Le P.I.C. et vos données

par manu

Politique de protection des données

Le présent document constitue la politique de protection des données du PIC, en application du R.G.P.D (Règlement Général sur la Protection des Données).
Il peut être modifié régulièrement, chaque modification étant votée en Conseil d’Administration.

Version du 29 mai 2018

Adhérents et utilisateurs

Les adhérents sont :

  • Les personnes physiques adhérant à l’association PIC
  • Les personnes morales (associations de droit ou de fait) adhérant au PIC.
  • Par abus de langage, dans le texte qui suit, les adhérents sont aussi les représentants humains de ces personnes morales

Les utilisateurs sont :

  • Les personnes utilisant une application (site web, liste de diffusion, etc) hébergée par le PIC, qu’elle soit maintenue par le PIC ou par l’un de ses adhérents.
  • Les personnes participant à l’un des ateliers du PIC

Le PIC agit par rapport à ses adhérents en tant que sous-traitant (au sens du RGPD). Il est responsable du traitement des données personnelles de ses adhérents, qu’il utilise pour son propre fonctionnement. Le PIC n’est pas responsable du traitement des données personnelles confiées à ses adhérents, utilisées par eux pour le fonctionnement des associations adhérentes.

Quelles données personnelles ?

Le PIC utilise certaines données personnelles de ses adhérents (essentiellement nom, prénom, adresse de courriel, numéro de téléphone). Aucune donnée n’est collectée sans le consentement des personnes : si nous disposons d’une donnée personnelle vous concernant, c’est que vous nous l’avez... donnée !

Adhérents ayant un site ou une application Web hébergée au PIC :

Nous gardons au moins un contact technique et un contact administratif (nom, prénom, adresse postale et électronique).

Si en tant qu’adhérent vous souhaitez modifier ou supprimer ces informations, merci d’envoyer un courriel à picca@le-pic.org. Nous vous demanderons toutefois un autre contact technique ou administratif pour votre association tant qu’elle restera adhérente au PIC.

Si une association ne renouvelle pas son adhésion, ces informations sont retirées de nos bases de données au plus tard après une année.

Ces données sont importantes pour que nous puissions prendre contact avec nos adhérents, soit pour des raisons administratives (renouvellement de l’adhésion par exemple), soit pour des raisons techniques.

Listes de diffusion

Tout utilisateur abonné à au moins une liste hébergée par le PIC voit son adresse électronique, éventuellement ses nom et prénom insérés dans la base de données de Sympa.
Ces données sont automatiquement supprimées lorsque vous vous désabonnez de toutes les listes hébergées par le PIC (compter quelques jours).
Normalement, vous pouvez vous désabonner vous-même d’une liste. Il y a cependant des exceptions, par exemple les listes pic-adherents@le-pic.org et pic-listmaster@le-pic.org, qui regroupent d’une part les contacts techniques ou administratifs (cf. ci-dessus), d’autre par les propriétaires ou modérateurs de liste. Pour ne plus apparaître dans l’une de ces listes il suffit de ne plus assumer ces responsabilités.

Données des participants aux ateliers du PIC

Lorsque vous participez à un atelier organisé par le PIC, nous vous demandons de nous communiquer vos nom, adresse mail, éventuellement association adhérente au pic que vous représentez. Nous vous proposons aussi de vous inscrire à notre liste "pic-infolettre". Ces données sont utiles pour établir des statistiques de participation aux ateliers du PIC, et pour vous prévenir des prochains ateliers. Vous pouvez vous désinscrire à tout moment de la liste pic-infolettre.

Que faisons-nous de ces données ?

Le PIC utilise les données de ses adhérents, ainsi qu’il est déjà expliqué, afin d’être en mesure de contacter les personnes responsables en cas de nécessité pour le bon fonctionnement du service ou de l’association. En aucun cas le PIC n’utilise ces données à des fins commerciales, il ne les vend pas, ne les partage pas.
Les administrateurs, bénévoles, essaient de maintenir une bonne sécurité sur les serveurs du PIC afin que ces données ne soient pas volées (plus de détail ci-dessous).
Bien sûr, cela s’applique aussi bien aux données personnelles (adresses mail etc.) qu’aux données se trouvant sur les sites web, le contenu des messages envoyés par Sympa, etc. : nous les gardons sur nos serveurs pour qu’elles soient utilisées, nous pouvons le cas échéant les utiliser de manière anonyme pour générer des statistiques d’utilisation, mais ce cas mis à part n’en faisons rien !

Données personnelles maintenues par une association adhérente.

