# Administratif ## Demandes d’adhésion **Finalité** : traiter les demandes d’adhésion **Base légale** : intérêt légitime **Durée de rétention** : jusqu’à traitement par le CA (intégration au registre des membres) **Données concernées** : email reçu sur la liste `bureau@` **Localisation des données** : Boîte mail du CA **Mesures de sécurité** : Chiffrement GPG `schleuder` ## Registre des membres **Finalité** : lister les membres de l’association, convoquer les AG **Base légale** : intérêt légitime **Durée de rétention** : tant que membre de l’association **Données concernées** : identité (étatique ou pseudo), email, clef GPG, date d’inscription, n° adhérent (uuid4) **Localisation des données** : Wallet `pass` du CA **Mesures de sécurité** : Chiffrement GPG **Point d’attention** : la suppression d’un membre dans le registre conserve par défaut l’historique du fichier dans git. Il sera nécessaire de réécrire l’historique pour effacer définitivement les données. Le cas se posera au 1er départ d’un membre, un script ad-hoc devra être implémenté à cette date (éventuellement manuellement via `bfg`). ## Données bancaires **Finalité** : récolter des financements pour l’association **Base légale** : obligation légale (LCB-FT) **Durée de rétention** : [6 ans](https://wise.com/fr/help/articles/2932638/combien-de-temps-conservez-vous-mes-donnees) **Données concernées** : données bancaires (IBAN, nom et prénom, montant et description des versements) **Localisation des données** : services bancaires de Wise **Mesures de sécurité** : PCI-DSS & assimilé côté Wise **Point d’attention** : Il n’y a pas de DPA au sens strict avec Wise, parce qu’aucune banque n’en propose en vrai… C’est moins dérangeant pour des services bancaires étant donné la régulation déjà obligatoire du secteur La politique de confidentialité de Wise est disponible [ici](https://wise.com/fr/help/articles/2932697/quelle-est-votre-politique-de-confidentialite) Le site web est relativement propre et sans tracker ni CDN (hormis un seul appel à Cloudflare pour l’anti-bot…) Ce choix final de Wise, manquant tout de même d’encadrement légal vis-à-vis du RGPD, reste regrettable pour l’association mais est une des rares solutions honorables pour tout de même permettre l’accès à une offre bancaire. L’association aura dans tous les cas été vigilante sur le choix de ce prestataire et le restera dans le futur. Les usagers ne seront de toute façon pas exposés directement à Wise puisque passent par leur banque personnel pour effectuer un virement. Les seules données échangées relèvent donc uniquement des obligations bancaires de Wise, limitant très fortement les problèmes de conformité. # Conformité & risques ## Journaux HTTP **Finalité** : répondre aux obligations légales de l’Association **Base légale** : obligation légale **Durée de rétention** : 15 jours (logrotate) ``` # cat /etc/logrotate.d/nginx /var/log/nginx/*.log { daily missingok rotate 14 compress delaycompress notifempty create 0640 www-data adm dateext sharedscripts prerotate if [ -d /etc/logrotate.d/httpd-prerotate ]; then \ run-parts /etc/logrotate.d/httpd-prerotate; \ fi \ endscript postrotate invoke-rc.d nginx rotate >/dev/null 2>&1 endscript } ``` **Données concernées** : - IP - date - user agent - URL consultée **Localisation des données** : - naboo@/var/log/nginx - prime@/var/log/nginx **Mesures de sécurité** : Restriction des accès SSH **Références** : - [CNIL] Délibération n° 2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journalisation https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000044272396 NB : l’Association utilisait initialement [Caddy](https://caddyserver.com/) mais qui ne propose pas d’option gérant correctement la purge des journaux. Les services ont été migrés sous Nginx en espérant [une correction côté Caddy](https://github.com/caddyserver/caddy/issues/1096#issuecomment-1758204568). Ce changement a fait l’objet d’une inscription au registre des violations ci-dessous. ## Sauvegarde **Finalité** : assurer la reprise d’activité en cas d’incident d’exploitation sur la production **Base légale** : intérêt légitime **Durée de rétention** : 1 an **Localisation des données** : - endor@/mnt/backup/snapshots/asso-purr.eu.org/ - 2 disques externes en rotation - Stockage S3 Scaleway **Mesures de sécurité** : - Double chiffrement borgbackup - chiffrement AES256 AEAD - clef privée protégée par un mot de passe haché par blake2 - clef privée et mot de passe