Le registre des traitements (RGPD)

, par  Alain Laponche --- ---

Présentation du registre des traitements

La CNIL détaille le contenu attendu pour chaque activité de traitement de données personnelles :

  1. le nom et les coordonnées du responsable du traitement mis en œuvre
  2. les finalités du traitement, l’objectif en vue duquel les données ont été collectées
  3. les catégories de personnes concernées (client, prospect, employé, etc.)
  4. les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)
  5. les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels on recoure
  6. les délais prévus pour l’effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer
  7. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre

Exemple de registre proposé par la CNIL

Cas de la section CLIO

Deux activités recensées :
No 1 : Liste des intervenants sur le site web Orbi
No 2 : Listes de diffusion pour courrier interne ou marketing de la section

Ces 2 activités mettant en oeuvre des données nominatives sont sous la responsabilité de Mr Alain Laponche, animateur bénévole de la section "Club Loisirs Informatique de l’ORB" (dénommé CLIO)

Activité 1 : Gestion des intervenants sur notre site orbi

Objectifs

  • Accès aux zones protégées du site web www.orbi.infini.fr
  • Communication entre nos membres
  • Gestion d’un trombinoscope des membres
  • Identification des auteurs d’articles publiés

Personnes concernées par la collecte d’informations nominatives

  • Les membres du club
  • Les auteurs d’articles publiés sur notre site à partir d’un flux RSS externe (au 11/06/18, seulement les articles de @Brest)

Informations collectées
 Pour les membres : Nom, prénom, mail et leur identifiant d’accès au site sont obligatoires. Ils peuvent fournir en plus une courte biographie et une photo d’identité. La bibliographie est normalement axée sur leurs compétences informatiques et sur leurs attentes du club
 Pour les auteurs : uniquement leur nom tel qu’il figure dans le flux RSS intégré au site
Associé à chaque identifiant, on trouve :
 les droits d’accès (lecture / écriture / administration selon les différentes zones du site web)
 des mots-clé (au 11/06/18, les seuls codes utilisés sont "membre", "auteur", "invité", "animateur" et "webmestre").
Des personnes peuvent être invitées à se connecter à notre site. Mais dans ce cas, un identifiant générique leur est fourni, sans aucune collecte d’information personnelle.
Il n’y a pas d’utilisation de cookies, d’adresse IP, de traces de navigation. Les statistiques disponibles sont anonymes.

Durée de conservation
 Pour les membres, l’accès du site est verrouillé dès leur démission du club, et leurs données personnelles n’apparaissent plus dans le trombinoscope. Ces données ne sont plus accessibles qu’en mode administrateur pendant un an au maximum. Elles sont ensuite supprimées, sauf les nom et prénom des auteurs d’articles ou de posts dans le site web. Dans ce cas, la disparition de ces 2 informations ne pourra avoir lieu que quand tous les articles et posts où ils interviennent seront supprimés
 Pour les auteurs externes d’articles syndiqués, leurs nom et prénom disparaissent avec leurs articles au bout de x mois (x non encore défini, en raison d’une difficulté technique)

Destinataires des informations
 les membres du Club
 les personnes invitées, toujours avec des droits d’accès provisoire
Parmi ces invités, il peut y avoir :
 des personnes souhaitant avoir une idée de notre activité avant une inscription définitive
 des membres de la direction ORB
 un (ou des) technicien(s) de la société Infini qui héberge notre site, quand suite à un incident, ils ont besoin d’intervenir sur notre demande

Les lecteurs de notre site qui ne sont ni membres, ni invités n’ont accès à aucune information nominative (en dehors de l’indication de l’auteur des articles ou des photographies).
Toutefois, un article rédigé par un auteur, qu’il soit interne au club, ou externe, via les articles syndiqués, peut contenir des informations nominatives sous la seule responsabilité de leurs auteurs.

