Salut la liste,

d'autres contraintes se sont rajoutées par rapport à la CNIL telle que nous
l'utilisons :
- il faut pouvoir garantir un délai de suppression des données (ou
justifier pour quelles finalité elle sont conservées, jusqu'à quand)
- il faut pouvoir anonymiser les infos en cas de demande de suppression des
données
- il faut pouvoir exporter toutes les données personnelles d'une personne
(la notion de DP est plus large que jusqu'à présent)
- il faut que les consentements en amont de la collecte de données stipule
tous les éléments liés au RGPD (en particulier des éléments spécifiques
comme les prestataires et le transfert éventuel hors UE)
- l'accès à la rectification / suppression / etc.. doit être aussi simple
que la collecte (idéalement un bouton "supprimer définitivement mon compte"
dans l'interface privée)
- Il faut que l'on enregistre les consentements apportés par les
utilisateurs (qui se fait via opt-in explicit - voire double opt-in)
- il faut absolument éviter qu'on puisse accéder aux données personnelles
qui ne nous concernent pas (Privacy by Default)
- etc..

Tout cela fait beaucoup de points qui concernent le logiciel proprement dit
!

Le règlement indique qu'à partir du 25 mai, toute utilisation de logiciel
non conforme au RGPD sera illégale (en tout cas ça sent pas bon dans la
mise en conformité de l'organisme).

.Gilles
--

2018-02-22 11:06 GMT+01:00 Guillaume Rousse <guillomovi...@gmail.com>:

> Le 22/02/2018 à 10:54, Michel Verdier a écrit :
>
>> Bonjour
>> En quoi le développement de Galette est il concerné ?
>> Ne s'agit il pas plutôt d'un problème de la responsabilité du
>> gestionnaire et de l'association utilisatrice ?
>> En consultant Wikipedia, j'ai vraiment pas l'impression que ce texte
>> concerne les associations utilisatrices mais plutôt les multinationales
>> friantes de données personnelles....et je n'ai rien trouvé concernant un
>> <<format>> des applications utilisant des données personnelles.
>> Enfin c'est mon avis....
>>
> Bonjour.
>
> Galette n'est qu'un outil, ce n'est pas lui qui va faire la conformité (ou
> pas), mais bien son usage, et en particulier:
> - ou est-il installé (chez soi sur une machine physique ou quelque part
> "dans le cloud" sans aucune maitrise de sa localisation) ?
> - quelles sont les informations effectivement collectées (parce que
> galette permet de tout faire, mais ne l'impose pas) ?
> - ces informations sont elles pertinentes par rapport à l'objet de
> l'association ?
> - les membres de l'association en sont-ils informés ?
> - etc...
>
> La seule chose que Galette pourrait éventuellement faciliter, c'est
> l'insertion dans un des template de base d'une mention du type "pour
> exercer votre droit de modification, contacter X", mais c'est a peu près
> tout, chose qui demande aujourd'hui l'utilisation d'un template
> personnalisé.
>
> Et accessoirement, les contraintes liées à la gestion des données
> personnelles ne commencent pas le 25 avril avec la GDPR, elles existaient
> déjà avant. Et pour les associations aussi, même si elles bénéficiaient
> d'un certain nombre de mesures particulières. Je doute qu'elles soient plus
> dans le collimateur de la CNIL demain qu'aujourd'hui, mais ça c'est de la
> gestion de risque de comptoir :)
>
> A+
> --
> Guillaume
>
> --
> Galette users discussions
>
> http://galette.eu - http://galette.eu/documentation
> http://bugs.galette.eu/projects/galette/
>
> List documentation: https://listengine.tuxfamily.o
> rg/lists.galette.eu/users/
>
>

Répondre à