Appliquer la charte chatons suffit-il à être tranquille côté RGPD?

#1

Bonjour,

Je suis membre de l’APRIL et d’un GULL dans le Rhône sur le secteur caladois (Villefranche sur Saone / Beaujolais) : le CAGULL.fr. Après avoir expérimenté des services de diverses manières, nous sommes en train de monter une instance à base de VPSs chez Milkywan que nous espérons pouvoir intégrer au réseau des CHATONS.

Afin d’optimiser les tâches d’ordre juridique, nous nous demandions si le fait de respecter la charte CHATONS induisait de facto le respect du RGPD auquel cas nous nous limiterions à l’étude et à l’application de celle-ci.

Merci d’avance et coucou à @pyg à qui je pense quand je suis à Beaubery. D’ailleurs y’a-t-il un chaton dans le secteur charollais/clunysois ?

Librement,

1 Like
#2

Non respecter la charte CHATONS ne suffit pas pour être sûr d’être en conformité RGPD.

Un exemple avec l’article 13 du RGPD https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article13 , on peut y lire plusieurs obligations d’informations qui ne sont pas couvertes par la charte.

Idem on ne demande pas la constitution d’un registre des traitements, https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article30

A noter que l’article 40 du RGPD parle de code de conduite validé, à mon sens la charte ressemble à un code de conduite, mais elle n’est pas (encore?) validée … (ce point n’est pas obligatoire)

Mais c’est sûr que respecter la charte CHATONS simplifie pas mal de choses au niveau RGPD, tout comme le fait d’avoir peu d’usagers.

Comme ça je dirais que si vous respectez CHATONS, il faudra en plus:

  • Tenir le fameux registre
  • Informer les usagers sur certains points légaux
  • Le cas échéant informer usagers et autorité de contrôle en cas de fuite de données personnelles (je crois qu’on a rien qui en parle dans la charte)

Et plein d’autres choses mais bon le RGPD a un côté un peu paperasse qui noie la vraie problématique à mon sens.

4 Likes
#3

Il y a deux ans (déjà !?!), je m’étais fait une étude assez succincte du RGPD. J’avais pu écrire :

«
Voici une synthèse des synthèses que j’ai pu potasser ces dernières semaines. J’ai largement interprété les textes et les termes pour les adapter à un chaton… en fait, je crois ne pas me tromper en disant qu’il s’agit encore d’un texte conçu pour des très grosses structures et donc mal adaptable, à des organismes volontairement petits comme le sont les chatons. Mais bon, soit…

Donc, dès le 25 mai 2018, le RGPD attribue aux hébergeurs un devoir de déclaration et d’information vis-à-vis des données qu’ils traitent ou stockent. Ainsi un chaton devra informer ses usagers le devenir des données qu’il détient. Notamment :

  • Pour tout nouveau contrat entre l’hébergeur et un usager, une clause concernant la protection des données doit être présente. Et si un contrat a déjà été rédigé, une telle clause doit faire l’objet d’un avenant au plus vite.

  • L’hébergeur doit désigner (en son sein, ou un tiers, ce n’est pas précisé) un « délégué à la protection des données ». Il doit le déclarer via https://www.cnil.fr/fr/designation-dpo. (Mais bon, c’est déclaratif… Ça me rappelle qu’il y a une époque, les années 90, où il fallait déclarer à la CNIL le moindre site web, c’est tombé en désuétude depuis plus de 15 ans, avec la multiplication monstrueuse des sites en ligne. Je vous parie que ça fera pareil avec le Délégué PO.)

  • L’hébergeur doit tenir un registre répertoriant toutes les manipulations qu’il a effectué concernant les données du client. (Pour un chaton qui ne fait rien d’autre que sauvegarder les données en question, il me semble que ça simplifie.)

Pour mémoire, voici ce que j’ai ajouté à notre futur contrat-type de maintenance informatique :

«

Article 6 : protection des données

Dans le cadre de la prestation, le prestataire sera amené à traiter les données à caractère personnel du client, ainsi que les données relatives à d’autres personnes néanmoins détenue par le client.

Conformément à son obligation de moyen, le prestataire s’assure que tout traitement des données s’effectue conformément à l’état de l’art.

Prénom Nom est désigné par le prestataire « délégué à la protection des données ». Un délégué à la protection des données a notamment pour fonction, en matière de protection des données :

  • d’informer et de conseiller le client, et notamment à l’aider à ne collecter que le minimum de données ;
  • de contrôler le respect du règlement et du droit national ;
  • de coopérer avec les autorités de contrôle.

Le prestataire tient un registre répertoriant toutes les manipulations qu’il a effectué concernant les données du client.

Enfin, il convient de remarquer que l’usage quasiment exclusif des logiciels libres par le prestataire constitue par nature une bonne pratique reconnue par les véritables experts en sécurité informatique.
» »

Voilà. Je ne prétends pas du tout du tout avoir tout compris au RGPD, c’est pourquoi je suis avide des remarques d’autres chatons.

2 Likes
#4

Lien intéressant : https://wiki.chatons.org/doku.php/pointsjuridiques?s[]=rgpd

1 Like
#5

Je pense que la plupart des CHATONS actuels n’ont pas besoin de DPO car trop petit (je sais plus les termes exactes). Ceci dit chez ARN c’est pas évident car avec le service de VPS on a aucune idée de l’ampleur des données personnelles qui peuvent être hébergé chez nous…

2 Likes
#6

Nous sommes en train de discuter avec un avocat (on en est au stade du devis), et lui dit que le DPO serait pas mal, car c’est notre métier.
C’est pas obligatoire, c’est sur, mais ce serait mieux.

2 Likes
#7

Merci à tous pour vos retours qui correspondent pleinement à ce que j’attendais !!!

Nous allons pouvoir avancer et trancher sur ces sujets désagréable :slight_smile:

1 Like
#8

Merci à toutes les personnes ayant répondu :slight_smile:

Pas que je sache :slight_smile: Quand je serai à temps plein à la Vineuse sur Fréguande, j’en monterai peut être un (ou peut être un FAI associatif, histoire de pouvoir faire de l’internet par radio dans certaines zones blanches)

1 Like