Re: [Galette-discussion] conformité au RGPD de Galette

[ Thread Index | Date Index | More lists.galette.eu/users Archives ]


Je précise sont concernés "tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation"
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants

Il sera illégal de collecter des données dont la pertinence par rapport aux traitements de l'organisme ne pourra être démontrée. C'est un des éléments les plus importants à retenir du RGPD : désormais c'est à l'organisme de prouver qu'il est en conformité. Avant, on faisait des déclarations à la CNIL et celle-ci devait prouver qu'on était en faute..

Pour prouver, il faut en particulier pouvoir tenir un registre des traitements des DP.
Je ne connais pas finement la structure des données dans Galette, mais il faut pouvoir identifier lesquelles sont à caractère personnel (identifiant directement ou indirectement une personne) <-- Des logs de connexion sont concernés -- Cela pour pouvoir anonymiser les données, à défaut de les supprimer.

.Gilles



 

2018-02-22 19:36 GMT+01:00 Gilles Vincent <gilles.vincent@xxxxxxxxx>:
Salut la liste,

d'autres contraintes se sont rajoutées par rapport à la CNIL telle que nous l'utilisons :
- il faut pouvoir garantir un délai de suppression des données (ou justifier pour quelles finalité elle sont conservées, jusqu'à quand)
- il faut pouvoir anonymiser les infos en cas de demande de suppression des données
- il faut pouvoir exporter toutes les données personnelles d'une personne (la notion de DP est plus large que jusqu'à présent)
- il faut que les consentements en amont de la collecte de données stipule tous les éléments liés au RGPD (en particulier des éléments spécifiques comme les prestataires et le transfert éventuel hors UE)
- l'accès à la rectification / suppression / etc.. doit être aussi simple que la collecte (idéalement un bouton "supprimer définitivement mon compte" dans l'interface privée)
- Il faut que l'on enregistre les consentements apportés par les utilisateurs (qui se fait via opt-in explicit - voire double opt-in)
- il faut absolument éviter qu'on puisse accéder aux données personnelles qui ne nous concernent pas (Privacy by Default)
- etc..

Tout cela fait beaucoup de points qui concernent le logiciel proprement dit !

Le règlement indique qu'à partir du 25 mai, toute utilisation de logiciel non conforme au RGPD sera illégale (en tout cas ça sent pas bon dans la mise en conformité de l'organisme).

.Gilles
--

2018-02-22 11:06 GMT+01:00 Guillaume Rousse <guillomovitch@xxxxxxxxx>:
Le 22/02/2018 à 10:54, Michel Verdier a écrit :
Bonjour
En quoi le développement de Galette est il concerné ?
Ne s'agit il pas plutôt d'un problème de la responsabilité du gestionnaire et de l'association utilisatrice ?
En consultant Wikipedia, j'ai vraiment pas l'impression que ce texte concerne les associations utilisatrices mais plutôt les multinationales friantes de données personnelles....et je n'ai rien trouvé concernant un <<format>> des applications utilisant des données personnelles.
Enfin c'est mon avis....
Bonjour.

Galette n'est qu'un outil, ce n'est pas lui qui va faire la conformité (ou pas), mais bien son usage, et en particulier:
- ou est-il installé (chez soi sur une machine physique ou quelque part "dans le cloud" sans aucune maitrise de sa localisation) ?
- quelles sont les informations effectivement collectées (parce que galette permet de tout faire, mais ne l'impose pas) ?
- ces informations sont elles pertinentes par rapport à l'objet de l'association ?
- les membres de l'association en sont-ils informés ?
- etc...

La seule chose que Galette pourrait éventuellement faciliter, c'est l'insertion dans un des template de base d'une mention du type "pour exercer votre droit de modification, contacter X", mais c'est a peu près tout, chose qui demande aujourd'hui l'utilisation d'un template personnalisé.

Et accessoirement, les contraintes liées à la gestion des données personnelles ne commencent pas le 25 avril avec la GDPR, elles existaient déjà avant. Et pour les associations aussi, même si elles bénéficiaient d'un certain nombre de mesures particulières. Je doute qu'elles soient plus dans le collimateur de la CNIL demain qu'aujourd'hui, mais ça c'est de la gestion de risque de comptoir :)

A+
--
Guillaume

--
Galette users discussions

http://galette.eu - http://galette.eu/documentation
http://bugs.galette.eu/projects/galette/

List documentation: https://listengine.tuxfamily.org/lists.galette.eu/users/





Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/