Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

OBF et RGPD

510 views

Published on

Que signifie la conformité au Règlement Général européen sur la Protection des Données pour les utilisateurs d’OBF et OBP? Nous développons depuis plusieurs années des services e-learning en ligne avec une démarche de qualité et nous sommes engagés à garantir à nos clients un niveau élevé de protection des données à caractère personnel.

Published in: Software
  • Be the first to comment

  • Be the first to like this

OBF et RGPD

  1. 1. Que signifie la conformité au Règlement Général européen sur la Protection des Données pour les utilisateurs d’OBF et OBP? Eric Rousselle
  2. 2. Quelques considérations concernant le Réglement Général européen sur la Protection des Données personnelles• Discendum a plus de 16 ans d’expérience en tant que fournisseur de services. La protection des données de nos clients et de nos utilisateurs a toujours été pour nous une priorité! • Le RGPD est bénéfique pour les fournisseurs et leurs clients, car il définit des règles claires concernant le traitement des données personnelles • Le RGPD apporte plus de transparence et nous espérons un renforcement de la confiance des utilisateurs • OBF et OBP sont conformes au RGPD • Les mises à jour RGPD des deux services seront effectuées les 22 et 23 mai.
  3. 3. Définitions essentielles pour comprendre le RGPD • Données à caractère personnel: toute information se rapportant à une personne physique identifiée ou identifiable • Personne concernée: une personne physique qui peut être identifiée, directement ou indirectement par référence à un identifiant • Responsable du traitement: le client qui déterminera les finalités et les moyens du traitement • Sous-traitant: le fournisseur de services, qui traitera des données à caractère personnel pour le compte du responsable du traitement; basé sur un Accord de traitement des données (DPA in english)
  4. 4. Quels droits le RGPD donne-t-il aux personnes concernées? • Droit d’accès à leurs données personnelles • Le droit de s’opposer au traitement de leurs données • Le droit de faire rectifier, bloquer, effacer ou anonymiser leurs données personnelles • Pour plus d’information: https://www.cnil.fr/fr/rgpd-notions-cles-et-bons-reflexes
  5. 5. Open Badge Factory et le RGPD • Le responsable du traitement est un client (une organisation) utilisant OBF pour créer et émettre des badges • Le sous-traitant est le fournisseur de service (Discendum) • Les personnes concernées sont les utilisateurs du client (administrateurs, créateurs et émetteurs) ayant un compte OBF mais aussi les bénéficiaires car les émetteurs utilisent leurs données personnelles pour émettre les badges
  6. 6. Comment les personnes concernées peuvent-elles contrôler leurs données à caractère personnel? • Tout utilisateur d’OBF peut accéder (dans OBF) à une liste de ses données et peut les effacer ainsi que son compte utilisateur. • Lors de la réception d’un badge, le bénéficaire reçoit, dans le message envoyé par l’émetteur, un lien pour accéder à ses données. • Le bénéficiaire peut exiger l’effacement ou l’anonymisation de ses données (nom, prénom, adresse courriel, et données saisies par les formulaires de demande de badges) • Les demandes d’effacement doivent être traitées par le responsable du traitement (client) dans un délai court (40 jours maximum ) • Le sous-traitant n’est pas responsable de l’effacement des données personnelles
  7. 7. Que ce passe-t-il quand les données personnelles sont effacées? • Utilisateur OBF: l’utilisateur n’a plus accès au service • le bénéficaire • Si une demande d’effacement total des données est faite, les badges du bénéficiaire cesseront de fonctionner. • Si la demande ne concerne que les données personnelles traitées par l’émetteur, les badges fonctionneront encore après l’effacement. • Les preuves ”cuites” dans les badges ne seront plus accessibles. • L’émetteur • Après l’effacement des données d’un bénéficiaire l’émetteur ne pourra plus obtenir des rapports concernant ce bénéficiaire
  8. 8. Les modalités du service OBF • L’Accord de traitement des données (Data Processing Agreement) • L’objet de cet accord est de convenir de la protection et securité des données personnelles du client dans les services du fournisseur de Service. • Modalités et conditions d’utilisation • Avis de confidentialité • Definit les données traitées ainsi que les finalités et les moyens du traitement (quoi, pourquoi et comment) • Après la mise à jour RGPD les utilisateurs devront accepter ces modalités avant d’accéder au service
  9. 9. Open Badge Passport et le RGPD
  10. 10. • Du point de vue du RGPD OBP est un cas relativement simple • Le fournisseur (Discendum) est à la fois responsable du traitement et sous-traitant • Les personnes concernées sont les utilisateurs du service OBP • Créer un compte OBP est une décision de l’utilisateur. Il crée lui-même son compte • L’utilisateur crée ses données à caractère personnel dans OBF • L’utilisateur a accès à ses données, il peut effacer lui-même ses données et son compte OBP • Le rôle du fournisseur n’est pas d’effacer les données des utilisateurs
  11. 11. Les modalités du service OBP • Modalités et Conditions • Avis de confidentialité
  12. 12. Bon à savoir • Les services OBF et OBP sont hébergés sur des serveurs situés dans un pays de l’Union Européenne (Finlande) • L’opérateur sous-traitant responsable de l’hébergement des services est en conformité avec le RGDP • Les banques de données d’ OBF et d’ OBP sont protégées (firewalls, etc.) et une sauvegarde journalière est effectuée. Les mots de passe et l’accès au services sont encryptés • Les données d’OBF et D’OBP ne sont pas tranferées vers d’autres systèmes. Mais il faut noter que quand un client émet des badges dans un LMS avec le plugin OBF les adresses courriel des bénéficiaires sont transmises par le LMS à OBF.
  13. 13. Du point de vue du RGDP OBF et OBP présentent peu de risques • Le nécessaire a été fait pour traiter les données à caractère personnel conformément au RGDP • Il n’y a pas de données sensibles dans ces services • Les données traitées sont réduites au stricte minimun • Les données à caractère personnel doivent être protégées, c’est un fait, mais il faut relativiser car les Open Badges sont par nature ouverts et n’ont pas de sens s’ils ne sont pas publiés!
  14. 14. Thank you! eric.rousselle@discendum.com @eric_rousselle

×