Simplicité & RGPD

4.0
Simplicité & RGPD
0
Tags: #<Tag:0x00007f13d70d5d30>

#1

Bonjour,

dans le cadre du RGPD, avez-vous travaillé à une solution de purge/anonymisation des données personnelles ?


(David AZOULAY) #2

Simplicité ne peut pas connaitre la nature des données métier qu’ont lui fait gérer (pas plus qu’Excel pas exemple).

Donc les problématiques liées à la RGPD (quelles données sont concernées, quels processus sont à appliquer, par qui, etc…) sont purement applicatives (au même titre que ce qui concernait les obligations relatives à la loi informatique et liberté de la CNIL jusqu’ici).

Il y a normalement tout ce qu’il faut (API et feature UI) dans Simplicité pour mettre en oeuvre ces obligations légales dans le cas contraire nous pourrons étudier les besoins techniques requis et les intégrer.


#3

Merci David pour ta réponse, j’ai quand même envie de creuser le sujet avec vous sur 2 points:

1/ Je comprends ta position concernant les données métier, effectivement en tant qu’éditeur Simplicité ne sait pas quelles données sont personnelles dans telle ou telle instance. Cependant rien n’interdit à un éditeur de PF de développement de faciliter la vie de ses clients, en fournissant des fonctionnalités orientées RGPD, comme vous aidez déjà à la modélisation, la conception, l’historisation, etc…
Par exemple il serait utile de pouvoir “tagguer” les champs d’objet qui vont contenir des données personnelles, de pouvoir définir des règles de purge/anonymisation des données, d’avoir des APIs de purge/anonymisation, etc…

2/ il n’y a pas que les données métier : Simplicité collecte aussi nativement des données personnelles (traces de connexion, comptes utilisateur, etc.) et doit à ce titre se conformer au RGPD. Voir par exemple ce qu’un autre éditeur (Jalios) a produit sur le sujet : https://community.jalios.com/jcms/jc1_393632/fr/guide-clients-jalios-et-registre-des-traitements

Je m’en passerai bien mais c’est un sujet qu’on va devoir se coltiner chez nous, avec notamment la création d’un poste de “Data Protection Officer” auquel on va devoir rendre des comptes…


(David AZOULAY) #4

Sur le 1er point rien ne vous empêche d’enrichir spécifiquement le meta modèle Simplicité avec des meta informations supplémentaires par exemple sur l’objet Field pour tracer/qualifier la nature “personnelle” des données que l’attribut sera amené à contenir… On va regarder si on peut, par défaut, ajouter une telle méta donnée et un report minimal faisant état de l’usage des attributs ainsi identifiés.

Sur le 2ème point, les users ne sont des données métier comme les autres (out of the box dans Simplicité il n’y a que 2 users purement techniques et totalement anonymes : designer et public).

Je te suggère de prendre contact directement avec @Etienne en message privé car c’est lui qui à chez nous ce rôle de conseil pour vous aider à répondre aux mieux à vos obligations RGPD vis à vis de vos données.


(David AZOULAY) #5

PS: Nous avons initié un doc de guidelines GDPR ici: https://www.simplicite.io/resources/documentation/gdpr.md, nous allons l’enrichir progressivement.


(David AZOULAY) #6

PS: cf. la mise à jour de https://www.simplicite.io/resources/documentation/gdpr.md

Edit: As of platform version 4.0 release 21 such a basic classification has been added to the Field object.
It allows you to tell if a given field holds:

  • Personal data (e.g. name, date of birth, …),
  • Confidential data (e.g. bank account number, password, …)
  • Intimate data (e.g. political prefrences, …)

The User fields indicated bellow have been classified as an example.

You are still free to extend this basic classification to your needs as this field is not used in the platform’s core engine.


(David AZOULAY) #7

Et on a ajouté une colonne “Personal” dans la publication Markdown/HTML du module:


#8

Merci, votre réactivité est toujours au top !

Je vais diffuser l’info d’une part à nos équipes internes, d’autre part à la DPO.