Bonjour, Ce document est très intéressant, merci.
Je me permets de répondre sur le point A, le B n’étant pas de ma compétence… Je ne partage pas votre lecture. Je ne comprend pas comment l’élève, l’enseignant etc … qui voit ses données personnelles collectées à accès aux "mises en garde" du GNU figurant en préambule de chaque script et, le cas échéant, ce que cela changerai. Les données personnelles, sauf celles des développeurs, ne sont pas dans les scripts mais dans la base de données et le point sensible est là. La question de l’hébergeur sous-traitant et des obligations qui lui sont liées résident dans la BDD dans laquelle sont stockées les informations personnelles des utilisateurs de votre GEPI. Non seulement en termes de sécurité, mais aussi, par exemple, des conditions d’accès des équipes techniques de l’hébergeur. Les salariés de l’hébergeur ont-ils signé un engagement de confidentialité et d’absence de diffusion au regard des données des hébergés ? Est il en capacité de le produire ou de signer un engagement en ce sens ? Est il conforme à vos propres engagements ? Les sauvegardes éventuelles des bases effectuées par l’hébergeur respectent t’elles aussi vos propres engagements en terme de stockage et d’archivage des données (durée, sécurité, droit d’accès, de modification et de supression) ? Par définition, un hébergeur mutualisé a accès à vos bases de données et vous devez vous assurer du traitement des données personnelles que vous lui confiez. En cas de problème, notamment de piratage ou de diffusion des données, vous serez le premier responsable, puisque vous êtes le collecteur de ces données. A vous ensuite de démontrer que vous aviez pris toutes les précautions auprès de votre sous-traitant afin que sa responsabilité soit engagée et la vôtre dégagée... Si vous n’avez pas accès à la base de données parce que, par exemple, vous achetez une prestation chez Sylogix alors, sauf pour les sauvegardes que vous effectuez, votre responsabilité est différente et se limite à la collecte des données et pas à leur traitement. Cordialement, Jean-Luc De : Gepi-users <[email protected]> De la part de [email protected] Envoyé : vendredi 23 novembre 2018 10:14 À : Liste des utilisateurs de Gepi <[email protected]> Objet : [gepi-users] RGPD : Après la lecture du document Canopé de 52 pages Bonjour, Voici un lien vers le dossier général. Dans les premières lignes vous accédez au téléchargement du document. https://www.reseau-canope.fr/les-donnees-a-caractere-personnel/introduction.html A) Ma compréhension du sujet sur le point 16, page 28, sur l'utilisation par l'établissement d'un logiciel de vie scolaire: Puisque Gepi est un logiciel libre et que tout utilisateur est prévenu par les "mises en garde" du GNU figurant en préambule de chaque script, il n'y a juridiquement aucune sous-traitance dans le cas où l'hébergeur choisi n'intervient jamais sur le code - ce qui est notre cas. Ou plus précisément l'hébergeur doit seulement s'engager sur des règles générales de sécurité d'accès. Partagez-vous cette lecture? B) Une question sur le registre des traitements, page 45: Dans la version 1.7.4 de Gepi, y aura t-il un tel registre, c'est à dire un tableau avec une sortie csv possible? Bonne journée Pierre ALDEBERT Lycée franco-allemand de Buc (78530)
_________________________________________________________________________________ Documentation Gepi en ligne : http://www.sylogix.org/projects/gepi/wiki Pour modifier ou r�silier votre abonnement � cette liste : https://lists.sylogix.net/mailman/listinfo/gepi-users
