RGPD
83 views
Skip to first unread message
Jean-Sébastien HEDERER
Sep 15, 2017, 3:55:07 PM9/15/17
to tryt...@googlegroups.com
Bonjour,
Est-ce qu'une évaluation du RGPD a été menée sur tryton pour déterminer les fonctions à mettre en place permettant d'y être conforme?
Lu sur le site d'un ERP web:
"
Les droits du citoyen européen
Le RGPD considère les données personnelles comme des biens meubles. A ce titre, le propriétaire des informations bénéficie de droits supplémentaires :
* Le droit à l’effacement : connu comme le droit à l’oubli, une personne peut demander la suppression de ses données selon différents motifs
* Le droit à la portabilité : une personne peut demander l’export ou le transfert de ses données personnelles
* Le droit d’objection : la personne concernée peut émettre des objections quant à l’utilisation de ses données
* La portée du RGPD est extra-territoriale. Elle concerne tous les acteurs stockant des données de ressortissants de l’Union Européenne.
Les devoirs de l’entreprise
Les nouvelles dispositions que devront prendre les entreprises sont nombreuses. Voici une liste non exhaustive :
* Le consentement explicite et positif : chaque personne physique doit avoir donné son consentement explicite et positif pour que ses données personnelles soient enregistrées et exploitées
* La notification de faille ou de suspicion : l’entreprise doit prévenir la CNIL dans les 72h en cas de suspicion ou de faille avérée de sécurité. Elle doit alors aussi prévenir le propriétaire
* Le registre des flux : l’entreprise doit être capable d’exporter le registre de tous les flux entrants et sortants concernant la personne qui en fait la demande
* La sécurisation des données : toutes les datas personnelles doivent être stockées dans des solutions sécurisées (privacy by design) et les droits d’accès doivent être restrictifs par défaut (security by default)
* Le DPO : pour les organisations de plus de 50 salariés dont le coeur d’activité consiste à gérer des données, elles sont dans l’obligation de nommer un DPO (Data Protection Officer) en interne ou en externe."
Certaines dispositions sont hors logiciel, mais d'autres sont à mon sens à prendre en compte.
Dominique Chabord
Sep 15, 2017, 4:57:33 PM9/15/17
to tryton-fr
Bonjour,
Quelles données de Tryton pourraient être considérées comme des
données personnelles ?
Je n'en vois pas.
Quelles données de Tryton pourraient être considérées comme des
données personnelles ?
Je n'en vois pas.
Jean-Sébastien HEDERER
Sep 16, 2017, 4:15:06 AM9/16/17
to tryt...@googlegroups.com
Les données clients (nom, adresse, mail, téléphone...). L'historique des échanges.
--
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/tryton-fr/CAHZrxK4TvO_7S8Xp6bPginHA3GG0e4P3bDUtGuqngM5Zo2XUew%40mail.gmail.com.
Cédric Krier
Sep 16, 2017, 4:35:04 AM9/16/17
to tryt...@googlegroups.com
On 2017-09-15 21:47, Jean-Sébastien HEDERER wrote:
> Bonjour,
>
> Est-ce qu'une évaluation du RGPD a été menée sur tryton pour déterminer les
> fonctions à mettre en place permettant d'y être conforme?
Qu'est-ce que "RGPD" ? Lien ?
> Bonjour,
>
> Est-ce qu'une évaluation du RGPD a été menée sur tryton pour déterminer les
> fonctions à mettre en place permettant d'y être conforme?
> Lu sur le site d'un ERP web:
> "
> Les droits du citoyen européen
>
> Le RGPD considère les données personnelles comme des biens meubles.
C'est d'autant plus important d'avoir une définition au vu de la
définition de bien meuble: https://fr.wikipedia.org/wiki/Bien_meuble
--
Cédric Krier - B2CK SPRL
Email/Jabber: cedric...@b2ck.com
Tel: +32 472 54 46 59
Website: http://www.b2ck.com/
Dominique Chabord
Sep 16, 2017, 4:54:20 AM9/16/17
to tryton-fr
Le 16 septembre 2017 à 06:18, Jean-Sébastien HEDERER
<hede...@gmail.com> a écrit :
personnelles et de même pour les informations de contact , à priori.
Sur lesquelles il faut filtrer les données qui sont liées à une
fonction dans l'entreprise qui ne me semblent pas être des données
personnelles. Pour l'historique des échanges, tu fais référence à quoi
?
Je suppose qu'on doit permettre de lister les informations relatives à
une personne, de les rectifier et de les effacer quand c'est possible.
On pourrait aussi poser la question à GNUHealth, ils doivent être
balaises sur le sujet.
<hede...@gmail.com> a écrit :
> Les données clients (nom, adresse, mail, téléphone...). L'historique des
> échanges.
