Finalité : traiter les demandes d’adhésion
Base légale : intérêt légitime
Durée de rétention : jusqu’à traitement par le CA (intégration au registre des membres)
Données concernées : email reçu sur la liste bureau@
Localisation des données : Boîte mail du CA
Mesures de sécurité : Chiffrement GPG schleuder
Finalité : lister les membres de l’association, convoquer les AG
Base légale : intérêt légitime
Durée de rétention : tant que membre de l’association
Données concernées : identité (étatique ou pseudo), email, clef GPG, date d’inscription, n° adhérent (uuid4)
Localisation des données : Wallet pass
du CA
Mesures de sécurité : Chiffrement GPG
Point d’attention : la suppression d’un membre dans le registre conserve par défaut l’historique du fichier dans git. Il sera nécessaire de réécrire l’historique pour effacer définitivement les données. Le cas se posera au 1er départ d’un membre, un script ad-hoc devra être implémenté à cette date (éventuellement manuellement via bfg
).
Finalité : récolter des financements pour l’association
Base légale : obligation légale (LCB-FT)
Durée de rétention : 6 ans
Données concernées : données bancaires (IBAN, nom et prénom, montant et description des versements)
Localisation des données : services bancaires de Wise
Mesures de sécurité : PCI-DSS & assimilé côté Wise
Point d’attention :
Il n’y a pas de DPA au sens strict avec Wise, parce qu’aucune banque n’en propose en vrai… C’est moins dérangeant pour des services bancaires étant donné la régulation déjà obligatoire du secteur
La politique de confidentialité de Wise est disponible ici
Le site web est relativement propre et sans tracker ni CDN (hormis un seul appel à Cloudflare pour l’anti-bot…)
Ce choix final de Wise, manquant tout de même d’encadrement légal vis-à-vis du RGPD, reste regrettable pour l’association mais est une des rares solutions honorables pour tout de même permettre l’accès à une offre bancaire. L’association aura dans tous les cas été vigilante sur le choix de ce prestataire et le restera dans le futur. Les usagers ne seront de toute façon pas exposés directement à Wise puisque passent par leur banque personnel pour effectuer un virement. Les seules données échangées relèvent donc uniquement des obligations bancaires de Wise, limitant très fortement les problèmes de conformité.
Finalité : répondre aux obligations légales de l’Association
Base légale : obligation légale
Durée de rétention : 15 jours (logrotate)
# cat /etc/logrotate.d/nginx /var/log/nginx/*.log { daily missingok rotate 14 compress delaycompress notifempty create 0640 www-data adm dateext sharedscripts prerotate if [ -d /etc/logrotate.d/httpd-prerotate ]; then \ run-parts /etc/logrotate.d/httpd-prerotate; \ fi \ endscript postrotate invoke-rc.d nginx rotate >/dev/null 2>&1 endscript }
Données concernées :
Localisation des données :
Mesures de sécurité : Restriction des accès SSH
Références :
NB : l’Association utilisait initialement Caddy mais qui ne propose pas d’option gérant correctement la purge des journaux. Les services ont été migrés sous Nginx en espérant une correction côté Caddy. Ce changement a fait l’objet d’une inscription au registre des violations ci-dessous.
Finalité : assurer la reprise d’activité en cas d’incident d’exploitation sur la production
Base légale : intérêt légitime
Durée de rétention : 1 an
Localisation des données :
Mesures de sécurité :
NB : les données envoyées chez Scaleway étant chiffrés et sans accès à cette clef par ce sous-traitant, celui-ci ne rentre pas dans le cadre du RGPD et ne nécessite donc pas de signature de DPA
Finalité : héberger le code-source des outils développés
Base légale : intérêt légitime
Durée de rétention : sans limite, anonymisation possible sur demande dans la mesure de ce que git permet
Données concernées :
Localisation des données :
Finalité : communiquer avec les utilisateurs
Base légale : intérêt légitime
Durée de rétention : illimité, le logiciel ne permettant pas facilement la purge des données
Données concernées :
Localisation des données : prime@postgres:firefish
Mesures de sécurité : restriction des accès administrateur
NB : l’Association utilisait initialement Mastodon via l’instance https://piaille.fr. Mastodon ne permet actuellement pas d’identifier tous les usages fait par un administrateur, n’ayant pas de journalisation y compris en lecture seule des actions de modération, ce qui ne permet pas d’être réellement conforme RGPD, d’autant plus dans le cas d’une sous-traitance (aucun contrôle sur les actions de modération de modérateurs tiers). Il aurait été de plus difficile de signer un DPA conforme avec Piaille et de procéder aux audits annuels nécessaires à être conforme RGPD. Il a donc été décidé d’auto-héberger une instance directement par l’Association.
