Finalité : traiter les demandes d’adhésion

Base légale : intérêt légitime

Durée de rétention : jusqu’à traitement par le CA (intégration au registre des membres)

Données concernées : email reçu sur la liste bureau@

Localisation des données : Boîte mail du CA

Mesures de sécurité : Chiffrement GPG schleuder

Finalité : lister les membres de l’association, convoquer les AG

Base légale : intérêt légitime

Durée de rétention : tant que membre de l’association

Données concernées : identité (étatique ou pseudo), email, clef GPG, date d’inscription, n° adhérent (uuid4)

Localisation des données : Wallet pass du CA

Mesures de sécurité : Chiffrement GPG

Point d’attention : la suppression d’un membre dans le registre conserve par défaut l’historique du fichier dans git. Il sera nécessaire de réécrire l’historique pour effacer définitivement les données. Le cas se posera au 1er départ d’un membre, un script ad-hoc devra être implémenté à cette date (éventuellement manuellement via bfg).

Finalité : récolter des financements pour l’association

Base légale : obligation légale (LCB-FT)

Durée de rétention : 6 ans

Données concernées : données bancaires (IBAN, nom et prénom, montant et description des versements)

Localisation des données : services bancaires de Wise

Mesures de sécurité : PCI-DSS & assimilé côté Wise

Point d’attention :

Il n’y a pas de DPA au sens strict avec Wise, parce qu’aucune banque n’en propose en vrai… C’est moins dérangeant pour des services bancaires étant donné la régulation déjà obligatoire du secteur

La politique de confidentialité de Wise est disponible ici

Le site web est relativement propre et sans tracker ni CDN (hormis un seul appel à Cloudflare pour l’anti-bot…)

Ce choix final de Wise, manquant tout de même d’encadrement légal vis-à-vis du RGPD, reste regrettable pour l’association mais est une des rares solutions honorables pour tout de même permettre l’accès à une offre bancaire. L’association aura dans tous les cas été vigilante sur le choix de ce prestataire et le restera dans le futur. Les usagers ne seront de toute façon pas exposés directement à Wise puisque passent par leur banque personnel pour effectuer un virement. Les seules données échangées relèvent donc uniquement des obligations bancaires de Wise, limitant très fortement les problèmes de conformité.

Finalité : répondre aux obligations légales de l’Association

Base légale : obligation légale

Durée de rétention : 15 jours (logrotate)

# cat /etc/logrotate.d/nginx 
/var/log/nginx/*.log {
        daily
        missingok
        rotate 14
        compress
        delaycompress
        notifempty
        create 0640 www-data adm
        dateext
        sharedscripts
        prerotate
                if [ -d /etc/logrotate.d/httpd-prerotate ]; then \
                        run-parts /etc/logrotate.d/httpd-prerotate; \
                fi \
        endscript
        postrotate
                invoke-rc.d nginx rotate >/dev/null 2>&1
        endscript
}

Données concernées :

• IP
• date
• user agent
• URL consultée

Localisation des données :

• naboo@/var/log/nginx
• prime@/var/log/nginx

Mesures de sécurité : Restriction des accès SSH

Références :

• [CNIL] Délibération n° 2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journalisation https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000044272396

NB : l’Association utilisait initialement Caddy mais qui ne propose pas d’option gérant correctement la purge des journaux. Les services ont été migrés sous Nginx en espérant une correction côté Caddy. Ce changement a fait l’objet d’une inscription au registre des violations ci-dessous.

Finalité : assurer la reprise d’activité en cas d’incident d’exploitation sur la production

Base légale : intérêt légitime

Durée de rétention : 1 an

Localisation des données :

• endor@/mnt/backup/snapshots/asso-purr.eu.org/
• 2 disques externes en rotation
• Stockage S3 Scaleway

Mesures de sécurité :

• Double chiffrement borgbackup
  • chiffrement AES256 AEAD
  • clef privée protégée par un mot de passe haché par blake2
  • clef privée et mot de passe exclusivement détenus par les administrateurs de l’Association

