Registre des activités de traitement de Khaganat (RGPD)
Registre des traitements des données. Voir aussi le document de la CNIL.
Voir aussi :
- RGPD : se préparer en 6 étapes édité par la CNIL.
Actions menées actuellement :
- Désigner un pilote : à valider, Zatalyz a commencé le travail. Il faut aussi mettre en place des coordonnées pour l'asso, afin de limiter la divulgation des informations personnelles d'un individu
- Cartographier (remplir le Registre des activités de traitement) : en cours
- Actions à mener pour être en conformité par rapport aux données où c'est pas bien géré : à faire. En particulier mettre en place de quoi aider les personnes à dire “effacez-moi ces données ; dites-moi ce que vous avez collecté sur moi.”
- Gérer les risques (AIPD) : on n'est pas forcément concerné pour le moment, mais voir ce que ça demande.
- Contrôler qu'on répond à tous les besoins RGPD.
Définition
Voir aussi le glossaire de la CNIL.
- “Une donnée à caractère personnel correspond à toute information susceptible de permettre d'identifier, directement ou indirectement, une personne physique. Par exemple : un nom, un numéro client, une adresse courriel professionnelle, un numéro de téléphone, une photographie, une adresse IP, etc.” (Source : //Guide pratique : les durées de conservation//, CNIL).
- “Les archives sont l'ensemble des documents, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l'exercice de leur activité. La conservation des archives est organisée dans l'intérêt public tant pour les besoins de la gestion et de la justification des droits des personnes physiques ou morales, publiques ou privées, que pour la documentation historique de la recherche.” Source : Article L211-1 et L211-2 du Code du patrimoine
⇒ Les articles du wiki ou les messages du forum, par exemple, sont probablement des “archives”. Cela n'empêche pas d'enlever les éléments de type “donnée à caractère personnel” qui y sont contenues, après leur durée d'activité. Voir aussi Article 85 du RGPD - Traitement et liberté d'expression et d'information.
Informations
Coordonnées du responsable de l’organisme : Zatalyz (en attente d'une validation officielle du Collège)
C'est en cours, il faut qu'on aie une domiciliation de l'asso qui ne soit pas au domicile d'un de ses membres, et un numéro de téléphone propre à l'asso.
Nom
Adresse
N° téléphone
contact:@:khaganat.net
Activités de l’organisme impliquant le traitement de données personnelles :
- Fiche "Comptes de l'association"
- Fiche "Forum"
- Fiche "Inscription à la newsletter"
- Fiche "Registre de l'association"
- Hook Hébergeur des données
- Fiche modèle d'Activité
Une page par activité.
Il convient de noter tout ce qui peut être lié à une personne physique.
Pages non finalisées (notées en “brouillon”)
Pages où des actions restent à réaliser (notées “à faire”)
Page | Description | Étiquettes |
---|---|---|
Fiche "Registre de l'association" * Date de création de la fiche : 8 juin 2019 * Date de dernière mise à jour de la fiche : 8 juin 2019 * Nom du responsa… | rgpd, a faire | |
Fiche "Forum" Cette page sert de modèle pour déclarer les activités ; un modèle similaire est appelé lors de la création d'une page dans cet espace de nom. *… | rgpd, a faire |
Sources
TAF
Espace destiné à être effacé ; je note ici le boulot à faire et ce qui me passe par la tête, plutôt que d'y oublier.
Services et/ou endroits où on peut trouver des données personnelles :
forum : stocke des ip, des pseudos, des mails, potentiellement d'autres infos personnelles ici et là, cachées.Fait- pad : plus géré par Khaganat. Filtrer dans les anciens logs, là où certaines infos perso pourraient rester (entre autre les afk).
- Pour Numenaute : régler ça simplement avec le délai de 30 jours sans modif.
- Wiki : stocke des ip ? mails liés aux pseudos.
- Apache/nginx : dans les fichiers de log, ip. Voir délais légaux (on doit garder un certain temps, je crois ?) et l'adéquation avec logrotate.
- XMPP : pas nous mais jabberfr ; voir avec eux quels infos, etc (bref les aider sur leur propre rgpd)
- images (photoshow) : aucune idée si ça stocke quoi que ce soit
- gitlab : là ça doit stocker, mais les infos doivent aussi se trouver dans la doc de gitlab, avec de quoi gérer. Question sur les commits, associés à un mail souvent…
- cloud : qu'est-ce qui est stocké et où ?
- serveur de jeu : id… bon, pas le service le plus gênant vu son activité, on peut dire qu'on reset la base des utilisateurs tous les X mois.
- mails qui nous sont envoyés : on garde quoi, combien de temps ? Je garde les mails des gens s'abonnant/se désabonnant de la newsletter (justement pour éviter de perdre l'info ; mais l'idéal serait d'avoir une gestion plus pertinente (le tableur dans la cloud suffit à ça ?).