Finalité : Communiquer avec les utilisateurs
Base légale : consentement
Politique de confidentialité : https://libera.chat/privacy/
Données concernées : adresse IP, nick
Cas intéressant, la plupart des personnes concernées risquent d’être déjà sur Libera pour d’autres raisons, l’usage par PURR ne traite « théoriquement » pas plus de DCP. Les utilisateurs d’IRC étant souvent déjà informés que tout y est plus ou moins public, l’association le rappelant en plus à côté de tout lien amenant au canal de l’association. Libera est en no-log côté IRC, constitue un réseau réputé, avec une privacy policy très correcte. En attendant peut-être à terme l’auto-hébergement d’un service IRC par l’association (ce qui pourrait être aussi un frein à l’adoption de ce moyen de communication, joindre un réseau spécifique étant plus rebutant que de joindre un canal supplémentaire sur un réseau important), il est considéré que ce service est suffisament conforme et de plus non critique pour ne pas nécessiter de formalisation de DPA avec Libera, sinon veiller à l’actualité du réseau pour être informé en cas de problème. Nos utilisateurs ont suffisamment d’autres moyens simples et accessibles à disposition (Fediverse, adresse de courriel avec GPG implicite et explicite…) pour pouvoir considérer que l’usage de Libera se fait sous le régime du consentement, le refus d’utiliser IRC ne conduisant pas à d’effet négatif (autre que de ne pas pouvoir joindre IRC, bien entendu).
Finalité : documenter la vie de l’Association
Base légale : intérêt légitime
Durée de rétention : illimité, anonymisation si possible sur demande
Données concernées :
Localisation des données : prime@/var/www/dokuwiki
Mesures de sécurité : restriction des accès administrateur
Finalité : héberger la zone DNS de l’association
Base légale : intérêt légitime
Durée de rétention : aucune
Données concernées :
Localisation des données :
Mesures de sécurité : restriction des accès administrateur
NB : À noter que les IP traitées ne sont pas stockées et ne sont pour la plupart que des IP de FAI servant de résolveurs cache pour leurs propres clients. Cependant ce n’est pas supposé être le cas dans le fonctionnement nominal d’Internet et l’association devrait voir ici des IP de personnes physiques, donc des DCP. L’association ne pouvant qu’encourager toute personne concernée à utiliser un résolveur DNS local, par exemple pour supporter proprement DNSSec, l’hébergement d’une zone DNS est donc considéré comme un traitement de DCP, aucune information n’est persistée sur disque (pas de log).
NB : l’hyperviseur hébergeant la machine virtuel de l’association recourt à dnsdist pour propager les requêtes en IPv4 au serveur de l’association
Finalité : Permettre aux utilisateurs d’obtenir un compte sur la plate-forme
Base légale : consentement
Durée de rétention : jusqu’à clôture du compte
Données concernées :
Finalité : Faire signer des mandats de représentation
Base légale : nécessaire à la fourniture du service
Durée de rétention : durée de traitement du dossier
Données concernées :
Localisation des données :
Mesures de sécurité :
NB : la mise-en-place d’un accès VPN pour les interfaces d’administration aurait été trop complexe à mettre en œuvre étant donné que les modérateurs et administrateurs sont bénévoles et non fortement liés à l’Association comme aurait pu l’être une relation employeur/employé. Il est donc difficile d’imposer un environnement de travail homogène à des bénévoles et de déployer des configurations VPN sur des machines plutôt à usage personnel. D’où le repli sur une authentification forte par certificat, qui limite fortement les capacités d’intrusion d’un tiers malveillant.
11/10/2023 : Lors de l’audit régulier du système, découverte que Caddy, le serveur web utilisé, ne permet pas de limiter correctement la durée de rétention des logs. Les logs, supposés être conservés pendant 15 jours, conformément à l’arrêt Télé2 de la CJUE, l’ont été en réalité depuis le 15 août 2023 16:49:58. La période concernée correspond à 3101 accès web depuis 289 adresses IPv6 et 591 IPv4 différentes. Tous les accès ne sont pas des personnes concernées au titre du RGPD, la présence de crawler (Fediverse, indexation…) étant notable (70-80%), la distinction précise entre les 2 catégories étant difficile à faire et peu pertinente ici.
Les logs concernés ont été supprimés immédiatement et une migration de l’infrastructure vers Nginx est planifiée avant le 15/10/2023. Le retour à Caddy ne se fera qu’après un correctif permettant de se mettre en conformité.
Les risques pour les droits des personnes concernées étant nuls (correction rapide, pas de perte de confidentialité, aucun usage des données) aucune notification de l’APD n’a été jugée nécessaire ni aucune notification aux personnes concernées.
06/03/2024 : Dans le cadre d’une mise-à-jour régulière du registre de traitement, un audit des systèmes en place a été conduit pour s’assurer de la cohérence avec les traitements listés. Il a été détecté que le dnsdist déployé en sous-traitance pour relayer le trafic DNS IPv4 vers la machine virtuelle de l’association avait le debug actif, ce qui a conduit à tracer les requêtes effectuées dans les journaux système. Le debug avait été activé le 17/08/2023 pour diagnostiquer un problème de communication DNS, mais n’avait pas été désactivé ensuite.
À la date de la détection du défaut de configuration, 3369 adresses IP, majoritairement des IP sur des plages m2m mais contenant aussi des IP domestiques, étaient encore présentes dans les journaux. Le sous-traitant a aussitôt notifié l’association et procédé à la désactivation du debug.
Les risques pour les droits des personnes concernées étant nuls (pas d’accès à l’information, rétention limitée à 15 jours, IP essentiellement m2m, données non sensibles) et aucun défaut d’intégrité/disponibilité/confidentialité n’ayant été détecté, aucune notification de l’APD n’a été jugée nécessaire ni aucune notification aux personnes concernées.
Finalité :
Base légale :
Durée de rétention :
Données concernées :
Localisation des données :
Mesures de sécurité :