Gestion des données
Ces données sont enregistrées dans une base de données SQLite et utilisées par SPIP, un système de gestion de contenu (CMS) libre, assurant la publication des données sur le web. Notre hébergeur (base de données et serveur web) est une association brestoise, Infini, dont nous sommes membres. Le principal contributeur est la Mairie de Brest.

Les mesures de sécurité
L’accès à ces données nominatives est contrôlé par les services proposés par SPIP. Et nous faisons appel au plugin "Accès restreint" pour gérer l’accès en fonction de l’identifiant fourni. Au 11/06/2018, nous mettons en oeuvre toutes les dernières version disponibles pour ces outils.
Nous utilisons également l’écran de sécurité SPIP pour éliminer les
attaques liées aux plus récents trous de sécurité découverts, alors que ceux-ci n’ont pu encore être traités dans la dernière version SPIP installée.

La sauvegarde des données est assurée par notre prestataire Infini. La périodicité et leur durée de conservation dépendent d’eux. A consulter !
S’agissant d’une structure associative assurant la promotion des produits libres et de la protection des données, nous faisons confiance dans l’organisation d’Infini pour protéger au mieux nos données. A valider !

A noter que nous avons accès via un service FTP à la totalité de l’implémentation de notre site SPIP chez cet hébergeur. En théorie, on peut donc déceler toute modification du code SPIP d’origine.

L’accès au site n’est pas chiffré.

Le mot de passe de chaque membre est choisi par lui. Il n’est pas connu du webmestre, sauf lors de la création du compte. Il peut être modifié à tout moment par le membre. Il n’y a pas d’évaluation de la ’qualité’ des mots de passe utilisés.

Tout article signalé au webmestre comme pouvant poser problème au sens de l’application de la RGPD sera examiné et le cas échéant corriger ou supprimé. Toutes nos pages prévoient un lien vers un formulaire "Contact" pour ce faire.

Le trombinoscope :
 n’est accessible qu’après identification
 ne présente pas d’adresse mail (même si un bouton permet d’envoyer à chacun un mail)
 la photo, la bibliographie et l’éventuel no de téléphone ne sont portés qu’avec l’accord explicite de la personne concernée
 ne liste que des personnes effectivement membres

Activité 2 : Les listes de diffusion

Objectifs

  • Liste de diffusion pour le courrier échangé entre les membres du club
  • Liste de diffusion pour la promotion de notre club (publicité, newsletter, ...)

Personnes concernées

  • Les membres du club (actuels ou anciens)
  • Les personnes ayant répondu à un questionnaire sur la création du club
  • Des personnes ayant explicitement indiquées qu’elles souhaitaient recevoir des informations sur les conférences Internet de l’ORB
  • L’effectif du groupe Formation ORB

Informations collectées
 Nom, prénom et mail fournis par la personne (1)
 Date d’insertion dans la liste (automatique)
 Défaut éventuellement constaté dans la réception des mails
(1) Collecte exclusivement réalisée à partir d’un écrit de la personne (sur papier ou en ligne)

Durée de conservation
Jusqu’à la demande de retrait formulée par la personne elle-même
Il y a suppression (manuelle) si 2 envois successifs de mail échouent

Destinataires des informations
Uniquement le responsable du club

Traitement des données
Ces données sont enregistrées dans le produit libre de gestion de liste de diffusion, Sympa. Notre hébergeur est une association brestoise, Infini, dont nous sommes membres.

Les mesures de sécurité
Toute utilisation de ces listes est soumise à l’accord du responsable. Celui-ci reçoit donc à chaque demande un mail avec
 la (ou les) liste(s) à mettre en oeuvre
 le texte du message à diffuser
Ceci évite l’utilisation de ces listes par des "spammeurs"

La mise à jour des lites Sympa se fait soit en ligne (site web protégé par un identifiant et un mot de passe), soit au travers de commandes mail (qui, pour être acceptés, doivent avoir comme émetteur, le mail du responsable de cette activité)

La sauvegarde des données est assurée par notre prestataire Infini. La périodicité et leur durée de conservation dépendent d’eux. A consulter !