Artifact 44959e36d8db67fd2d0f54f65d99d67f8fabf4dd:

Wiki page [RGPD] by bohwaz on 2018-06-12 23:41:50.
D 2018-06-12T21:41:50.460
L RGPD
N text/x-markdown
U bohwaz
W 2648
# Garradin est-il en accord avec le RGPD ? (GDPR en anglais)

En premier les obligations qui incombent à votre association :

### Obligations vis à vis de l'utilisateur

* Suppression / modification des données utilisateurs à la demande de celui-ci
* S'assurer du consentement explicite de l'utilisateur pour transmettre ses données à des tiers (case à cocher décochée par défaut, par exemple)
* Informer les tiers qui détiennent une copie des données lors d'une demande de suppression / modification
* Permettre aux utilisateurs de modifier leurs données eux-même (par la configuration adéquate de la fiche membre)
* Effacement des données quand elles ne sont plus nécessaires
* Ne pas utiliser des données utilisateur réelles lors de tests internes
* Tenue de registre, gestion de crises etc. (un outil pour aider serait [PIALab](http://www.pialab.io/)). La tenue de registre n'est nécessaire que pour les assos de plus de 250 employés.
* Ne pas utiliser les données pour d'autres finalités que ce à quoi l'utilisateur à donné son accord.
* Ne pas collecter plus de données que nécessaire : avez-vous vraiment besoin de la date de naissance ? De l'adresse postale ? etc.

### Obligations techniques

* Sécurisation des données (notamment : utiliser un VirtualHost ou s'assurer que les bases de données SQLite de Garradin ne sont pas téléchargeables)
* Information des utilisateurs dans les 72 heures en cas de faille de sécurité
* Protection de l'accès aux données utilisateur (en activant par exemple l'authentification à deux facteurs pour les comptes administrateurs)
* Chiffrement du stockage des données utilisateurs et des sauvegardes

### Voici les obligations qui sont assumées par Garradin à ce jour :

* Affichage des données de l'utilisateur (fiche membre, cotisations)
* Modification des données par l'utilisateur (fiche membre)
* Pas de cookie de suivi, pas de transmission de données à des tiers
* Protection possible de l'accès aux données utilisateur (double facteur, mot de passe fort)

### Et celles qui manquent actuellement :

* Export de toutes les données d'un utilisateur dans un format inter-opérable (JSON) : contributions wiki, écritures comptables, fiche membre, etc.
* Affichage des données manquantes à l'utilisateur (contributions wiki, écritures comptables)
* Suppression des anciens membres et autres données expirées
* Log des accès aux données utilisateur en lecture / écriture

### Sources :

* <https://bohzo.developpez.com/rgpd-guide-pratique-developpeurs/>
* <https://opensource.com/article/18/4/gdpr-impact>

Z 51b3d752c176ba3b26ceda5b411bb61b