>
Donc quand un tiers est un personne physique, il y a des données
> échanges.
>
personnelles et de même pour les informations de contact , à priori.
Sur lesquelles il faut filtrer les données qui sont liées à une
fonction dans l'entreprise qui ne me semblent pas être des données
personnelles. Pour l'historique des échanges, tu fais référence à quoi
?
Je suppose qu'on doit permettre de lister les informations relatives à
une personne, de les rectifier et de les effacer quand c'est possible.
On pourrait aussi poser la question à GNUHealth, ils doivent être
balaises sur le sujet.
Sebastien Marie
Sep 16, 2017, 5:34:19 AM9/16/17
to tryt...@googlegroups.com
On Sat, Sep 16, 2017 at 10:33:49AM +0200, Cédric Krier wrote:
> On 2017-09-15 21:47, Jean-Sébastien HEDERER wrote:
> > Bonjour,
> >
> > Est-ce qu'une évaluation du RGPD a été menée sur tryton pour déterminer les
> > fonctions à mettre en place permettant d'y être conforme?
>
> Qu'est-ce que "RGPD" ? Lien ?
Je pense qu'il s'agit du "Règlement général sur la protection des
> On 2017-09-15 21:47, Jean-Sébastien HEDERER wrote:
> > Bonjour,
> >
> > Est-ce qu'une évaluation du RGPD a été menée sur tryton pour déterminer les
> > fonctions à mettre en place permettant d'y être conforme?
>
> Qu'est-ce que "RGPD" ? Lien ?
données"
https://fr.wikipedia.org/wiki/R%C3%A8glement_g%C3%A9n%C3%A9ral_sur_la_protection_des_donn%C3%A9es
> Quelle est la définition de "données personnelles" ?
--
Sebastien Marie
Cédric Krier
Sep 16, 2017, 6:30:05 AM9/16/17
to tryt...@googlegroups.com
On 2017-09-15 21:47, Jean-Sébastien HEDERER wrote:
> Bonjour,
>
> Est-ce qu'une évaluation du RGPD a été menée sur tryton pour déterminer les
> fonctions à mettre en place permettant d'y être conforme?
> Lu sur le site d'un ERP web:
> "
> Les droits du citoyen européen
>
> Le RGPD considère les données personnelles comme des biens meubles. A ce
Donc suivant https://fr.wikipedia.org/wiki/Donn%C3%A9es_personnelles,
>
> Est-ce qu'une évaluation du RGPD a été menée sur tryton pour déterminer les
> fonctions à mettre en place permettant d'y être conforme?
> Lu sur le site d'un ERP web:
> "
> Les droits du citoyen européen
>
> Le RGPD considère les données personnelles comme des biens meubles. A ce
les données personnelles qui pourraient être dans Tryton sont les
données de la fiche Tiers.
> titre, le propriétaire des informations bénéficie de droits supplémentaires
> :
> * Le droit à l’effacement : connu comme le droit à l’oubli, une personne
> peut demander la suppression de ses données selon différents motifs
quel elle a eu une interaction commerciale (ex: facture, bon de
livraison etc.).
D'ailleurs sur [1], il y a une condition "à condition qu'il n'y ait pas
de motifs légitimes de les retenir". Je pense que dans le cadre d'un
ERP, c'est un motifs légitimes de les retenir.
> * Le droit à la portabilité : une personne peut demander l’export ou le
> transfert de ses données personnelles
Le transfert par contre ça va être difficile puisque ça revient à
l'oublie.
> * Le droit d’objection : la personne concernée peut émettre des objections
> quant à l’utilisation de ses données
question d'organisation de l'entreprise.
> * La portée du RGPD est extra-territoriale. Elle concerne tous les acteurs
> stockant des données de ressortissants de l’Union Européenne.
>
> Les devoirs de l’entreprise
>
> Les nouvelles dispositions que devront prendre les entreprises sont
> nombreuses. Voici une liste non exhaustive :
> * Le consentement explicite et positif : chaque personne physique doit
> avoir donné son consentement explicite et positif pour que ses données
> personnelles soient enregistrées et exploitées
l'entreprise ou bien de si c'est collecte par un site web par example,
c'est le design de celui-ci.
> * La notification de faille ou de suspicion : l’entreprise doit prévenir la
> CNIL dans les 72h en cas de suspicion ou de faille avérée de sécurité. Elle
> doit alors aussi prévenir le propriétaire
> * Le registre des flux : l’entreprise doit être capable d’exporter le
> registre de tous les flux entrants et sortants concernant la personne qui
> en fait la demande
trouver de référence sur [1].
