Conformité RGPD avec eXo Platform

eXo Platform Blog

Depuis le 25 mai 2018, l’union européenne a renforcé ses exigences en matière de protection des données personnelles. Le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) renforce les droits des personnes et les obligations des organisations qui collectent et traitent ces données.

Ce document a pour but d’une part de sensibiliser les clients d’eXo sur leurs obligations réglementaires pour être en conformité avec le RGPD ainsi que de les informer de l’impact de leur installation existante d’eXo Platform en matière de données personnelles.

Est-ce que votre organisation est concernée ?

Si vous utilisez eXo Platform, vous êtes forcément concerné par le RGPD. En effet, par nature il s’agit d’un logiciel de collaboration qui met des personnes en relation, généralement au travers de leur identité réelle.

Bien que ces données sont généralement librement fournies par les utilisateurs, elles correspondent à la définition des informations à caractère personnel du règlement. Vous devez donc vous assurer d’être en conformité.

Qui est responsable des données?

Votre organisation est responsable des données à caractère personnel stockées sur vos instances d’eXo Platform où qu’elles soient hébergées (dans le cloud ou dans vos locaux) et quel qu’en soit l’usage.

Lorsque vous avez un contrat de souscription avec eXo Platform, nous agissons en qualité de sous-traitant car nous assurons parfois l’hébergement de ces données, mais aussi la maintenance du logiciel qui les utilise. Nous sommes donc soumis à l’Article 28.

A ce titre, nous avons également une obligation de vous assister dans votre mise en conformité.  C’est pourquoi, outre les recommandations présentes dans ce guide, nous restons à votre disposition au travers du canal de support pour toute demande d’information ou d’analyse d’impact concernant les données à caractère personnel.

Nos ingénieurs et consultants sont sensibilisés et formés aux problématiques de protection de données personnelles et disposent de toute l’expertise et des moyens nécessaires pour étudier vos questions en relation avec nos logiciels et proposer des solutions de remédiation ou des conseils de mise en oeuvre.

Quelles sont les données personnelles ?

Dans eXo Platform, les principales données personnelles sont rassemblées sur la fiche profil. Elles comprennent les informations de contact suivantes : nom, prénom, sexe, adresses email, téléphones, identifiants de messagerie, adresses internet, ainsi qu’une photo portrait. Une section “A propos de moi” permet d’ajouter un paragraphe de présentation personnelle.

1

De plus, les utilisateurs peuvent également renseigner librement leurs expériences passées et leurs compétences:

2

Quels sont les traitements effectués ?

eXo n’exploite pas les données à caractère personnel de vos utilisateurs eXo Platform et ne transfère en aucun cas ces données à des tiers à votre insu. En tant qu’éditeur de logiciel, nous sommes déterminés à assurer directement la protection des données que nous hébergeons et à vous permettre de faire de même lorsque vous les hébergez vous-même.

Attention toutefois si vous avez installé des add-ons supplémentaires ne provenant pas d’eXo. Nous ne pouvons pas garantir que des logiciels tiers installés sur la plateforme n’accèdent pas à ces données.

Là encore, même si ce n’est pas une obligation, l’open source vous donne l’avantage de pouvoir auditer le code que vous installez pour vous assurer qu’il n’effectue réellement aucun traitement sur les données personnelles de vos utilisateurs.

Les données sont soit renseignées manuellement par des administrateurs ou les utilisateurs eux-même, soit synchronisées avec un annuaire d’entreprise. Ce traitement de synchronisation est à consigner dans un registre des activités de traitement que vous devez pouvoir produire sur demande.

Dans le cadre de notre offre hébergée, un traitement de sauvegarde des données est effectué. C’est l’ensemble des données qui est traité indistinctement pour pouvoir les restaurer en cas d’incident. Ces sauvegardes sont faites de manière quotidienne et stockées sur une infrastructure sécurisée redondée et séparée pour y être conservées pendant 30 jours maximum.

Informer les personnes concernées

Vous devez informer vos utilisateurs des raisons pour lesquelles vous collectez leurs données personnelles. Vous pouvez par exemple le faire au travers d’une charte d’utilisation à accepter à la première connexion ou par un consentement lors de l’inscription. Dans les deux cas vous devrez obtenir explicitement leur consentement, généralement par le biais d’une case à cocher dans un formulaire. Ce sont des choses faciles à mettre en oeuvre avec eXo Platform. Nos équipes techniques pourront vous expliquer comment les mettre en place très simplement sur votre instance sur simple demande via le support.

Dans le cadre d’eXo Platform, les données de profil sus-citées sont uniquement là pour représenter l’identité numérique de la personne sur le système. Elles sont utilisées dans le cadre des fonctionnalités collaboratives et sociales principalement à des fins de représentation (pour être identifié, reconnu, contacté et pour pouvoir leur attribuer des contributions) et d’interaction (chatter, mentionner, commenter, etc.).

34

 

 

 

 

Les autres informations du profil restent sur la fiche profil et sont indexées dans une base de données pour pouvoir retrouver les personnes en fonction de leurs expertises et expériences.

