Sprint-ezMESURE-n°23-RGPD Mise en place [03/05/2018]
A partir du 25 mai 2018, la RGPD, directive européenne sur la protection des données utilisateurs s’applique.
ezMESURE, en tant que dépôt de données de consultations de ressources électroniques est susceptible d’héberger des données qui peuvent être considérées comme personnelles au sens de la CNIL.
Ceci concerne en particulier deux champs présents dans les événements de consultations générés par ezPAARSE, le champ host (potentiellement, une adresse IP), le champ login (potentiellement un identifiant de connexion, un nom ou une adresse mail).
Par défaut, depuis mars 2016 (date du vote de la directive), ezPAARSE est “privacy by design”, c’est à dire que par défaut, il crypte ces champs qui ne servent qu’au dédoublonnage des consultations.
Une instance locale d’ezPAARSE avec ce paramétrage respecte la recommandation CNIL.
Aucune instance ezPAARSE ne conserve de données, en particulier personnelles, se contentant d’agir comme un “filtre”. Le paramétrage par défaut de ce filtre génère des données anonymes à partir des log.
Au niveau ezMESURE, les événements de consultation chargés vous sont propres et restent tels que vous les avez chargés. La plateforme ezMESURE n’exploite pas les champs “host” et “login”. Nous sommes très vigilant à garantir l’accès protégé à vos données.
Un des objectifs d’ezMESURE est d’agréger les consultations sur des critères permettant une meilleure gestion de la politique documentaire, comme l’appartenance à une UMR (accès à une ressource par plusieurs voies différentes) ou la spécialité du consultant (détection de la multidisciplinarité) ou du statut (étudiant/chercheur)…
Ces agrégations pourront se faire suite à un enrichissement de vos événements de consultation. Elles ne sont pas encore en place et seront soumises à votre autorisation préalable.
A partir du 3/05/2018, nous vous demanderons une validation dans votre page profil destinée à nous assurer que vous êtes sensibilisé à la RGPD et vous proposerons des liens ou vous trouverez les informations nécessaires.
Les points à vérifier de votre côté sont les suivants :
- votre traitement ezPAARSE est bien enregistré dans la liste des traitements de votre organisme sur des données de log
- vous avez avertis vos utilisateurs si les données les concernant peuvent être considérées comme personnelles et sont chargées dans ezMESURE
l’équipe ezPAARSE/ezMESURE
Pour plus d’information :
CNIL : RGPD, se préparer en 6 étapes
GROUPE DE TRAVAIL : ARTICLE 29 SUR LA PROTECTION DES DONNEES