Le #RGPD concerne tous les organismes qui manipulent des données
identifiant de manière directe ou indirecte des personnes en Europe.
Même des adresses IP sont concernées.

Les cookies bar sont effectivement concernées car en principe il faudrait
en vrai interdire toute collecte de cookie. Cela devrait déjà être le cas,
mais en pratique c'est souvent un simple message avec quelques liens vers
une page d'info. Mais le consentement préalable à toute collecte doit
désormais se faire " de façon libre, spécifique, éclairée et univoque ".
Cela renforce pas mal de trucs :)

Il y a d'autres plugin pour lesquels il faudra être vigilent car ils sont
moyennement conformes au RGPD : je pense particulièrement au plugin
Adminer. Avoir une action plus contraignante pour mieux vérifier les droits
d'accès serait un plus pour respecter le "privacy by default".
Dans le même goût, je pense qu'il faudrait aussi encrypter les sauvegardes
(de toute manière, il sera illégal de copier des bases d'un site à un autre
sans l'accord des individus concernés ;)

Je ne connais pas précisément le fonctionnement des plugins de newsletter,
mais il faudra mettre en place (si ce n'est pas le cas) un opt-in (voire un
double opt-in) avec un message précis (et contextualisé) sur l'utilisation
des données collectées.
Pas grand chose donc, juste quelques formulaires à nettoyer probablement :)

J'ai le sentiment que le plugin Formulaire et Tables n'est absolument pas
conforme actuellement. Il faudrait que chaque colonne ait un flag "donnée à
caractère personnel" pour un traitement (affichage, modification,
anonymisation, export, ..) spécifique.

Idéalement, il faudrait avoir un espace collaboratif pour communiquer sur
le RGPD et aider les développeur à mettre à jour leurs devs. cela pourrait
se faire sous la forme d'un mini-site rgpd.spip.net avec des infos
explicatives et un forum dédié. Qu'en dites-vous ?

.Gilles


2018-02-22 8:28 GMT+01:00 Valéry-Xavier Lentz <vle...@gmail.com>:

> Le plugin est préférable en effet car le RGPD ne concerne quel'Europe et
> ses prescriptions ne sont pas généralisées.
>
> Les cookies bar sont elles liées au RGPD ?
>
> On pourrait aussi imaginer un menu de configuration Vie privée avec des
> options, et une preeconfiguration RGPD.
>
>
> Le mer. 21 févr. 2018 18:49, Gilles Vincent <gilles.vinc...@gmail.com> a
> écrit :
>
>> Le plugin est en effet une très bonne option.
>> Le plugin https://www.gdprwp.com/roadmap/ me semble une très bonne voie
>> à suivre.
>> Perso je suis en train de travailler sur un site intranet associatif
>> motorisé par SPIP, je vais creuser cette piste.
>> A suivre.
>>
>> .Gilles
>>
>>
>>
>> 2018-02-21 18:04 GMT+01:00 <ced...@yterium.com>:
>>
>>> Hello,
>>>
>>> sur le plugin mailsubscribers on a une fonction d’anonymisation de ce
>>> type pour les gens qui se désinscrivent de tout, le but étant de conserver
>>> une trace pour ne pas risquer de les réinscrire par erreur sans pour antant
>>> avoir leurs infos en clair.
>>>
>>> Ce n’est pas toujours compréhensible pour tout le monde, c’est un aspect
>>> user à traiter.
>>> Mais surtout il ne faut surtout jamais le faire *immediatement* car une
>>> fois les infos hashées tu ne sais pas revenir en arrière.
>>> Donc en cas de fausse manip ou de changement d’avis tu es vite très
>>> embêtés.
>>>
>>> Il me semble que cela pourrait faire l’objet d’un plugin RGPD qui se
>>> charge d’anonymiser les informations nécessaires en tache cron, avec des
>>> délais adaptés ou configurables pour chaque type d’information et sa
>>> sensibilité…
>>>
>>> Il y a potentiellement des implications techniques à réflechir, sur la
>>> réinscription, les collisions éventuelles sur l’unicité du login hashé vs
>>> pas hashé etc.
>>> Donc traiter ça dans un plugin me parait à la fois plus souple et permet
>>> de tester sur des sites avant de généraliser un truc pas anodin.
>>>
>>> --
>>> Cédric
>>>
>>> On 21 févr. 2018 à 17:59 +0100, Gilles Vincent <gilles.vinc...@gmail.com>,
>>> wrote:
>>>
>>> Salut,
>>>
>>> le mode de traitement des auteurs SPIP qui consiste à le mettre à la
>>> poubelle pour le supprimer me semble contraire au Règlement Général de
>>> Protection des Données (personnelles).
>>>
>>> En principe, si on supprime un utilisateur, c'est qu'on en veut plus,
>>> qu'on en a plus besoin. Et le RGPD interdit de garder sous le coude des
>>> données personnelles dont la finalité n'est pas justifiée.
>>>
>>> Je propose que l'action de mise à la poubelle anonymise l'auteur
>>> (nom/prénom/email/clé/url remplacé par un hash par ex.).
>>>
>>> Bien sûr c'est le type de traitement qu'il faudra adapter pour les
>>> plugins auteur étendu et champs extras (en ajoutant une case "donnée à
>>> caractère personnel" voire "donnée sensible").
>>>
>>> Qu'en pensez-vous ?
>>>
>>> .Gilles
>>> _______________________________________________
>>> liste: http://listes.rezo.net/mailman/listinfo/spip-dev
>>> doc: http://www.spip.net/
>>> dev: http://trac.rezo.net/trac/spip/
>>> irc://irc.freenode.net/spip
>>>
>>>
>> _______________________________________________
>> liste: http://listes.rezo.net/mailman/listinfo/spip-dev
>> doc: http://www.spip.net/
>> dev: http://trac.rezo.net/trac/spip/
>> irc://irc.freenode.net/spip
>
> --
>
> Envoyé depuis mon mobile.
>
_______________________________________________
liste: http://listes.rezo.net/mailman/listinfo/spip-dev
doc: http://www.spip.net/
dev: http://trac.rezo.net/trac/spip/
irc://irc.freenode.net/spip

Répondre à