NB : les données envoyées chez Scaleway étant chiffrés et sans accès à cette clef par ce sous-traitant, celui-ci ne rentre pas dans le cadre du RGPD et ne nécessite donc pas de signature de DPA

Finalité : héberger le code-source des outils développés

Base légale : intérêt légitime

Durée de rétention : sans limite, anonymisation possible sur demande dans la mesure de ce que git permet

Données concernées :

• nom / prénom / alias
• alias

Localisation des données :

• https://git.asso-purr.eu.org/
• prime@/var/lib/forgejo
• prime@postgresql:forgejo

Finalité : communiquer avec les utilisateurs

Base légale : intérêt légitime

Durée de rétention : illimité, le logiciel ne permettant pas facilement la purge des données

Données concernées :

• nick handle (compte@instance.fqdn)
• contenu des toots
• message privé

Localisation des données : prime@postgres:firefish

Mesures de sécurité : restriction des accès administrateur

NB : l’Association utilisait initialement Mastodon via l’instance https://piaille.fr. Mastodon ne permet actuellement pas d’identifier tous les usages fait par un administrateur, n’ayant pas de journalisation y compris en lecture seule des actions de modération, ce qui ne permet pas d’être réellement conforme RGPD, d’autant plus dans le cas d’une sous-traitance (aucun contrôle sur les actions de modération de modérateurs tiers). Il aurait été de plus difficile de signer un DPA conforme avec Piaille et de procéder aux audits annuels nécessaires à être conforme RGPD. Il a donc été décidé d’auto-héberger une instance directement par l’Association.

Finalité : Communiquer avec les utilisateurs

Base légale : consentement

Politique de confidentialité : https://libera.chat/privacy/

Données concernées : adresse IP, nick

Cas intéressant, la plupart des personnes concernées risquent d’être déjà sur Libera pour d’autres raisons, l’usage par PURR ne traite « théoriquement » pas plus de DCP. Les utilisateurs d’IRC étant souvent déjà informés que tout y est plus ou moins public, l’association le rappelant en plus à côté de tout lien amenant au canal de l’association. Libera est en no-log côté IRC, constitue un réseau réputé, avec une privacy policy très correcte. En attendant peut-être à terme l’auto-hébergement d’un service IRC par l’association (ce qui pourrait être aussi un frein à l’adoption de ce moyen de communication, joindre un réseau spécifique étant plus rebutant que de joindre un canal supplémentaire sur un réseau important), il est considéré que ce service est suffisament conforme et de plus non critique pour ne pas nécessiter de formalisation de DPA avec Libera, sinon veiller à l’actualité du réseau pour être informé en cas de problème. Nos utilisateurs ont suffisamment d’autres moyens simples et accessibles à disposition (Fediverse, adresse de courriel avec GPG implicite et explicite…) pour pouvoir considérer que l’usage de Libera se fait sous le régime du consentement, le refus d’utiliser IRC ne conduisant pas à d’effet négatif (autre que de ne pas pouvoir joindre IRC, bien entendu).

Finalité : documenter la vie de l’Association

Base légale : intérêt légitime

Durée de rétention : illimité, anonymisation si possible sur demande

Données concernées :

• nom d’utilisateur, mot de passe
• contenu et date des pages éditées

Localisation des données : prime@/var/www/dokuwiki

Mesures de sécurité : restriction des accès administrateur

Finalité : héberger la zone DNS de l’association

Base légale : intérêt légitime

Durée de rétention : aucune

Données concernées :

• adresse IP des entités demandant une résolution du nom de domaine
• requête DNS effectué

Localisation des données :

• dnsdist : naboo (sous-traitant aeris)
• ns1 : prime

Mesures de sécurité : restriction des accès administrateur

NB : À noter que les IP traitées ne sont pas stockées et ne sont pour la plupart que des IP de FAI servant de résolveurs cache pour leurs propres clients. Cependant ce n’est pas supposé être le cas dans le fonctionnement nominal d’Internet et l’association devrait voir ici des IP de personnes physiques, donc des DCP. L’association ne pouvant qu’encourager toute personne concernée à utiliser un résolveur DNS local, par exemple pour supporter proprement DNSSec, l’hébergement d’une zone DNS est donc considéré comme un traitement de DCP, aucune information n’est persistée sur disque (pas de log).

