RGPD et Framasoft
L'objet de cette page est de journaliser les différentes étapes du groupe de travail chargé de la mise en conformité de l'association Framasoft avec le RGPD.
Contexte
Le RGPD est entré en application en 2018. À ce jour (octobre 2021), Framasoft n'est toujours pas conforme. Même si l'association a toujours fait le nécessaire pour assurer et respecter la vie privée de ses utilisateur‧ices et pour assurer la sécurité de leurs données, il est désormais nécessaire de cartographier quelles données nous possédons, pour quels usages, qui y accède, combien de temps elles sont conservées, comment elles sont protégées (informations notamment exposées dans le registre des traitements) ainsi que de s'assurer que les utilisateur‧ices peuvent exercer les droits assurés par le RGPD (information sur l'utilisation des données, consultation, modification, droit à l'oubli, portabilité des données).
De 2018 à 2021, plusieurs relances sur le sujet ont été effectuées par différents membres de l’association pour avancer sur le sujet. Cela a mené à faire une première analyse des services dans un fichier Framacalc, puis à l’établissement de plusieurs fiches structurées (nom de code : Framadata). La dernière relance en février 2021 a établi la nécessité de faire appel à un‧e prestataire externe pour accompagner Framasoft. Un budget de 5 000 € dédié au RGPD a été voté lors de l’Assemblée Générale en mai 2021.
À partir d’août, deux membres de l’association (Gavy et Marien) prennent la responsabilité d’avancer dessus en y dédiant du temps de manière régulière. La société Stella est contactée pour nous accompagner et une première journée d’accompagnement est organisée en septembre 2021 à Lyon.
Depuis, des ateliers sont organisés pour avancer sur les fiches de registre et les recommandations de l’audit (voir « État d’avancement »).
Organisation
Voici différents outils que nous utilisons pour nous organiser :
- Framateam pour discuter de manière instantanée
- Une liste de diffusion pour dialoguer avec les personnes externes
- Framaboard pour organiser les tâches à faire
- Framapad (via MyPads) pour établir le registre de données
- Nextcloud pour stocker les documents
- Ce wiki pour informer sur l’avancée du travail
État d’avancement
Faire valider un budget par l’association(mai 2021)Contacter une société pour nous accompagner(août 2021)Participer à une journée d’information et d’audit(septembre 2021)Établir une v1 de la liste des traitements de données(octobre 2021)Établir un template de fiche de registre(octobre 2021)- Remplir les fiches de registre pour chaque traitement (en cours, 23 fiches établies sur 25)
- Établir un registre de sous-traitance
- Établir un registre de violations de données
- Adresser les autres recommandations de l’audit
- Publier les différents registres et fiches pour le grand public (ça va être long :))
Informations utiles
Nous avons l'obligation légale de fournir un moyen d'effacer les données, pas forcément de le faire manuellement ; ce qui peut être pratique pour les envois automatiques de demandes Data Removal Request
avec la phrase :
Please note that I am not looking for instructions on how to delete my account, I want you to delete all my data due to this request
Questions
- Quelle charge de travail / implication pour l'équipe salariée Framasoft ?