Garradin

RGPD

Garradin est-il en accord avec le RGPD ? (GDPR en anglais)

En premier les obligations qui incombent à votre association :

Obligations vis à vis de l'utilisateur

  • Suppression / modification des données utilisateurs à la demande de celui-ci
  • S'assurer du consentement explicite de l'utilisateur pour transmettre ses données à des tiers (case à cocher décochée par défaut, par exemple)
  • Informer les tiers qui détiennent une copie des données lors d'une demande de suppression / modification
  • Permettre aux utilisateurs de modifier leurs données eux-même (par la configuration adéquate de la fiche membre)
  • Effacement des données quand elles ne sont plus nécessaires
  • Ne pas utiliser des données utilisateur réelles lors de tests internes
  • Tenue de registre, gestion de crises etc. (un outil pour aider serait PIALab). La tenue de registre n'est nécessaire que pour les assos de plus de 250 employés.
  • Ne pas utiliser les données pour d'autres finalités que ce à quoi l'utilisateur à donné son accord.
  • Ne pas collecter plus de données que nécessaire : avez-vous vraiment besoin de la date de naissance ? De l'adresse postale ? etc.

Obligations techniques

  • Sécurisation des données (notamment : utiliser un VirtualHost ou s'assurer que les bases de données SQLite de Garradin ne sont pas téléchargeables)
  • Information des utilisateurs dans les 72 heures en cas de faille de sécurité
  • Protection de l'accès aux données utilisateur (en activant par exemple l'authentification à deux facteurs pour les comptes administrateurs)
  • Chiffrement du stockage des données utilisateurs et des sauvegardes

Voici les obligations qui sont assumées par Garradin à ce jour :

  • Affichage des données de l'utilisateur (fiche membre, cotisations)
  • Modification des données par l'utilisateur (fiche membre)
  • Pas de cookie de suivi, pas de transmission de données à des tiers
  • Protection possible de l'accès aux données utilisateur (double facteur, mot de passe fort)

Et celles qui manquent actuellement :

  • Export de toutes les données d'un utilisateur dans un format inter-opérable (JSON) : contributions wiki, écritures comptables, fiche membre, etc.
  • Affichage des données manquantes à l'utilisateur (contributions wiki, écritures comptables)
  • Suppression des anciens membres et autres données expirées
  • Log des accès aux données utilisateur en lecture / écriture

Sources :