[pgday.fr] [Bureau] adhérents, inscrits pgDay et RGPD

Damien Clochard damien at dalibo.info
Ven 15 Juin 10:21:38 CEST 2018 

Le 15.06.2018 08:53, Carole Arnaud a écrit :
> Bonjour chers membres du bureau,
> 
> Y a t'il eu une réflexion d'entamée au sein du bureau concernant
> l'impact du RGPD pour l'association et plus particulièrement pour
> l'organisation du pg Day?
> Pour info, j'ai constaté qu'on récoltait, en plus du
> nom/prénom/email, les dates de naissance et les adresses (perso
> souvent) des participants. J'imagine qu'il faudrait écrire qqc sur le
> wiki postgresql.fr [1] et prévoir un renvoi depuis le site du pgday.
> 
> Je m’apprête à envoyer un mail aux participants: mailchimp rajoute
> automatiquement en bas du mail une mention permettant la
> désinscription de la liste mais dois-je rajouter un mot pour
> préciser qu'ils peuvent nous demander d'effacer leur données?
> 

Salut,

Il n'y a pas eu discussions sur le RGPD dans l'asso pour l'instant. 
Voici quelques éléments de réflexions qui pourrait alimenter ce débat :

* L'association traite 5 types de données personnelles :

1- les adhérents,
2- les salariés de nos fournisseurs et partenaires (traiteurs, salles de 
conférence, etc. )
3- les utilisateurs sur le forum,
4- les contributeurs sur nos dépots Git
5- les participants du PG Day France.

1- Pour les adhérents : Cela représente une petite centaine de 
personnes. Chaque adhérent dispose d'un accès direct à ses données via 
la plateforme erp.postgresql.fr et peut les modifier ou les supprimer. 
La quantité d'information est minimale : nom, prénom, adresse postale 
dans certains cas.... Il reste la question des sauvegardes à gérer : on 
peut garantir la modification ou la suppression des données d'un ancien 
membre dans notre base mais on ne peut pas garantir que ces données 
seront effacées de toutes nos sauvegardes et nos archives. Ce n'est pas 
un point trivial, il faut prendre le temps d'en discuter au sein de 
l'asso.

2- Pour les fournisseurs : ça représente moins de 20 personnes et très 
peu de données. Si la demande se présente un jour on pourra ouvrir un 
accès pour que la personne modifie ses données.

3- Pour les utilisateurs du forum : Là on parle de 3000 personnes. 
Chaque utilisateur à un accès intégral à ses données et ses messages. Il 
peut effacer ce qu'il veut quand il veut. On ne diffuse jamais ces 
informations à des tiers. Il y a toujours le problème des sauvegardes.

4- Pour les contributeurs sur nos dépôts Git : Cela représente une 
quinzaine de personne et le volume d'info est minimal (nom, prenom, 
email). Supprimer ces infos d'un dépot GIT revient à détruire le dépot. 
A titre personnel si un ancien contributeur de l'un de mes projets me 
demandait de supprimer son nom, je refuserais en justifiant dans le cas 
d'un projet open source, l'intérêt général prévaut sur le RGPD.

5- Pour les participants des PG Day France : Cela représente environ 
1000 personnes et toujours très peu d'info (nom/prenom/email). C'est un 
cas particulier parce qu'on ne stocke pas directement ces données : 
elles sont hébergées par des opérateurs de traitement : Mailchimp, 
HelloAsso, EventBrite, etc. Ces opérateurs de traitements ("Data 
Processors") sont déjà en règle avec le RGPD, notamment mailchimp qui 
est très respectueux des abonnés.

5bis- L'autre particularité c'est que l'on transmet une partie de ces 
infos à des tiers : les sponsors GOLD. Cela se fait sur la base du 
volontariat ( le participant doit cocher une case, la valeur par défaut 
étant "non"). Sur ce dernier point, je pense qu'il y a un travail à 
faire sur la manière de transmettre ces infos et sur la transmission des 
demandes de modification, l'idée centrale étant de collecter l'adresse 
du Data protection officer (DPO) de chaque sponsor GOLD pour pouvoir 
leur relayer une demande d'un participant.

Voila pour un rapide tour d'horizon de la question, il est probable que 
j'ai oublié des choses....

En résumé, on collecte déjà le strict minimum d'info personnelle ( 
nom/prenom/email difficile de faire moins...). A l'exception du forum et 
du PG Day France, le nombre de personnes concernées est faible. Dans 
tous les cas, on offre déjà des moyens des contrôles autonomes aux 
usagers (ERP, forums, etc.) ou alors on travaille avec des opérateurs de 
traitement qui sont en règle.

Après On bute sur les mêmes problèmes techniques que tout le monde : 
sauvegarde, dépôt GIT, archivage des mails.... Ce sont des questions 
techniques à creuser.

-- 
Damien Clochard

Plus d'informations sur la liste de diffusion pgdayfr