Draft:Loi RGPD

From Dolibarr ERP CRM Wiki
Jump to navigation Jump to search

Cette page a pour but de faire un point de situation sur la loi RGPD (GDPR en anglais)


Le texte du RGPD

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Section1

http://www.synpell.fr/2018/04/23/le-rgpd-guide-pour-les-editeurs-de-logiciels-libres/


Vue graphique des articles

File:CLUSIF-Poster-RGPD-Français-4.pdf


FAQ

  • Dans quel cas pseudonymiser ?



  • Technique de pseudonymisation/cryptage.

L’article 4 du RGPD définit la pseudonymisation de la manière suivante : « (…) on entend par pseudonymisation : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable. »

Une technique possible est d'utiliser une fonction de hachage qui renvoie un résultat de taille fixe, quelle que soit la taille de l’entrée encodée (l’entrée peut être un attribut unique ou un ensemble d’attributs). Evidemment, le risque consiste en la découverte de la fourchette dans laquelle se situent les valeurs. Afin de réduire ce risque, la fonction de hachage avec salage (où une valeur aléatoire, appelée « sel », est ajoutée à l’attribut qui fait l’objet du hachage) permet de réduire la probabilité de reconstituer la valeur d’entrée.

Le hash serait alors le "pseudo" visible. Un hash doit etre fait sur l'identifiant de la personne (nom / prénom) mais aussi sur chaque donnée à caractère personnel qui permettrait de retrouver l'identifiant d'origine sans le hash (par exemple la date de naissance et ville de naissance peuvent permettre de retrouver le nom et prénom si il n'y a eu qu'une seule naissance dans cette ville le jour dit).

La correspondance entre valeur origine et hash pourrait être maintenu dans une table, accessible au responsable de traitement seul, pour retrouver la données d'origine.

Taches à faire dans Dolibarr

Git issue is here: https://github.com/Dolibarr/dolibarr/issues/8612

Anonymisation possible pour les échanges extérieurs:

  • Ajouter une case à cocher "anonymiser" (opération non réversible) au niveau de chaque champ sur la fonction export de Dolibarr. Si la case est cochée, on export un hash du champ et non la valeur du champ.
  • Ajouter une case à cocher "pseudomiser" (opération réversible si on a la clé) au niveau de chaque champ sur la fonction export de Dolibarr. Si la case est cochée, on export un hash du champ et non la valeur du champ.

Module RGPD:

  • Export dans un fichier lisible (csv) de la fiche d'un tiers avec infos + evenements liés au tiers + contacts + événements liés aux contacts + liste des factures/devis/commandes/interventions/dons
  • Export dans un fichier lisible (csv) de la fiche d'un adhérent avec infos + evenements liés au tiers + contacts + événements liés aux contacts + liste des factures/devis/commandes/interventions/dons
  • Export dans un fichier lisible (csv) de la fiche d'un contact avec infos contacts + evenements liés au contact
Retrieved from "https://wiki.dolibarr.org/index.php?title=Draft:Loi_RGPD&oldid=38469"