennement sécurisé)
+ *
+ * Défaut : STARTTLS
+ */
+
+const SMTP_SECURITY = '{{ smtp_security | default() }}';
+
+/**
+ * Activer les sauvegardes automatiques
+ *
+ * Utile à désactiver si vous avez déjà des sauvegardes effectuées
+ * automatiquement au niveau du système.
+ *
+ * Sinon les sauvegardes seront effectuées soit par la tâche cron
+ * soit à l'affichage de la page d'accueil (si nécessaire).
+ *
+ * Voir paramètre USE_CRON aussi
+ *
+ * Défaut : true
+ */
+
+//const ENABLE_AUTOMATIC_BACKUPS = true;
+
+
+/**
+ * Couleur primaire de l'interface admin par défaut
+ * (peut être personnalisée dans la configuration)
+ *
+ * Défaut : #9c4f15
+ */
+
+//const ADMIN_COLOR1 = '#20787a';
+
+/**
+ * Couleur secondaire de l'interface admin
+ * Défaut : #d98628
+ */
+
+//const ADMIN_COLOR2 = '#85b9ba';
+
+/**
+ * Image de fond par défaut de l'interface admin
+ *
+ * Cette URL doit être absolue (http://...) ou relative à l'admin (/admin/static...)
+ *
+ * Attention si l'image est sur un domaine différent vous devrez activer l'entête CORS:
+ * Access-Control-Allow-Origin "*"
+ *
+ * sinon la personnalisation des couleurs ne fonctionnera pas
+ *
+ * Défaut : [ADMIN_URL]static/gdin_bg.png
+ */
+
+//const ADMIN_BACKGROUND_IMAGE = 'http://mon-asso.fr/fond_garradin.png';
+
+
+/**
+ * Stockage des fichiers
+ *
+ * Indiquer ici le nom d'une classe de stockage de fichiers
+ * (parmis celles disponibles dans lib/Garradin/Files/Backend)
+ *
+ * Indiquer NULL si vous souhaitez stocker les fichier dans la base
+ * de données SQLite (valeur par défaut).
+ *
+ * Classes de stockage possibles :
+ * - SQLite : enregistre dans la base de données (défaut)
+ * - FileSystem : enregistrement des fichiers dans le système de fichier
+ *
+ * ATTENTION : activer FileSystem ET ne pas utiliser de sous-domaine (vhost dédié)
+ * ferait courir de graves risques de piratage à votre serveur web si vous ne protégez
+ * pas correctement le répertoire de stockage des fichiers !
+ *
+ * Défaut : null
+ */
+
+//const FILE_STORAGE_BACKEND = null;
+
+/**
+ * Configuration du stockage des fichiers
+ *
+ * Indiquer dans cette constante la configuration de la classe de stockage
+ * des fichiers.
+ *
+ * Valeurs possibles :
+ * - SQLite : aucune configuration possible
+ * - FileSystem : (string) chemin du répertoire où doivent être stockés les fichiers
+ *
+ * Pour migrer d'un stockage de fichiers à l'autre,
+ * voir Configuration > Avancé (accessible uniquement si ENABLE_TECH_DETAILS est à true)
+ *
+ * Défaut : null
+ */
+
+//const FILE_STORAGE_CONFIG = null;
+
+/**
+ * Forcer le quota disponible pour les fichiers
+ *
+ * Si cette constante est renseignée (en octets) alors il ne sera
+ * pas possible de stocker plus que cette valeur.
+ * Tout envoi de fichier sera refusé.
+ *
+ * Défaut : null (dans ce cas c'est le stockage qui détermine la taille disponible, donc généralement l'espace dispo sur le disque dur !)
+ */
+
+//const FILE_STORAGE_QUOTA = 10000; // Forcer le quota alloué à 10 Mo, quel que soit le backend de stockage
+
+/**
+ * Commande de création de PDF
+ *
+ * Commande qui sera exécutée pour créer un fichier PDF à partir d'un HTML.
+ * Si laissé non spécifié (ou NULL), Garradin essaiera de détecter une solution entre
+ * PrinceXML, Chromium, wkhtmltopdf ou weasyprint.
+ *
+ * %1$s sera remplacé par le chemin du fichier HTML, et %2$s par le chemin du fichier PDF.
+ *
+ * Exemple : chromium --headless --print-to-pdf=%2$s %1$s
+ *
+ * Défaut : null
+ */
+const PDF_COMMAND = 'chromium --headless --print-to-pdf=%2$s %1$s';
+
+/**
+ * Clé de licence
+ *
+ * Cette clé permet de débloquer certaines fonctionnalités dans des extensions officielles.
+ *
+ * Pour l'obtenir il faut se créer un compte sur Garradin.eu
+ * et faire une contribution financière.
+ * La clé apparaîtra ensuite en dessous des informations
+ * de l'association dans la page "Mon abonnement Garradin.eu".
+ *
+ * Il faut recopier cette clé dans le fichier config.local.php
+ * dans la constante CONTRIBUTOR_LICENSE.
