" sont concernés tous les organismes qui traitent des données personnelles pour le compte de...." Galette n est pas un organisme. Une association qui traite avec galette les données de ses adhérents ne le fait pas pour le compte d un tiers.... C est bien ça ou je comprends rien? Michel
Le 22 févr. 2018 20:03, "Gilles Vincent" <gilles.vinc...@gmail.com> a écrit : > Je précise sont concernés "tous les organismes qui traitent des données > personnelles pour le compte d’un autre organisme, dans le cadre d’un > service ou d’une prestation" > https://www.cnil.fr/fr/reglement-europeen-sur-la- > protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants > > Il sera illégal de collecter des données dont la pertinence par rapport > aux traitements de l'organisme ne pourra être démontrée. C'est un des > éléments les plus importants à retenir du RGPD : désormais c'est à > l'organisme de prouver qu'il est en conformité. Avant, on faisait des > déclarations à la CNIL et celle-ci devait prouver qu'on était en faute.. > > Pour prouver, il faut en particulier pouvoir tenir un registre des > traitements des DP. > Je ne connais pas finement la structure des données dans Galette, mais il > faut pouvoir identifier lesquelles sont à caractère personnel (identifiant > directement ou indirectement une personne) <-- Des logs de connexion sont > concernés -- Cela pour pouvoir anonymiser les données, à défaut de les > supprimer. > > .Gilles > > > > > > 2018-02-22 19:36 GMT+01:00 Gilles Vincent <gilles.vinc...@gmail.com>: > >> Salut la liste, >> >> d'autres contraintes se sont rajoutées par rapport à la CNIL telle que >> nous l'utilisons : >> - il faut pouvoir garantir un délai de suppression des données (ou >> justifier pour quelles finalité elle sont conservées, jusqu'à quand) >> - il faut pouvoir anonymiser les infos en cas de demande de suppression >> des données >> - il faut pouvoir exporter toutes les données personnelles d'une personne >> (la notion de DP est plus large que jusqu'à présent) >> - il faut que les consentements en amont de la collecte de données >> stipule tous les éléments liés au RGPD (en particulier des éléments >> spécifiques comme les prestataires et le transfert éventuel hors UE) >> - l'accès à la rectification / suppression / etc.. doit être aussi simple >> que la collecte (idéalement un bouton "supprimer définitivement mon compte" >> dans l'interface privée) >> - Il faut que l'on enregistre les consentements apportés par les >> utilisateurs (qui se fait via opt-in explicit - voire double opt-in) >> - il faut absolument éviter qu'on puisse accéder aux données personnelles >> qui ne nous concernent pas (Privacy by Default) >> - etc.. >> >> Tout cela fait beaucoup de points qui concernent le logiciel proprement >> dit ! >> >> Le règlement indique qu'à partir du 25 mai, toute utilisation de logiciel >> non conforme au RGPD sera illégale (en tout cas ça sent pas bon dans la >> mise en conformité de l'organisme). >> >> .Gilles >> -- >> >> 2018-02-22 11:06 GMT+01:00 Guillaume Rousse <guillomovi...@gmail.com>: >> >>> Le 22/02/2018 à 10:54, Michel Verdier a écrit : >>> >>>> Bonjour >>>> En quoi le développement de Galette est il concerné ? >>>> Ne s'agit il pas plutôt d'un problème de la responsabilité du >>>> gestionnaire et de l'association utilisatrice ? >>>> En consultant Wikipedia, j'ai vraiment pas l'impression que ce texte >>>> concerne les associations utilisatrices mais plutôt les multinationales >>>> friantes de données personnelles....et je n'ai rien trouvé concernant un >>>> <<format>> des applications utilisant des données personnelles. >>>> Enfin c'est mon avis.... >>>> >>> Bonjour. >>> >>> Galette n'est qu'un outil, ce n'est pas lui qui va faire la conformité >>> (ou pas), mais bien son usage, et en particulier: >>> - ou est-il installé (chez soi sur une machine physique ou quelque part >>> "dans le cloud" sans aucune maitrise de sa localisation) ? >>> - quelles sont les informations effectivement collectées (parce que >>> galette permet de tout faire, mais ne l'impose pas) ? >>> - ces informations sont elles pertinentes par rapport à l'objet de >>> l'association ? >>> - les membres de l'association en sont-ils informés ? >>> - etc... >>> >>> La seule chose que Galette pourrait éventuellement faciliter, c'est >>> l'insertion dans un des template de base d'une mention du type "pour >>> exercer votre droit de modification, contacter X", mais c'est a peu près >>> tout, chose qui demande aujourd'hui l'utilisation d'un template >>> personnalisé. >>> >>> Et accessoirement, les contraintes liées à la gestion des données >>> personnelles ne commencent pas le 25 avril avec la GDPR, elles existaient >>> déjà avant. Et pour les associations aussi, même si elles bénéficiaient >>> d'un certain nombre de mesures particulières. Je doute qu'elles soient plus >>> dans le collimateur de la CNIL demain qu'aujourd'hui, mais ça c'est de la >>> gestion de risque de comptoir :) >>> >>> A+ >>> -- >>> Guillaume >>> >>> -- >>> Galette users discussions >>> >>> http://galette.eu - http://galette.eu/documentation >>> http://bugs.galette.eu/projects/galette/ >>> >>> List documentation: https://listengine.tuxfamily.o >>> rg/lists.galette.eu/users/ >>> >>> >> >
