Zeste de Savoir est-il GPDR compatible ?

Bonjour,

Dans le cadre de la protection de la vie privée, un règlement sur la protection des données (on parle de GPDR) à vu le jour. Le but de la réglementation est de s’assurer que n’importe quelle institution, entreprise ou association respecte la vie privée de ses utilisateurs/clients.

Je me posais donc la question de savoir si ZdS est GPDR compatible. En survolant rapidement, j’ai cru comprendre ceci :

• Le site devrait avoir une page dédiée à l’explication des données personnelles collectées et du traitement qui en est fait (si traitement il y a). On arrive a trouver des choses dans les CGU du site ou encore sur la page des cookies, mais on ne mentionne en aucun cas que les adresses IPs des membres sont stockées. De plus, est-ce que l’utilisation des outils qui remontent/consolident les logs comme Sentry peuvent être considérés comme des outils de traitement de nos données au sens GPDR ?
• Le transfert des données dans des pays hors UE est aussi régulé : on sait que ZdS est hébergé sur un serveur en France, mais qu’en est-il des serveurs de beta, des serveurs de sauvegarde, de supervision et sentry ? Sont-ils en Suisse, dans des Iles caïmans, etc. ?

Voilà, je me pose ces questions, si un juriste as des réponses je suis preneur.

Et si ZdS est GPDR compatible, ça peut être une bonne idée de le marquer clairement quelque part sur notre site, ça enverrait le bon message.

Quelques articles :

• Texte officiel (un peu long)
• GPDR qu’est-ce que ça change ?

Ba le fait d’utiliser Google Analytics est pas incompatible avec cette norme ?

Parceque s’il faut au préalable que la personne accepte qu’on la tracke ça biaise totalement la mesure d’audience non ?(en plus du fait que les données soient envoyées chez Google hors Europe)

Toutes les données à caractère personnel collectées par le site sont listées dans la déclaration déposée auprès de la CNIL.

Pour qu’un texte européen soit valable en France, il doit être approuvé par une loi. Cependant en cas de règlement européen, la procédure différe.

En cherchant sur site:legifrance.gouv.fr.

On apprend rapidement grâce à cette article que l’application du règlement 2016/679 est à la charge de la CNIL.

Je ne connais pas la réglementation CNIL, mais respecter les règles de la CNIL devrait revenir à respecter ce règlement.

• Le règlement 2016/679 sur cnil.fr.

En principe non, puisque qu’on avertit l’utilisateur que l’on collecte ses informations dans le cadre de Google Analytics. Il est donc au courant et peut accepter ou refuser, donc ça reste compatible.

Oui ça je sais, mais visiblement la nouvelle réglementation demande a ce que l’utilisateur/l’internaute en soit informé (la fameuse transparence). La déclaration faite à la CNIL est-elle publique ? Comment un membre de ZdS peut savoir ce qui est collecté sur lui ?

Je ne pense pas. Les règles de la CNIL ne semblent pas englober celle de la reglémentation Européenne (la première ayant été faite avec la deuxième).

@firm1: Pour l’accès à tes données collectées, il suffit de suivre la démarche expliquée sur le site de la CNIL.

Pour info, concernant Zeste de Savoir, seul le site a fait l’objet d’une déclaration. En effet, le fichier des membres et donateurs de l’association fait l’objet d’une dispense de déclaration.