+ *
+ * Merci de ne pas essayer de contourner cette licence et de contribuer au
+ * financement de notre travail :-)
+ */
+//const CONTRIBUTOR_LICENSE = 'XXXXX';
diff --git a/roles/garradin_instance/templates/nginx_app.j2 b/roles/garradin_instance/templates/nginx_app.j2
new file mode 100644
index 0000000000000000000000000000000000000000..683848a8ecbc3eb3c5ac7d47c34c6115bb2e7f91
--- /dev/null
+++ b/roles/garradin_instance/templates/nginx_app.j2
@@ -0,0 +1,92 @@
+upstream php-handler{{ app_instance_id }} {
+    server unix:/var/run/php/php{{ php_version }}-fpm-{{ app_user }}.sock;
+}
+
+
+map $http_user_agent $log_ua {
+  ~Monit 0;
+  default 1;
+}
+
+server {
+  listen 80;
+  listen [::]:80;
+  server_name {{ app_domain | mandatory }};
+  # enforce https
+  return 301 https://$server_name$request_uri;
+}
+
+server {
+  listen 443 ssl http2;
+  listen [::]:443 ssl http2;
+  server_name {{ app_domain }};
+
+  ssl_certificate /etc/letsencrypt/live/{{ app_domain }}/fullchain.pem;
+  ssl_certificate_key /etc/letsencrypt/live/{{ app_domain }}/privkey.pem;
+
+  # Add headers to serve security related headers
+  # Before enabling Strict-Transport-Security headers please read into this
+  # topic first.
+  # add_header Strict-Transport-Security "max-age=15768000;
+  # includeSubDomains; preload;";
+  #
+  # WARNING: Only add the preload option once you read about
+  # the consequences in https://hstspreload.org/. This option
+  # will add the domain to a hardcoded list that is shipped
+  # in all major browsers and getting removed from this list
+  # could take several months.
+  add_header X-Content-Type-Options nosniff;
+  add_header X-XSS-Protection "1; mode=block";
+  add_header X-Robots-Tag all; # https://developers.google.com/search/docs/advanced/robots/robots_meta_tag
+  add_header X-Download-Options noopen;
+  add_header X-Permitted-Cross-Domain-Policies none;
+  add_header Strict-Transport-Security "max-age=15768000";
+
+  access_log {{ www_log }}/{{ app_instance_id }}/access.log combined if=$log_ua;
+  error_log {{ www_log }}/{{ app_instance_id }}/error.log;
+
+  include {{ app_instance_www_root }}/nginx/*.conf;
+
+
+  # set max upload size
+  client_max_body_size 512M;
+  fastcgi_buffers 64 4K;
+
+  # Enable gzip but do not remove ETag headers
+  gzip on;
+  gzip_vary on;
+  gzip_comp_level 4;
+  gzip_min_length 256;
+  gzip_proxied expired no-cache no-store private no_last_modified no_etag auth;
+  gzip_types application/atom+xml application/javascript application/json application/ld+json application/manifest+json application/rss+xml application/vnd.geo+json application/vnd.ms-fontobject application/x-font-ttf application/x-web-app-manifest+json application/xhtml+xml application/xml font/opentype image/bmp image/svg+xml image/x-icon text/cache-manifest text/css text/plain text/vcard text/vnd.rim.location.xloc text/vtt text/x-component text/x-cross-domain-policy;
+
+  location / {
+
+    # Path to source
+    alias {{ app_instance_www_root }}/www/;
+
+    if ($scheme = http) {
+      rewrite ^ https://$server_name$request_uri? permanent;
+    }
+
+    index index.php /_route.php;
+    try_files $uri $uri/ //_route.php?$query_string;
+
+    location ~ \.php$ {
+      if (!-e $request_filename) {
+        rewrite ^/?(.*)$ /_route.php?/$1 last;
+        break;
+      }
+      fastcgi_pass unix:/var/run/php/php{{ php_version }}-fpm-{{ app_user }}.sock;
+      fastcgi_index index.php;
+      include fastcgi_params;
+      fastcgi_param REMOTE_USER $remote_user;
+      fastcgi_param PATH_INFO $fastcgi_path_info;
+      fastcgi_param SCRIPT_FILENAME $request_filename;
+    }
+
+    # Increase size limit
+    client_max_body_size 2M;
+  }
+
+}
diff --git a/roles/garradin_instance/vars/main.yml b/roles/garradin_instance/vars/main.yml
new file mode 100644
index 0000000000000000000000000000000000000000..68704b7f099af5d0a4a1806210386f1f0d4e190e
--- /dev/null
+++ b/roles/garradin_instance/vars/main.yml
@@ -0,0 +1,13 @@
+---
+app_program: "Garradin"
+
+app_src_root_name: "garradin-{{ app_version }}"
+database_type: "sqlite"
+packages_list: [ "php{{ php_version }}-sqlite3", "chromium-browser", "php{{ php_version }}-fpm", "php{{ php_version }}-intl", "php{{ php_version }}-cli", "php{{ php_version }}-imagick" ]
+
+app_src: "https://fossil.kd2.org/garradin/uv/garradin-{{ app_version }}.tar.bz2"
+php_version: "7.4"
+
+app_data: "{{ app_instance_root }}/../{{ app_instance_id }}.data"
+
+app_group: www-data