Conformité aux réglementations pour la protection des données (RGPD).
Les applications développées par Entr'ouvert sont conçues pour préserver la vie privée des utilisateurs (« privacy by design »), et respectent les obligations du RGPD.
Le RGPD ne fait pas intervenir de nouveautés conceptuelles majeures contrairement à ce qui se dit souvent. Les grands principes visant à préserver la vie privée des citoyens sont en place depuis 40 ans (loi de 1978). Même le renforcement du consentement, souvent mis en avant pour pointer les nouveautés du RGPD, est largement présent dans les législations précédentes auxquelles étaient soumises les démarches en ligne.
Ce qui change véritablement ce sont les modalités du contrôle (on passe d’un contrôle a priori à un contrôle a posteriori) et surtout l’importance des sanctions (revues très largement à la hausse). Le RGPD a également le mérite de clarifier la situation et de déclencher une prise de conscience sur le sujet du respect de la vie privée.
Privacy by design
Publik est développé pour préserver la vie privée des utilisateurs (« privacy by design »), et respecter les obligations du RGPD. Nous avons souvent devancé les exigences de la CNIL dans ce domaine, implémentant par exemple la fédération d’identité (rendue nécessaire par la CNIL en 2013 pour gérer convenablement les 10 familles de téléservices) dès 2008.
Nous avons fait le nécessaire pour pouvoir affirmer sans équivoque que nous sommes en conformité avec le RGPD. Quelques éléments saillants qu’il faut avoir à l’esprit :
- dans le cadre du principe d'autodétermination informationnelle introduit par le RGPD, notre fournisseur et gestionnaire d'identités Authentic2 met à disposition des utilisateurs une interface de gestion complète de leurs données personnelles, lesquels sont en capacité de consulter, modifier ou supprimer leurs informations d'identité ; le droit à l’oubli et le droit de rectification sont respectés,
- le droit de portabilité est également respecté, grâce à une fonctionnalité directe d'export des données de compte et des demandes, en différents formats standards.
- Respect du droit d'accès aux données et informations relatives aux traitements associés : des codes de suivi envoyés à chaque utilisateur leur permettent de vérifier en temps-réel l'état de leurs demandes et de connaître la nature des traitements effectués.
- nous excluons de nos applications toute décision automatisée et toute forme de profilage quelles qu'elles soient,
- notre module de statistiques pour la business intelligence ne fournit que des métriques anonymisées et ne permet en aucun cas de remonter aux données sources utilisées,
- notre environnement Publik et notre fournisseur d’identité Authentic sont conçus et paramétrés par défaut pour un dialogue avec les usagers (via l'interface Web et par courriel notamment) afin que ceux-ci comprennent ce qui advient de leurs informations d'identités ; et plus généralement nous faisons notre possible pour respecter les principes de Privacy-by-Design/Privacy-by-Default de la législation européenne,
- tous nos déploiements sont strictement en HTTPS,
- en tant que sous-traitant fournisseur de SaaS (Software as a Service) aux collectivités territoriales françaises, nous nous efforçons de veiller à la sécurité de nos serveurs, lesquels se situent physiquement en Union Européenne comme l'impose le RGPD (ils sont en France),
- nos applications fournissent des logs pertinents sur la façon dont sont traitées les données personnelles des usagers, et elles implémentent un système de rôles conditionnant l'accès aux données utilisateurs (Role-Based Access Control), permettant de n'accorder à un agent que les accès dont il a besoin.
Nous avons nommé un DPO (Data Protection Officer) chargé de la conformité au RGPD chez Entr'ouvert.
Nous avons également révisé le modèle de nos clauses contractuelles avec les collectivités, pour expliciter davantage le principe de coresponsabilité introduit par le RGPD. Les collectivités utilisatrices de Publik peuvent demander à consulter notre Étude d’Impacts sur la Vie Privée (EIVP) réalisée pour les activités d’édition logicielle et d’hébergement SaaS de la solution Publik par Entr’ouvert.
Pour davantage de détails techniques concernant la sécurité et le respect du RGPD, vous pouvez consulter la page dédiée dans le guide de l'administrateur système.