5

Exercer leurs droits

Vos utilisateurs ont le droit d’accéder, de rectifier, ou d’effacer leurs données personnelles.   Pour cela, la fiche profil standard permet à chaque utilisateur de modifier tous les champs pour exercer les deux premiers droits. Pour restituer les données de profil d’un utilisateur, il est possible de les obtenir au format JSON via API.

Pour le droit d’effacement, l’opération est possible par un administrateur très simplement. Elle consiste à supprimer le compte de l’utilisateur. Attention, cela interdira l’accès à la plateforme pour cet utilisateur de façon définitive et irrémédiable. S’il s’agit d’une demande de suspendre l’accès aux données, pensez à la fonction de désactivation de compte. Le profil d’un compte utilisateur supprimé ou désactivé sera automatiquement inaccessible.

Nous vous recommandons de mettre en place un moyen simple et facile pour faire la demande de rectification. Vous pouvez par exemple développer un formulaire de demande de rectification des données à l’aide des fonctions ECMS ou bien un simple envoi d’email à la personne désignée comme responsable de la protection des données. Là encore, nos équipes techniques sont à votre disposition pour vous aiguiller sur la mise en place d’un tel formulaire dans eXo Platform.

Sécurisation des données

L’accès aux comptes est sécurisé par un mot de passe chiffré. En revanche, il convient de vous assurer que vos utilisateurs puissent modifier leur mot de passe afin de sécuriser leurs données dès qu’ils pensent que leur mot de passe a pu être compromis. La réinitialisation du mot de passe est  une fonctionnalité standard dans le produit que vous devriez laisser accessible depuis la page de connexion.

67

Dans de nombreux cas, vous gérez les mots de passe dans un système autre que eXo Platform, comme un annuaire ou un service d’authentification unique (SSO). Là encore, il convient de sécuriser ces mots de passes. Rapprochez-vous de vos fournisseurs de ces services.

Hormis le mot de passe, les données ne sont pas stockées de manière chiffrée dans la base de données. Si vous hébergez vous-même votre propre instance, il conviendra de vous assurer que vos systèmes de gestion de base de données sont suffisamment protégés. Rapprochez-vous de l’éditeur de votre solution de base de données pour connaître les bonnes pratiques.

Dans le cadre de notre offre hébergée, les serveurs de base de données sont inaccessibles depuis internet. De plus, les données stockées sont chiffrées sur le disque (encryption at rest).

Enfin, l’accès au service force l’utilisation du protocole HTTPS qui chiffre les données en transit entre le navigateur et le serveur. Notre sous-traitant hébergeur cloud est Google, et vous pouvez consulter ses engagements de conformité au RGPD ici : https://www.google.com/intl/fr/cloud/security/gdpr/

Protection dès la conception et par défaut

Le fait qu’il limite les données à caractère personnel à des champs du profil utilisateur est un choix de conception du logiciel eXo Platform (privacy by design).

En revanche, les nombreuses applications collaboratives qu’il contient offrent multitudes de champs de saisie libre puisque c’est le principe même de la collaboration. Nous ne pouvons donc évidemment pas empêcher vos utilisateurs de divulguer des informations personnelles dans des endroits non prévus à cet effet (par exemple en donnant un numéro de téléphone un post sur le flux d’activité, un forum, une tâche, un événement, etc.).

Pour faire face à ces cas, le logiciel donne toujours aux administrateurs la possibilité de supprimer les données en question (voir notre article sur les outils de modération).  De même, dans le cadre de notre offre hébergée, vos administrateurs fonctionnels auront cette possibilité.

Dans le cas très improbable où la suppression d’une donnée personnelle serait impossible par les fonctions d’administration, les administrateurs système auront toujours la possibilité d’effectuer l’opération directement sur la base de données. Pour cela, nos équipes techniques sauront les guider pas à pas. Il suffira d’ouvrir un ticket de support avec la mention ‘privacy’, qui sera traité avec une priorité élevée.

D’autres questions ?

Nous sommes particulièrement sensibles à la protection des données et nous apportons le plus grand soin dans la conception de nos logiciels, dans nos procédures internes et dans la formation de nos équipes pour que vous puissiez bénéficier de nos services en toute sécurité et pleine conformité avec la réglementation.
Pour toute autre demande en rapport avec la confidentialité des données, n’hésitez pas à nous contacter à l’adresse suivante :

data-privacy@exoplatform.com

Découvrez comment eXo Platform peut vous aider à transformer votre entreprise!

Postes Connexes

"Je suis responsable des produits chez eXo, je supervise la gestion des produits et le marketing produit, mes équipes conçoivent, créent et promeuvent les fonctionnalités et les améliorations d'eXo Platform. En tant qu'ancien développeur de logiciels devenu chef de produit, j'ai une passion pour les technologies qui sont susceptibles d'améliorer la vie des gens. Dans ce blog, j'écris sur certains de mes intérêts personnels, tels que la productivité, les formes alternatives de gestion et d'organisation des entreprise, la collaboration, les technologies open-source et émergentes. "

Commentaires
Laisser une réponse

Votre adresse email ne sera pas publiée.

j’ai pris connaissance et j’accepte la politique de confidentialité En savoir Plus

Vous pouvez utiliser ces HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">