Overview
Artifact ID: | 44959e36d8db67fd2d0f54f65d99d67f8fabf4dd |
---|---|
Page Name: | RGPD |
Date: | 2018-06-12 23:41:50 |
Original User: | bohwaz |
Mimetype: | text/x-markdown |
Next | 7ff3793c24fe95a657c44d600d850693c85bf43758e98fb98d15cc33c1c004bb |
Content
Garradin est-il en accord avec le RGPD ? (GDPR en anglais)
En premier les obligations qui incombent à votre association :
Obligations vis à vis de l'utilisateur
- Suppression / modification des données utilisateurs à la demande de celui-ci
- S'assurer du consentement explicite de l'utilisateur pour transmettre ses données à des tiers (case à cocher décochée par défaut, par exemple)
- Informer les tiers qui détiennent une copie des données lors d'une demande de suppression / modification
- Permettre aux utilisateurs de modifier leurs données eux-même (par la configuration adéquate de la fiche membre)
- Effacement des données quand elles ne sont plus nécessaires
- Ne pas utiliser des données utilisateur réelles lors de tests internes
- Tenue de registre, gestion de crises etc. (un outil pour aider serait PIALab). La tenue de registre n'est nécessaire que pour les assos de plus de 250 employés.
- Ne pas utiliser les données pour d'autres finalités que ce à quoi l'utilisateur à donné son accord.
- Ne pas collecter plus de données que nécessaire : avez-vous vraiment besoin de la date de naissance ? De l'adresse postale ? etc.
Obligations techniques
- Sécurisation des données (notamment : utiliser un VirtualHost ou s'assurer que les bases de données SQLite de Garradin ne sont pas téléchargeables)
- Information des utilisateurs dans les 72 heures en cas de faille de sécurité
- Protection de l'accès aux données utilisateur (en activant par exemple l'authentification à deux facteurs pour les comptes administrateurs)
- Chiffrement du stockage des données utilisateurs et des sauvegardes
Voici les obligations qui sont assumées par Garradin à ce jour :
- Affichage des données de l'utilisateur (fiche membre, cotisations)
- Modification des données par l'utilisateur (fiche membre)
- Pas de cookie de suivi, pas de transmission de données à des tiers
- Protection possible de l'accès aux données utilisateur (double facteur, mot de passe fort)
Et celles qui manquent actuellement :
- Export de toutes les données d'un utilisateur dans un format inter-opérable (JSON) : contributions wiki, écritures comptables, fiche membre, etc.
- Affichage des données manquantes à l'utilisateur (contributions wiki, écritures comptables)
- Suppression des anciens membres et autres données expirées
- Log des accès aux données utilisateur en lecture / écriture