Comment gérez vous le RGPD?

Je suis assez sûre qu’on est pas mal à être dans les choux sur le sujet, mais c’est pas une excuse pour que je ne fasse rien…

J’espère que certains d’entre vous ont déjà plus avancé que moi ! Et je me dis que certains aspects sont partageables. Par exemple, lorsqu’on a un cloud, les données concernées par le RGPD sont sensiblement les mêmes d’une structure à l’autre.

Du coup, à quoi ressemble votre Registre des activités de traitement ? N’ayant pas la foi de chercher chez les 80 chatons qui a fait le job, j’en appelle au public :stuck_out_tongue:

Chez Khaganat, pour le moment ça ne ressemble pas à grand chose, mais si ça peut aider, c’est ici : https://khaganat.net/wikhan/fr:rgpd:start ; avec un lien depuis la page des mentions légales.

Je n’ai pas trop de doute sur le fait que c’est branlant et à plus d’un titre. J’ai prévu de me remettre à bosser sur le sujet parce que quelqu’un m’a proposé son aide. Vu que je ne dois pas être la seule à ramer sur le sujet, il me semble utile de solliciter le S de chatons sur ce coup-là. Si on peut avoir des bases de fiches suivant les services, par exemple…

Coté Enough c’est un peu particulier parce que la communauté est horizontale (pas d’organisation, uniquement des individus, zéro niveau de hiérarchie). La responsabilité coté RGPD n’est pas pour autant inexistante mais elle est moins facile à identifier. Déjà que c’est pas évident à la base…

Je discuterais volontiers de ce que ça implique mais je doute que ce soit intéressant pour qui que ce soit, parce qu’il n’existe pas à ma connaissance d’autre CHATONS qui sont dans ce cas.

À partir du moment où on collecte uniquement des données nécessaires pour rendre le service et qu’on ne fait pas de traitement de données collectées, ça réduit grandement la quantité de travail à faire pour satisfaire au RGPD :slight_smile:

1 « J'aime »

Oui enfin ça se discute…

Là tu as un exemple de registre (dit simplifié) et c’est quand même du boulot : https://www.cnil.fr/sites/default/files/atoms/files/registre-traitement-simplifie.ods

Ci-joint les en-têtes de mon fichier, je ne fais pas de fiches comme sur celui de la CNIL, j’ai tout sur une ligne. Il y a 2 registres ça dépend si ReflexLibre est considéré comme sous-traitant ou pas pour le traitement.
https://fichier.reflexlibre.net/s/8zorR76iPHoT7Y2

Mais concrètement, il n’y a pas une recette à appliquer, ça dépend de l’activité exacte du chaton.

Et sinon, l’annexe RGPD est publiée sur mon site https://reflexlibre.net/fr/rgpd.html . Avant je faisais un contrat et une annexe RGPD par client, mais c’est beaucoup trop long, maintenant j’ai des CGS, et j’arrive en général à décrire les éventuelles conditions spécifiques en bas du devis sur quelques lignes.

Du côté du Filament, on a d’abord défini qu’on n’hébergeait pas de données personnelle de nos clients (uniquement celles nécessaires à contacter / facturer nos clients, mais pas leurs données internes ou sur leurs propres clients). Du coup on est sous-traitant pour la plupart des traitements, ce qui n’est pas forcément le cas de la plupart des CHATONS.

Du coup on a réalisé plusieurs actions (qu’on essaie de penser à tenir à jour, le fait de répondre à ce message me permet de penser à le faire :slight_smile:) pour se mettre en conformité :

  • signature des CGV avec une section dédiée à la protection des données personnelles
  • mise en place d’un registre responsable de traitement où on a listé les activités suivantes :
    • RH : gestion personnel/paye/mutuelle et recrutement
    • Prospection
    • Clients : facturation e suivi projet
  • mise en place d’un registre du sous-traitant avec :
    • liste des clients et adresses postales
    • liste des OPCO (qui prennent en charge nos formations pour le compte des clients)
    • différents traitements de données réalisés pour les clients avec pour chaque les données collectées, les traitements réalisés et la liste des clients concernés, voici notre liste de traitements :
      • administration / maintenance des outils
      • site web / boutique en ligne
      • CRM / facturation / partenariats / annuaires / gestion des stocks / suivi activité / gestion de projet
      • Partage de fichiers et édition collaborative
      • Applications spécifiques (là c’est plus long à remplir du coup…)
    • mesures de sécurité mises en place
    • contrat de sous-traitance / CGV
  • procédure de traitement des demandes (accès, portabilité, rectification, opposition, etc.)

Si vous voulez plus d’infos, pas de problème pour rentrer plus dans les détails