2018-02-22 19:44 GMT+01:00 Michel Verdier <anatole...@gmail.com>:

> Je persiste à penser -à tort certainement-  que ceci ne nous concerne
> pas.Tout ceci v revient à dire que tous les logiciels associatifs seront
> hors la loi....et alors? Il y aura trop de monde à poursuivre....et par qui
> ?
> Un peu de bon sens quand même....
> Vos avis?
> Michel
>

La chaine de responsabilité est partagée sur tout ceux qui collectent ou
traitent les données.
Par exemple, si tu es victime d'une attaque, qu'un hacker vole des listes
de mails et les utilisent pour envoyer des virus. Les victimes (leurs
assureurs et juristes) pourront se retourner contre toi si tu n'es pas
conformes.
Il est impossible d'être conforme à 100% pour 2018, soyons clairs. Mais il
faut commencer le plus tôt possible à lancer une démarche de mise en
conformité, sinon en cas de faille on aura beaucoup de mal à justifier et à
éviter les pénalités.
.Gilles




>
> Le 22 févr. 2018 19:37, "Gilles Vincent" <gilles.vinc...@gmail.com> a
> écrit :
>
>> Salut la liste,
>>
>> d'autres contraintes se sont rajoutées par rapport à la CNIL telle que
>> nous l'utilisons :
>> - il faut pouvoir garantir un délai de suppression des données (ou
>> justifier pour quelles finalité elle sont conservées, jusqu'à quand)
>> - il faut pouvoir anonymiser les infos en cas de demande de suppression
>> des données
>> - il faut pouvoir exporter toutes les données personnelles d'une personne
>> (la notion de DP est plus large que jusqu'à présent)
>> - il faut que les consentements en amont de la collecte de données
>> stipule tous les éléments liés au RGPD (en particulier des éléments
>> spécifiques comme les prestataires et le transfert éventuel hors UE)
>> - l'accès à la rectification / suppression / etc.. doit être aussi simple
>> que la collecte (idéalement un bouton "supprimer définitivement mon compte"
>> dans l'interface privée)
>> - Il faut que l'on enregistre les consentements apportés par les
>> utilisateurs (qui se fait via opt-in explicit - voire double opt-in)
>> - il faut absolument éviter qu'on puisse accéder aux données personnelles
>> qui ne nous concernent pas (Privacy by Default)
>> - etc..
>>
>> Tout cela fait beaucoup de points qui concernent le logiciel proprement
>> dit !
>>
>> Le règlement indique qu'à partir du 25 mai, toute utilisation de logiciel
>> non conforme au RGPD sera illégale (en tout cas ça sent pas bon dans la
>> mise en conformité de l'organisme).
>>
>> .Gilles
>> --
>>
>> 2018-02-22 11:06 GMT+01:00 Guillaume Rousse <guillomovi...@gmail.com>:
>>
>>> Le 22/02/2018 à 10:54, Michel Verdier a écrit :
>>>
>>>> Bonjour
>>>> En quoi le développement de Galette est il concerné ?
>>>> Ne s'agit il pas plutôt d'un problème de la responsabilité du
>>>> gestionnaire et de l'association utilisatrice ?
>>>> En consultant Wikipedia, j'ai vraiment pas l'impression que ce texte
>>>> concerne les associations utilisatrices mais plutôt les multinationales
>>>> friantes de données personnelles....et je n'ai rien trouvé concernant un
>>>> <<format>> des applications utilisant des données personnelles.
>>>> Enfin c'est mon avis....
>>>>
>>> Bonjour.
>>>
>>> Galette n'est qu'un outil, ce n'est pas lui qui va faire la conformité
>>> (ou pas), mais bien son usage, et en particulier:
>>> - ou est-il installé (chez soi sur une machine physique ou quelque part
>>> "dans le cloud" sans aucune maitrise de sa localisation) ?
>>> - quelles sont les informations effectivement collectées (parce que
>>> galette permet de tout faire, mais ne l'impose pas) ?
>>> - ces informations sont elles pertinentes par rapport à l'objet de
>>> l'association ?
>>> - les membres de l'association en sont-ils informés ?
>>> - etc...
>>>
>>> La seule chose que Galette pourrait éventuellement faciliter, c'est
>>> l'insertion dans un des template de base d'une mention du type "pour
>>> exercer votre droit de modification, contacter X", mais c'est a peu près
>>> tout, chose qui demande aujourd'hui l'utilisation d'un template
>>> personnalisé.
>>>
>>> Et accessoirement, les contraintes liées à la gestion des données
>>> personnelles ne commencent pas le 25 avril avec la GDPR, elles existaient
>>> déjà avant. Et pour les associations aussi, même si elles bénéficiaient
>>> d'un certain nombre de mesures particulières. Je doute qu'elles soient plus
>>> dans le collimateur de la CNIL demain qu'aujourd'hui, mais ça c'est de la
>>> gestion de risque de comptoir :)
>>>
>>> A+
>>> --
>>> Guillaume
>>>
>>> --
>>> Galette users discussions
>>>
>>> http://galette.eu - http://galette.eu/documentation
>>> http://bugs.galette.eu/projects/galette/
>>>
>>> List documentation: https://listengine.tuxfamily.o
>>> rg/lists.galette.eu/users/
>>>
>>>
>>

Répondre à