exclusivement détenus par les administrateurs de l’Association NB : les données envoyées chez Scaleway étant chiffrés et sans accès à cette clef par ce sous-traitant, celui-ci ne rentre pas dans le cadre du RGPD et ne nécessite donc pas de signature de DPA # Fourniture de service ## Forgejo **Finalité** : héberger le code-source des outils développés **Base légale** : intérêt légitime **Durée de rétention** : sans limite, anonymisation possible sur demande dans la mesure de ce que git permet **Données concernées** : - nom / prénom / alias - alias **Localisation des données** : - https://git.asso-purr.eu.org/ - prime@/var/lib/forgejo - prime@postgresql:forgejo ## Firefish **Finalité** : communiquer avec les utilisateurs **Base légale** : intérêt légitime **Durée de rétention** : illimité, le logiciel ne permettant pas facilement la purge des données **Données concernées** : - nick handle (compte@instance.fqdn) - contenu des toots - message privé **Localisation des données** : prime@postgres:firefish **Mesures de sécurité** : restriction des accès administrateur NB : l’Association utilisait initialement Mastodon via l’instance https://piaille.fr. Mastodon ne permet actuellement pas d’identifier tous les usages fait par un administrateur, n’ayant pas de journalisation y compris en lecture seule des actions de modération, ce qui ne permet pas d’être réellement conforme RGPD, d’autant plus dans le cas d’une sous-traitance (aucun contrôle sur les actions de modération de modérateurs tiers). Il aurait été de plus difficile de signer un DPA conforme avec Piaille et de procéder aux audits annuels nécessaires à être conforme RGPD. Il a donc été décidé d’auto-héberger une instance directement par l’Association. ## IRC libera.chat **Finalité** : Communiquer avec les utilisateurs **Base légale** : consentement **Politique de confidentialité** : https://libera.chat/privacy/ **Données concernées** : adresse IP, nick Cas intéressant, la plupart des personnes concernées risquent d’être déjà sur Libera pour d’autres raisons, l’usage par PURR ne traite « théoriquement » pas plus de DCP. Les utilisateurs d’IRC étant souvent déjà informés que tout y est plus ou moins public, l’association le rappelant en plus à côté de tout lien amenant au canal de l’association. Libera est en no-log côté IRC, constitue un réseau réputé, avec une privacy policy très correcte. En attendant peut-être à terme l’auto-hébergement d’un service IRC par l’association (ce qui pourrait être aussi un frein à l’adoption de ce moyen de communication, joindre un réseau spécifique étant plus rebutant que de joindre un canal supplémentaire sur un réseau important), il est considéré que ce service est suffisament conforme et de plus non critique pour ne pas nécessiter de formalisation de DPA avec Libera, sinon veiller à l’actualité du réseau pour être informé en cas de problème. Nos utilisateurs ont suffisamment d’autres moyens simples et accessibles à disposition (Fediverse, adresse de courriel avec GPG implicite et explicite…) pour pouvoir considérer que l’usage de Libera se fait sous le régime du consentement, le refus d’utiliser IRC ne conduisant pas à d’effet négatif (autre que de ne pas pouvoir joindre IRC, bien entendu). ## Dokuwiki **Finalité** : documenter la vie de l’Association **Base légale** : intérêt légitime **Durée de rétention** : illimité, anonymisation si possible sur demande **Données concernées** : - nom d’utilisateur, mot de passe - contenu et date des pages éditées **Localisation des données** : prime@/var/www/dokuwiki **Mesures de sécurité** : restriction des accès administrateur ## DNS **Finalité** : héberger la zone DNS de l’association **Base légale** : intérêt légitime **Durée de rétention** : aucune **Données concernées** : - adresse IP des entités demandant une résolution du nom de domaine - requête DNS effectué **Localisation des données** : - dnsdist : naboo (sous-traitant aeris) - ns1 : prime **Mesures de sécurité** : restriction des accès administrateur NB : À noter que les IP traitées ne sont pas stockées et ne sont pour la plupart que des IP de FAI servant de résolveurs cache pour leurs propres clients. Cependant ce n’est pas supposé être le cas dans le fonctionnement nominal d’Internet et l’association devrait voir ici des IP de personnes physiques, donc des DCP. L’association ne pouvant qu’encourager toute personne concernée à utiliser un résolveur DNS local, par exemple pour supporter proprement