NB : l’hyperviseur hébergeant la machine virtuel de l’association recourt à dnsdist pour propager les requêtes en IPv4 au serveur de l’association

Finalité : Permettre aux utilisateurs d’obtenir un compte sur la plate-forme

Base légale : consentement

Durée de rétention : jusqu’à clôture du compte

Données concernées :

• nom d’utilisateur
• mot de passe
• journaux de connexion

Finalité : Faire signer des mandats de représentation

Base légale : nécessaire à la fourniture du service

Durée de rétention : durée de traitement du dossier

Données concernées :

• nom, prénom
• adresse postale
• adresse email
• pièce d’identité
• mandat

Localisation des données :

• prime@postgresql:mandates
• prime@redis:0
• prime@vault:transit/mandates

Mesures de sécurité :

• chiffrement e2e des pièces d’identité pour vérification par un modérateur
• chiffrement at rest par un HSM Vault pour la conservation longue durée
• authentification forte par certificat des modérateurs
• authentification TOTP des modérateurs
• formation/sensibilisation au RGPD des modérateurs

NB : la mise-en-place d’un accès VPN pour les interfaces d’administration aurait été trop complexe à mettre en œuvre étant donné que les modérateurs et administrateurs sont bénévoles et non fortement liés à l’Association comme aurait pu l’être une relation employeur/employé. Il est donc difficile d’imposer un environnement de travail homogène à des bénévoles et de déployer des configurations VPN sur des machines plutôt à usage personnel. D’où le repli sur une authentification forte par certificat, qui limite fortement les capacités d’intrusion d’un tiers malveillant.

11/10/2023 : Lors de l’audit régulier du système, découverte que Caddy, le serveur web utilisé, ne permet pas de limiter correctement la durée de rétention des logs. Les logs, supposés être conservés pendant 15 jours, conformément à l’arrêt Télé2 de la CJUE, l’ont été en réalité depuis le 15 août 2023 16:49:58. La période concernée correspond à 3101 accès web depuis 289 adresses IPv6 et 591 IPv4 différentes. Tous les accès ne sont pas des personnes concernées au titre du RGPD, la présence de crawler (Fediverse, indexation…) étant notable (70-80%), la distinction précise entre les 2 catégories étant difficile à faire et peu pertinente ici.

Les logs concernés ont été supprimés immédiatement et une migration de l’infrastructure vers Nginx est planifiée avant le 15/10/2023. Le retour à Caddy ne se fera qu’après un correctif permettant de se mettre en conformité.

Les risques pour les droits des personnes concernées étant nuls (correction rapide, pas de perte de confidentialité, aucun usage des données) aucune notification de l’APD n’a été jugée nécessaire ni aucune notification aux personnes concernées.

06/03/2024 : Dans le cadre d’une mise-à-jour régulière du registre de traitement, un audit des systèmes en place a été conduit pour s’assurer de la cohérence avec les traitements listés. Il a été détecté que le dnsdist déployé en sous-traitance pour relayer le trafic DNS IPv4 vers la machine virtuelle de l’association avait le debug actif, ce qui a conduit à tracer les requêtes effectuées dans les journaux système. Le debug avait été activé le 17/08/2023 pour diagnostiquer un problème de communication DNS, mais n’avait pas été désactivé ensuite.

À la date de la détection du défaut de configuration, 3369 adresses IP, majoritairement des IP sur des plages m2m mais contenant aussi des IP domestiques, étaient encore présentes dans les journaux. Le sous-traitant a aussitôt notifié l’association et procédé à la désactivation du debug.

Les risques pour les droits des personnes concernées étant nuls (pas d’accès à l’information, rétention limitée à 15 jours, IP essentiellement m2m, données non sensibles) et aucun défaut d’intégrité/disponibilité/confidentialité n’ayant été détecté, aucune notification de l’APD n’a été jugée nécessaire ni aucune notification aux personnes concernées.

Finalité :

Base légale :

Durée de rétention :

Données concernées :

Localisation des données :

Mesures de sécurité :