> * La sécurisation des données : toutes les datas personnelles doivent être
> stockées dans des solutions sécurisées (privacy by design) et les droits
> d’accès doivent être restrictifs par défaut (security by default)
que des règles définie. Il est difficile de le prouver pour un projet
communautaire, mais une règle de design de Tryton est de ne rendre
obligatoire que les données nécessaire pour le bon fonctionnement. De
plus Tryton possède un moteur de règles d'accès assez poussé qui devrait
permettre de configurer tous genre de règles nécessaire pour la majorité
des cas d'utilisation.
> * Le DPO : pour les organisations de plus de 50 salariés dont le coeur
> d’activité consiste à gérer des données, elles sont dans l’obligation de
> nommer un DPO (Data Protection Officer) en interne ou en externe."
[1] http://www.europarl.europa.eu/news/fr/press-room/20151217IPR08112/protection-des-donnees-les-citoyens-aux-commandes
[2] https://www.erudit.org/fr/revues/lex/2013-v18-n2-lex01053/1021112ar/
Cédric Krier
Sep 16, 2017, 6:35:04 AM9/16/17
to tryton-fr
On 2017-09-16 10:54, Dominique Chabord wrote:
> Je suppose qu'on doit permettre de lister les informations relatives à
> une personne, de les rectifier et de les effacer quand c'est possible.
Je pense que ça ne va pas si loin mais juste fournir les données à la
> Je suppose qu'on doit permettre de lister les informations relatives à
> une personne, de les rectifier et de les effacer quand c'est possible.
demande. Donc un export CSV du tiers devrait être suffisant.
> On pourrait aussi poser la question à GNUHealth, ils doivent être
> balaises sur le sujet.
n'ont pas ce genre de règles.
Jean-Sébastien HEDERER
Sep 19, 2017, 4:15:05 AM9/19/17
to tryt...@googlegroups.com
Les problèmes du RGPD dans l'état des choses actuel est:
1) c'est applicable au 25/05/2018 pour l'ensemble de l'UE
2) c'est flou pour beaucoup de monde
Peu de professionnels en mesurent l'impact d'après les chiffres des sondages qui circulent (mais ces chiffres sont fournis par des fournisseurs de solutions pour se mettre en conformité...)
* Le droit à l’effacement : connu comme le droit à l’oubli, une personne peut demander la suppression de ses données selon différents motifs
=> il y a les données de la fiche client, mais également les données CRM (historique des échanges) à mon sens
* Le droit à la portabilité : une personne peut demander l’export ou le transfert de ses données personnelles
=> en effet, l'export n'est pas un souci. Par contre la notion de transfert n'a pas beaucoup de signification pour un ERP
* Le droit d’objection : la personne concernée peut émettre des objections quant à l’utilisation de ses données
=> si aucun traitement de catégorisation à partir des données personnelles n'est pratiqué alors cela n'a pas d'impact.
* La portée du RGPD est extra-territoriale. Elle concerne tous les acteurs stockant des données de ressortissants de l’Union Européenne.
=> organisationnel
* Le consentement explicite et positif : chaque personne physique doit avoir donné son consentement explicite et positif pour que ses données personnelles soient enregistrées et exploitées
=> organisationnel ? cela demande peut-être à ce que les personnes physiques donnent leur consentement à être enregistré dans le SI d'une entreprise lorsqu'ils passent commande. ou alors juste à ce que les CGV indiquent que le fait de contacter l'entreprise pour établir un devis ou passer commande entraine enregistrement des données transmises
* La notification de faille ou de suspicion : l’entreprise doit prévenir la CNIL dans les 72h en cas de suspicion ou de faille avérée de sécurité. Elle doit alors aussi prévenir le propriétaire
=> organisationnel
* Le registre des flux : l’entreprise doit être capable d’exporter le registre de tous les flux entrants et sortants concernant la personne qui en fait la demande
=> cela pourrait très bien concerner les données CRM
* La sécurisation des données : toutes les datas personnelles doivent être stockées dans des solutions sécurisées (privacy by design) et les droits d’accès doivent être restrictifs par défaut (security by default)
=> je me suis posé la question de savoir si les données personnelles ne devraient pas être hashées avec un algorithme bijectif utilisant une clé (unique par base). L'organisation des droits d'accès du modèle tryton est en effet à mon sens conforme au "security by default" puisque par défaut, on ne peut pas lire les données d'un modèle, sauf si l'on possède le droit spécifique à ce modèle. Reste la question éventuelle de l'utilisateur "root"
* Le DPO : pour les organisations de plus de 50 salariés dont le coeur d’activité consiste à gérer des données, elles sont dans l’obligation de nommer un DPO (Data Protection Officer) en interne ou en externe."
=> organisationnel
--
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/tryton-fr/20170916103155.GF3644%40kei.
Reply all
Reply to author
Forward
0 new messages