GDPR compliance #back-in-2018 #avantLaPandémie

[thibault-v]

But de cette issue

Discuter GDPR et voir quelles mentions devraient être faite sur Dochub.

(pro-tip: si vous voulez des ressources qui sentent bon la baguette, il faut google RGPD plutôt que GDPR <3)

Qui sommes-nous ?

Thibault (@thibault-v) :

J'ai eu des cours de droit qui m'ont parlé de vie privé, de loi vie privé (pré-gdpr) et aussi de GDPR. J'ai eu l'occasion de m'occuper de la gestion des données à caractère personnel dans un club sportif. Je suis pas juriste mais je pense avoir malgré tout une certaine familiarité avec le sujet, c'est pourquoi je me suis proposer pour lancer cette issue.
Si j'ai oublié des trucs ou que vous avez un avis (ou des sources ;-)) différente, discutons en !

André (@aantuness) :

J'ai eu des cours de droit qui m'ont parlé de loi vie privé (pré-gdpr) et aussi de GDPR. Je suis pas juriste mais je pense avoir malgré tout une certaine familiarité avec le sujet, c'est pourquoi je me suis proposé pour aider Thibault.

L'issue ci-présent est issue de notre collaboration.

C'est quoi une données à caractère personnel ?

"Les données à caractère personnel sont des informations se rapportant à une personne vivante identifiée ou identifiable. Différentes informations, dont le regroupement permet d’identifier une personne en particulier, constituent également des données à caractère personnel." (src: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_fr) (ou gdpr: Article 4 paragraphe 1)

Un pseudo, c'est déjà une donnée à caractère personnel puisque ça permet d'identifier quelqu'un. lié a un netid, c'est du traitement de données à caractère personnel.

Qu'est ce qu'on doit faire ? ("on" tout le monde)

Outre certaines mentions :

• quelles sont les informations traitées ? (+ dans notre cas ici : où on les obtient : de l'ulb)
• qui est le responsable du traitement (ASBL CI ? UrLaB ? DocHub corp. ?)
• "Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données. Pour cela, vous pouvez modifier vos paramètres dans les settings. Vous pouvez contacter [email protected]. (...)" (<- à mettre en contexte)

il faut absolument lister ce qui est fait avec les données à caractère personnel :

• lister la finalité du traitement : pourquoi on collecte quoi et ce qu'on fait avec ces données à caractère personnel.
• justifier sur quel base légale on fait chacune de ces "finalités".

Un exemple de finalité + justification (parfaitement fictif):

Nous partageons votre adresse mail ainsi que la liste des cours auquel vous êtes inscrit avec nos partenaires (les cercles) afin de mieux identifier vos centres d'intérêt et améliorer votre expérience utilisateur par la personnalisation des publicités pour vos beuveries préférées (ex: les informaticiens reçoivent des pubs pour les TD du CI).
Nous nous basons sur votre consentement licite et éclairé pour ce traitement (aka: t'as coché volontairement la case "j'accepte").

Un article qui parle des différentes bases légales (consentement, intérêt légitime, exécution d'un contrat, obligation légale,...):
https://fr.privacyvox.com/nouveau-reglement/introduction-au-rgpd/bases-legales-traitement/

Qu'est ce qu'on doit faire ? ("on" dochub)

Vu que Dochub fait peu de chose avec peu d'info (netid, nom, prénom, email universitaire) et qu'aucune n'est sensible (genre: donnée de santé, religion, orientation sexuel,...), je vous propose qu'on se limite à invoquer l'exécution d'un contrat. Le contrat était ici le faite de fournir le service Dochub.

Ça donnerai une mention de type:

• Responsable du traitement: le Cercle Informatique de l'ULB : Cerkinfo ASBL
• Nous traitons vos noms, prénoms, netid et adresse email dans l'unique finalité de vous fournir le service Dochub. Ces données ne sont pas partagées avec d'autres entités que DocHub (CI+UrLab) et l'ULB. La base légal de cet finalité est donc l'exécution d'un contrat entre vous et DocHub.
• Vous pouvez accéder aux données vous concernant ou demander leur effacement en contactant [email protected]. Vous pouvez exercer vos autres droits auprès de l'ULB (voir: https://www.ulb.be/en/legal-notice ).

(André)
Il serait également intéressant d'envisager de chiffrer la base de donnée.

• Envisager chiffrement des données