Il n’y a pas d’urgence pour le RGPD. L’échéance de mai 2018, c’est de nommé un DPO si vous êtes concernés.
En gros aujourd’hui il faut pouvoir prouver qu’une démarche est engagée et c’est tout.
Rendre Dolibarr compatible ne va pas être un gros dossier au niveau national
Globalement, il va falloir anonymiser les données anciennes si plus d’intérêt légal de les avoir avec les noms. ça ne me parait pas très compliqué.
Il va falloir du SSL sur les hébergement qui n’en ont pas !
Avoir des mots de passe sérieux et chiffrés.
Qui plus est le RGPD fait appel a des textes nationaux (Loi Info et libertés pour la France) sauf que les textes ne sont pas encore parus.
@+
D’accord avec toi concernant Dolibarr, il n’y a pas grand chose à modifier, mais là n’est pas le problème. C’est plus un travail de mise en conformité des procédures pour respecter le RGPD. Et là, il y a du travail (voir en pj)
pdf_6_etapes_interactifv2.pdf (637 KB)
! Par contre, le RGPD adopté le 27 avril 2016 par le Parlement européen et le Conseil de l’UE est directement applicable en France (sans loi de transposition) le 25 mai 2018. Il remplacera la directive de 1995 (n°95/46/CE) et prévaudra sur la loi française (y compris la loi de 1978 dite Loi Informatique et Libertés). Sur ce point les textes sont très clair.
@julio13
Pour Dolibarr, il y a juste les points que j’ai précisé je pense. Par contre effectivement, va falloir que les entreprises s’organisent.
Je te le confirme que pour certains points le RGPD renvoi aux lois nationales et c’est normal. Des choses existent ou pas dans certains pays donc dans ce cas c’est la loi nationale qui prend le relai et ou s’additionne. Pour exemple, la réglementation sur l’état civil !
Et si tu traites en international, là tu commences à rigoler
Effectivement, reste que mon premier post traitait de Dolibarr mais au sens application hébergée, donc avec un sous-traitant.
Le Règlement prévoit que les entreprises ou associations doivent définir leur stratégie sur la protection des données. C’est une composante essentielle pour être en conformité avec le RGPD. A cet effet, elles doivent, je cite:
« Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées. »
Dans le cadre d’un hébergement sur serveur mutualisé, l’hébergeur est considéré comme un ‹ sous-traitant ›, car même s’il n’a pas d’action sur les données à proprement parler, il garanti la sécurité des données et assure un traitement via la sauvegarde des données.
le RGPD ‘CHAPITRE IV - Responsable du traitement et sous-traitant’ prévoit notamment :
article 28 : Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement….
Sur le site de la CNIL, on trouve des exemples de clauses de sous-traitance proposés dans l’attente de l’adoption de clauses contractuelles types au sens de l’article 28 du règlement européen sur la protection des données. Elles peuvent être insérées dans nos contrats et doivent être adaptées et précisées selon la prestation de sous-traitance concernée.
En tout cas, pour ce qui me concerne, j’ai sollicité mon hébergeur (Infomaniak) dans ce sens. J’attends sa réponse…
Bonjour,
En tant qu’hébergeurs (Open-dsi, etc…) dans le cadre du RGPD, avez-vous contractualisé avec vos clients ? (modèle de clauses contractuelles de la CNIL)
Bonjour,
Pour répondre à certains, oui il faut contractualisé avec les clients et sous-traitants.
Merci à tous pour vos liens mais cela ne permet pas d’implémenter le RGPD dans Dolibarr.
Il va falloir des nouvelles fonctions dans Dolibarr pour l’application du RGPD et tout ça selon les différentes réglementation.
Quelqu’un a t-il avancé sur le sujet ? Des scripts, esquisses…
Petit retour sur le module d’inovea : super module qui permet d’enregistrer la conformité avec le RGPD : simple, très fonctionnel, efficace !
C’est bluffant : une petite configuration du mail type à envoyé à vos contacts, configuration des messages en cas d’acceptations ou de refus d’utilisations des données, une petite vérification du contenu du mail sur un contact « test », puis un petit clic, et la récolte des consentement est automatiques : les contacts recevaient un mail, y répondent, et dans chaque fiche vous savez qui consent et qui refuse !
Et voila une conformité sur ce point …
Une raison de moins de finir en prison : P !
Quelle bonheur de diriger une TPE « formation » aujourd’hui !
Un règlement « à la con » chaque année ou presque !
Je ne sais pas si c’est le bon fil pour poster ou bien s’il aurait fallu ouvrir un nouveau sujet.
Je viens de tester le module encore expérimental « Protection des données » de Dolibarr (avec une v12).
Ce module ne semble pas beaucoup évoluer depuis la v9, pourtant, il faut rappeler que responsables de traitement doivent s’assurer que leurs outils informatiques, et donc Dolibarr, permettent de mettre en œuvre les obligations de traitement des données personnelles.
Le module mis en place permet de définir une durée au-delà de la quelle les données des contacts sont supprimées. Il pourrait être pertinent de définir aussi une durée d’archivage des données pour respecter le cycle suivant, en 3 périodes :
1 exploitation active des données ; il n’y a plus d’exploitation active des données à partir du moment où il n’y a plus de lien avec le tiers, par exemple le contrat est terminé.
2 archivage : c’est la période pendant laquelle on peut éventuellement encore avoir besoin d’accéder aux données, mais elles n’ont plus besoin d’être actives dans la base. L’accès peut être réservé à certains services de l’entreprise, certaines personnes. Par exemple service après-vente, service juridique.
3 suppression
Tout cela est fort bien expliqué par la CNIL elle même :
Depuis cette page, on peut téléchargement un guide pratique au format pdf qui traite de cette question de durées de conservation des données. Il est tout récent (été 2020)
Au besoin, je suis à disposition des développeurs sur ces points.
Je deterre un vieux sujet, pour savoir où on en est du développement de qqch dans le core et pour savoir si qqn à tester le module d’inovea ci-dessous :
Nous avions relâché le code de notre module en 2018, module datapolicy dans le coeur.
Mais il est toujours en dev ou experimental.
Nous avons repris le maintien de notre module suite au demande d’utilisateurs.
Mais oui il faudrait terminer cette integration dans le coeur…
Merci de ces précisions @Inovea , mais j’avoue que je ne suis pas sûr de savoir comment avancer sur le sujet.
Est-ce qu’on peut imaginer que vous relâchez vos MAJ dans le core où est-ce qu’on doit poursuivre le dev communautaire ?
J’en ai besoin rapidement pour une association. Je voulais donc voir s’il y avait de l’existant ou s’il fallait proposer des PR. Comme j’ai peur que la suppression entraîne des bug de liens casse et que j’ai besoin de conserver certaines données pour des raisons statistiques, je serai parti sur l’idée de @erics d’anonymser les données plutôt que de tenter de les supprimer.
Il ne faut pas seulement pousser les modifs, il faut les reprendre pour les intégrer au coeur avec la logique coeur et le renommage entre les modules…
Notre module supprime certaines choses mais surtout il anonymise.
Le plus gros soucis c’est la vision communautaire car lors de son intégration nous avons beaucoup echangé en devcamp sur les autres visions du rgpd… et y a du taf.
Car nous avons notre vision française des choses et aussi les aberations inhérentes à une anonymisation…ex anonymiser un adhérent soit mais comment on saura qu’il a été adherent s’il s’appelle Anonyme Anonyme et son mail [email protected]…
En tout cas, c’est une base !!! A vos/nos claviers…
