Re: [Galette-discussion] conformité au RGPD de Galette

[ Thread Index | Date Index | More lists.galette.eu/users Archives ]

Bonjour,

Je pense que NOUS sommes responsable car nul n'est censé ignorer la loi tout simplement :-/
Par contre un simple fichier Excel en local même avec un mot de passe n'est pas plus sûr que galette !
Le mien est hébergé chez OVH (donc en France) avec une base SQL dédié, la page index est modifié et j'utilise un protocole de mdp complexe.
Je precise sur le formulaire d'inscription que je garde les infos du dit documents informatiquement et l'élève signe.
De plus il est difficile de garantir zéro piratage lorsque les GAFA et autre multinational SONY, RENAULT, NASA et même les gouvernement se font régulièrement pirater alors qu'ils ont des budgets astronomique pour se défendre.

à suivre ...

Le 22 février 2018 à 19:52, Gilles Vincent <gilles.vincent@xxxxxxxxx> a écrit :


2018-02-22 19:44 GMT+01:00 Michel Verdier <anatole404@xxxxxxxxx>:
Je persiste à penser -à tort certainement-  que ceci ne nous concerne pas.Tout ceci v revient à dire que tous les logiciels associatifs seront hors la loi....et alors? Il y aura trop de monde à poursuivre....et par qui ?
Un peu de bon sens quand même....
Vos avis?
Michel

La chaine de responsabilité est partagée sur tout ceux qui collectent ou traitent les données.
Par exemple, si tu es victime d'une attaque, qu'un hacker vole des listes de mails et les utilisent pour envoyer des virus. Les victimes (leurs assureurs et juristes) pourront se retourner contre toi si tu n'es pas conformes.
Il est impossible d'être conforme à 100% pour 2018, soyons clairs. Mais il faut commencer le plus tôt possible à lancer une démarche de mise en conformité, sinon en cas de faille on aura beaucoup de mal à justifier et à éviter les pénalités.
.Gilles


 

Le 22 févr. 2018 19:37, "Gilles Vincent" <gilles.vincent@xxxxxxxxx> a écrit :
Salut la liste,

d'autres contraintes se sont rajoutées par rapport à la CNIL telle que nous l'utilisons :
- il faut pouvoir garantir un délai de suppression des données (ou justifier pour quelles finalité elle sont conservées, jusqu'à quand)
- il faut pouvoir anonymiser les infos en cas de demande de suppression des données
- il faut pouvoir exporter toutes les données personnelles d'une personne (la notion de DP est plus large que jusqu'à présent)
- il faut que les consentements en amont de la collecte de données stipule tous les éléments liés au RGPD (en particulier des éléments spécifiques comme les prestataires et le transfert éventuel hors UE)
- l'accès à la rectification / suppression / etc.. doit être aussi simple que la collecte (idéalement un bouton "supprimer définitivement mon compte" dans l'interface privée)
- Il faut que l'on enregistre les consentements apportés par les utilisateurs (qui se fait via opt-in explicit - voire double opt-in)
- il faut absolument éviter qu'on puisse accéder aux données personnelles qui ne nous concernent pas (Privacy by Default)
- etc...

Tout cela fait beaucoup de points qui concernent le logiciel proprement dit !

Le règlement indique qu'à partir du 25 mai, toute utilisation de logiciel non conforme au RGPD sera illégale (en tout cas ça sent pas bon dans la mise en conformité de l'organisme).

.Gilles
--

2018-02-22 11:06 GMT+01:00 Guillaume Rousse <guillomovitch@xxxxxxxxx>:
Le 22/02/2018 à 10:54, Michel Verdier a écrit :
Bonjour
En quoi le développement de Galette est il concerné ?
Ne s'agit il pas plutôt d'un problème de la responsabilité du gestionnaire et de l'association utilisatrice ?
En consultant Wikipedia, j'ai vraiment pas l'impression que ce texte concerne les associations utilisatrices mais plutôt les multinationales friantes de données personnelles....et je n'ai rien trouvé concernant un <<format>> des applications utilisant des données personnelles.
Enfin c'est mon avis....
Bonjour.

Galette n'est qu'un outil, ce n'est pas lui qui va faire la conformité (ou pas), mais bien son usage, et en particulier:
- ou est-il installé (chez soi sur une machine physique ou quelque part "dans le cloud" sans aucune maitrise de sa localisation) ?
- quelles sont les informations effectivement collectées (parce que galette permet de tout faire, mais ne l'impose pas) ?
- ces informations sont elles pertinentes par rapport à l'objet de l'association ?
- les membres de l'association en sont-ils informés ?
- etc...

La seule chose que Galette pourrait éventuellement faciliter, c'est l'insertion dans un des template de base d'une mention du type "pour exercer votre droit de modification, contacter X", mais c'est a peu près tout, chose qui demande aujourd'hui l'utilisation d'un template personnalisé.

Et accessoirement, les contraintes liées à la gestion des données personnelles ne commencent pas le 25 avril avec la GDPR, elles existaient déjà avant. Et pour les associations aussi, même si elles bénéficiaient d'un certain nombre de mesures particulières. Je doute qu'elles soient plus dans le collimateur de la CNIL demain qu'aujourd'hui, mais ça c'est de la gestion de risque de comptoir :)

A+
--
Guillaume

--
Galette users discussions

http://galette.eu - http://galette.eu/documentation
http://bugs.galette.eu/projects/galette/

List documentation: https://listengine.tuxfamily.org/lists.galette.eu/users/






--
Sébastien Léger
GSM : 06 16 78 14 62
 

Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/