  • Le PIC ne peut être tenu responsable des données personnelles maintenues par une association elle-même adhérente. En tant qu’utilisateur, vous devrez le cas échéant prendre contact avec les dirigeants de l’association concernée.
  • Si vous souhaitez prendre contact avec le propriétaire d’une liste de diffusion hébergée par le PIC : pour la liste nom-de-liste@le-pic.org, envoyer un courriel à nom-de-liste-owner@le-pic.org
  • Vous pouvez modifier vos informations personnelles, vous désabonner d’une ou plusieurs listes, en faisant pointer votre navigateur sur : https://sympa.le-pic.org (bouton en haut à droite : Connexion)

Les fichiers log

Conformément à la loi, nous conservons dans nos journaux systèmes une trace de tous les accès des utilisateurs aux sites web.
Par ailleurs, chaque association adhérente a accès aux "journaux" d’utilisation de son site [1]. Les fichiers correspondants "tournent" toutes les 24 heures et sont automatiquement retirés au bout de 52 jours. Par ailleurs, les traces des accès à tous les sites du PIC sont conservées une année (mais l’accès à ces fichiers est réservé aux administrateurs du PIC) . [2]

Récupérer ou modifier ses données

Les données que vous déposez sur nos serveurs en tant qu’adhérent vous appartiennent pleinement : cela veut dire que vous pouvez les récupérer à tout moment, soit pour les sauvegarder ailleurs, soit parce que vous souhaitez quitter le PIC pour un autre hébergeur.
Pour cela les adhérents ont plusieurs outils à leur disposition :

  • sftp ou scp vous permet de récupérer les fichiers qui se trouvent sur votre espace web. Parmi eux, les fichiers logs d’accès à votre site ainsi qu’un dump de votre base de données daté de la veille au soir.
  • Si vous préférez, PhpMyAdmin vous permet également de vous connecter à votre base de données (sites ou applications web).
  • Les archives Sympa peuvent être téléchargées à tout moment via l’interface web de Sympa, ainsi que la liste des abonnés à une liste.
  • Les adhérents dont le site se trouve dans la mutualisation SPIP n’ont pas accès à sftp ni à PhpMyAdmin. Ils peuvent toutefois activer le plugin mes_fichiers, qui leur permettra de télécharger leur base de données de la veille et leurs fichiers (documents, squelette, état des plugins). [3].

En tant qu’utilisateur, pour exercer vos droits prévus au RGPD, vous devez vous adresser :

  • au PIC pour toute question relative au site web du pic ou à une liste maintenue par le pic : page de contact du site web
  • à l’association responsable du site ou de l’application web pour une application ou une liste dépendant d’une association adhérente.

Mise en sécurité des données

Le PIC héberge des données pour le compte de ses associations adhérentes. Ces données sont physiquement situées sur les serveurs maintenus par :

  • La société Gandi.net, dans un centre de données situé en France
  • L’association Tetaneutral, dans un autre centre de données situé lui aussi en France

Elles sont accessibles par :

  • les administrateurs systèmes du PIC, c’est-à-dire par les personnes ayant un compte utilisateur sur ses serveurs, avec droit administrateur.
  • les administrateurs de chaque association. Le sous-système d’utilisateurs de nos serveurs garantit que chaque association n’a accès qu’aux données dont elle assure le traitement : bases de données, fichiers de son espace web, liste de diffusion.
    Tous les serveurs sont régulièrement mis à jour, en particulier en ce qui concerne les correctifs de sécurité.

Toutes les données sont sauvegardées quotidiennement. Ces sauvegardes ont pour objectif de restaurer un site ou une application web en cas de problème majeur (intrusion, crash système, etc.). La rétention est d’une dizaine de jours (c’est-à-dire qu’on peut restaurer une sauvegarde datant de 10 jours au maximum). Le PIC recommande toutefois à ses adhérents de sauvegarder régulièrement leurs données sur une machine entièrement indépendante du PIC.

Sécurité des applications web

Le PIC est responsable :

  • de la sécurité de son site web
  • de la sécurité de l’installation Sympa
  • de la sécurité des sites web hébergés dans la mutualisation SPIP

Le PIC n’est pas responsable de la sécurité des CMS ou autres applications web installées par ses adhérents. Toutefois :

  • le système d’hébergement est conçu pour éviter qu’une intrusion sur une application d’un adhérent ne soit propagée sur les applications d’un autre adhérent
  • Le PIC se réserve le droit d’interrompre une application adhérente si celle-ci est compromise et met ainsi en danger l’ensemble de la plateforme (intrusion, consommation exagérée des ressources, etc.)
  • Le PIC peut conseiller ses adhérents pour ce qui est de la mise en sécurité des applications web hébergées au PIC

[1Sauf pour les sites hébergés dans la mutualisation SPIP

[2Les administrateurs des sites peuvent s’adresser au PIC pour avoir des données de connexion sur leur site plus anciennes que 52 jours.

[3Voir ici pour l’utilisation de ce plugin