On Wed, 3 Oct 2018 19:39:23 +0000 / Philippe Bivas
<Philippe.Bivas@cedralis.com> said :
> Bonjour,
>
> Je recherche un logiciel pour la gestion d’une association et votre
> solution en mode SaaS me paraît très intéressante. Cependant, avant
> de me lancer, et compte tenu du contexte RGPD, pourriez-vous me
> donner quelques précisions sur l’hébergement (en France ?) ainsi que
> sur la sécurité (qui peut avoir accès aux données de mon
> association ? quelle protection contre le piratage ? ai-je la
> capacité de supprimer complètement un adhérent de la base s’il me
> demande de supprimer ses données personnelles ?).
Je te réponds sur la liste d'entraide à laquelle je t'invite à
t'inscrire car je ne peux pas répondre individuellement à chacun.
Pour répondre sur le fond il faut situer déjà la réflexion déjà en
cours sur le RGPD au niveau du logiciel Garradin, qui est la base de la
plateforme hébergée sur Garradin.eu. Tu trouvera des détails ici :
http://dev.kd2.org/garradin/RGPD
Comme tu pourra le lire, Garradin ne peut pas être GDPR-compliant si
ton asso n'a pas une approche GDPR-compliant en premier lieu
(utilisation de mots de passe forts, minimisation du volume de données
récoltées, effacement des données des anciens adhérents, etc.)
Comme indiqué sur cette même page le logiciel Garradin n'est pas
actuellement 100% compatible RGPD il manque notamment la suppression
automatisée (ou assistée) des données obsolètes (membres qui ne sont
plus adhérents notamment), actuellement ce doit être fait manuellement,
donc de ton ressort. Il n'y a pas également de logs d'accès aux données
des membres pour savoir qui a pu avoir accès à des données
personnelles. C'est prévu à l'avenir.
Pour les questions sur le SaaS il faut bien prendre en compte que le
service est assuré par une asso par des bénévoles (principalement
moi-même) et que donc tu aura un meilleur service, plus respectueux des
données privées qu'une entreprise ;) (je rigole pas : il n'y a même pas
de service de statistiques ou de cookies sur le site
http://garradin.eu/ !) mais que comme tout service bénévole il peut ne
pas être parfait.
Tu trouvera des infos sur l'asso ici : http://kd2.org/asso/
Plus précisément :
* L'hébergement est réalisé entre Europe et Océanie, ça dépends des
années et des variations tarifaires, on recherche toujours le tarif
le plus bas (cf. budget de l'asso, une paille !)
* Seulement les administrateurs système de KD2 ont accès aux données,
sauf piratage
* On utilise un firewall, des services de détection d'intrusions ou
d'attaques des mots de passe, etc. qui permettent de repousser les
attaques courantes. Mais aucun système n'est 200% sécurisé, et si on
fait tout ce qu'on peut (moyennant notre dispo de bénévoles) pour
sécuriser les services, une intrusion est toujours possible, comme
sur n'importe quel service informatique en fait… Cf. les fuites de
Facebook, Linkedin, etc. mais Garradin est le seul service de gestion
d'asso à forcer des mots de passe fort, proposer l'authentification à
double facteur, etc. donc clairement la sécurité est notre priorité
(même si elle est rarement celle des assos hélas !)
* Si tu supprime un adhérent il est supprimé de ta base de données,
définitivement, 24h plus tard il sera supprimé de la sauvegarde de ta
base de données et il n'en restera plus aucune trace
Si tu relis http://garradin.eu/conditions/ tu y verra : « Vous êtes
responsables de la gestion des données personnelles utilisées dans
votre interface. Nous ne cédons pas et ne céderons jamais les données
personnelles de votre interface. »
Garradin.eu est juste un service d'hébergement d'instances Garradin,
tout comme si tu hébergeais ton instance sur un autre hébergeur, sauf
que là tu n'as pas à t'occuper de la partie serveur / installation,
mais pour le reste tu es tout aussi indépendant que chez un autre
hébergeur : toutes les données t'appartiennent et c'est à toi de
t'assurer que tu sécurise ton espace de gestion (avec un mot de passe
fort, une authentification à double facteur, etc.) pour empêcher
l'accès à des attaquants, mais aussi que ton asso respecte le RGPD.
Cordialement.