DNSSec, l’hébergement d’une zone DNS est donc considéré comme un traitement de DCP, aucune information n’est persistée sur disque (pas de log). NB : l’hyperviseur hébergeant la machine virtuel de l’association recourt à dnsdist pour propager les requêtes en IPv4 au serveur de l’association # Gestion des mandats ## Authentification des utilisateurs **Finalité** : Permettre aux utilisateurs d’obtenir un compte sur la plate-forme **Base légale** : consentement **Durée de rétention** : jusqu’à clôture du compte **Données concernées** : - nom d’utilisateur - mot de passe - journaux de connexion ## Signature & collecte des mandats **Finalité** : Faire signer des mandats de représentation **Base légale** : nécessaire à la fourniture du service **Durée de rétention** : durée de traitement du dossier **Données concernées** : - nom, prénom - adresse postale - adresse email - pièce d’identité - mandat **Localisation des données** : - prime@postgresql:mandates - prime@redis:0 - prime@vault:transit/mandates **Mesures de sécurité** : - chiffrement e2e des pièces d’identité pour vérification par un modérateur - chiffrement at rest par un HSM Vault pour la conservation longue durée - authentification forte par certificat des modérateurs - authentification TOTP des modérateurs - formation/sensibilisation au RGPD des modérateurs NB : la mise-en-place d’un accès VPN pour les interfaces d’administration aurait été trop complexe à mettre en œuvre étant donné que les modérateurs et administrateurs sont bénévoles et non fortement liés à l’Association comme aurait pu l’être une relation employeur/employé. Il est donc difficile d’imposer un environnement de travail homogène à des bénévoles et de déployer des configurations VPN sur des machines plutôt à usage personnel. D’où le repli sur une authentification forte par certificat, qui limite fortement les capacités d’intrusion d’un tiers malveillant. # Violations ## Rétention erronée log Caddy 11/10/2023 : Lors de l’audit régulier du système, découverte que Caddy, le serveur web utilisé, ne permet pas de limiter correctement la durée de rétention des logs. Les logs, supposés être conservés pendant 15 jours, conformément à l’arrêt Télé2 de la CJUE, l’ont été en réalité depuis le 15 août 2023 16:49:58. La période concernée correspond à 3101 accès web depuis 289 adresses IPv6 et 591 IPv4 différentes. Tous les accès ne sont pas des personnes concernées au titre du RGPD, la présence de crawler (Fediverse, indexation...) étant notable (70-80%), la distinction précise entre les 2 catégories étant difficile à faire et peu pertinente ici. Les logs concernés ont été supprimés immédiatement et une migration de l’infrastructure vers Nginx est planifiée avant le 15/10/2023. Le retour à Caddy ne se fera qu’après un correctif permettant de se mettre en conformité. Les risques pour les droits des personnes concernées étant nuls (correction rapide, pas de perte de confidentialité, aucun usage des données) aucune notification de l’APD n’a été jugée nécessaire ni aucune notification aux personnes concernées. ## Non désactivation des logs de debug de dnsdist 06/03/2024 : Dans le cadre d’une mise-à-jour régulière du registre de traitement, un audit des systèmes en place a été conduit pour s’assurer de la cohérence avec les traitements listés. Il a été détecté que le dnsdist déployé en sous-traitance pour relayer le trafic DNS IPv4 vers la machine virtuelle de l’association avait le debug actif, ce qui a conduit à tracer les requêtes effectuées dans les journaux système. Le debug avait été activé le 17/08/2023 pour diagnostiquer un problème de communication DNS, mais n’avait pas été désactivé ensuite. À la date de la détection du défaut de configuration, 3369 adresses IP, majoritairement des IP sur des plages m2m mais contenant aussi des IP domestiques, étaient encore présentes dans les journaux. Le sous-traitant a aussitôt notifié l’association et procédé à la désactivation du debug. Les risques pour les droits des personnes concernées étant nuls (pas d’accès à l’information, rétention limitée à 15 jours, IP essentiellement m2m, données non sensibles) et aucun défaut d’intégrité/disponibilité/confidentialité n’ayant été détecté, aucune notification de l’APD n’a été jugée nécessaire ni aucune notification aux personnes concernées. # Modèle **Finalité** : **Base légale** : **Durée de rétention** : **Données concernées** : **Localisation des données** : **Mesures de sécurité** :