RGPD

Hello,

la version 3.4 notifie dans le changelog "Conformité avec la loi RGPD"

Peut-on savoir ce qui a été modifié pour mise en conformité ? Je ne vois pas de popup d'information sur le formulaire de réservation, je ne vois pas de champ contacter le responsable des systèmes d'information sur les pages potentiellement accessible au public, ni même de chiffrement des données dans les bases mySQL concernant les utilisateurs ou bénéficiaires du système.

Pourriez-vous préciser ce qui a changé, ou en quoi le logiciel est conforme ?

Par ailleurs, la loi RGPD n'a rien à voir avec la Cnil. Cette commission peut juste nous accompagner ou nous aiguiller à sa mise en oeuvre, mais il s'agit bien d'un règlement européen !


(attention, ce n'est pas du tout une critique du logiciel que j'apprécie ! c'est juste que j'aimerais pouvoir continuer à l'utiliser après le 25/05)

Personne pour m'aider sur ce point ?

Bonjour,
j'espérais que Jérôme répondrait sur ce point, mais il doit être occupé.
La modification introduite consiste à afficher un message précisant les données recueillies par GRR!, essentiellement un cookie de session et les quelques données personnelles consultables dans la page mon compte.
Selon la lecture que je fais des RGPD, je pense que cela suffit. Si vous avez une interprétation plus restrictive, n'hésitez pas à nous le faire savoir et nous étudierons ce qui peut être fait.
Cordialement,
YN

Merci pour votre réponse.
En fait, à mes yeux, l'outil devrait aller un peu plus loin pour être conforme à la RGPD : le chiffrement des données personnelles pouvant être contenues dans les bases de données (nom prénoms, champs libres susceptibles de contenir des données personnelles - art32), prévoir de façon formelle le cycle de vie des données (principe de traitement temporel limité / droit à l'oubli), prévoir les logs sur les accès aux données archivées, etc.

Voire, obtenir une certification auprès de la CNIL

Bonjour,
pour ce qui est de la certification, la CNIL n'est pas habilitée. C'est un problème de l'application du RGPD dans le droit français : des organismes sont autorisés à certifier, mais évidemment leurs prestations sont payantes...
Nous n'avons pas les moyens de souscrire à une demande de certification, sauf à envisager un financement participatif. Je rappelle que notre participation au développement et au maintien de GRR! est bénévole !
Comme j'interprète le RGPD, c'est l'utilisateur final de GRR! qui doit inscrire l'utilisation de l'outil dans sa politique de traitement des données personnelles.
Sur le plan technique, les données personnelles contenues dans les BDD de GRR! sont : nom, prénom, adresse mail (éventuellement), et les traces de connexion. Sur ce dernier point, je note qu'il y a contradiction entre protection des données personnelles et protection des systèmes d'information. Le droit à l'oubli est dans la rotation des données de connexion, gérable dans la page ../GRR/admin/admin_view_connexions.php.
Apparemment, une entité qui utilise des données personnelles doit se doter d'un DPO, lequel doit définir une politique de gestion des données, sous forme d'un cahier des charges et l'exploitant doit tenir un cahier journal dans lequel il note les actions prises afin de se conformer au cahier des charges.
Même si cela pourrait être automatisé, dans un premier temps, votre cahier des charges peut prévoir que l'administrateur de GRR! doit effacer les données de connexion de plus d'un an (délai préconisé par la CNIL), que la connexion au serveur doit être en https, que les mots de passe d'accès au serveur de BDD soient robustes, etc.
Pour ce qui est des champs libres, il convient de sensibiliser les utilisateurs à l'éthique et leur demander de ne pas inscrire de données personnelles dans ces champs.
Voilà mon point de vue sur la question RGPD. Si vous le jugez nécessaire, je peux mettre sur le chantier le cryptage des données sensibles.
Cordialement,
YN