A place to cache linked articles (think custom and personal wayback machine)
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

5 年之前
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187
  1. title: DaTrust
  2. url: https://datrust-demo.herokuapp.com/histoire
  3. hash_url: 5b8ca2591e180f0d1f5eaf366ada63a3
  4. <p><em>un service d'aide à la mise en conformité RGPD</em></p>
  5. <h2>Contexte</h2>
  6. <p>Ce service est construit avec et pour <a href="https://datatransition.net/">DataTransition</a>, une entreprise de<br/>
  7. conseil et d'accompagnement autour de la <em>privacy</em>.</p>
  8. <h2>Histoire</h2>
  9. <h3>Finalité</h3>
  10. <p>DaTrust est un service qui propose une séquence qui passe par </p>
  11. <ul>
  12. <li>en accès libre
  13. <ul>
  14. <li>une évaluation des besoins de mise en conformité RGPD (Evaluation RGPD);</li>
  15. <li>une cartographie des macro traitement (Cartographie MATRA);</li>
  16. </ul></li>
  17. <li>en accès restreint
  18. <ul>
  19. <li>l'identification des fonctions de traitement ;</li>
  20. <li>un suivi de la mise en conformité RGPD;</li>
  21. </ul></li>
  22. <li>en accès administrateur
  23. <ul>
  24. <li>informations sur les évaluations</li>
  25. </ul></li>
  26. </ul>
  27. <h3>Généralité</h3>
  28. <p><em>À chaque endroit du service</em>, les mentions légales sont accessibles,<br/>
  29. lissibles, et clairement exprimé. <strong>En attendant la mise en place du texte, il y aura une petite histoire drôle qui sera accessible</strong>.</p>
  30. <h3>Évaluation RGPD</h3>
  31. <p>Après une brève explication de l'objet du service, la personnes utilisant le<br/>
  32. service peut démarrer l'évaluation. <strong>En attendant l'explication du service, il n'y a rien d'afficher sur cette page en dehors des liens</strong></p>
  33. <p>Une personne ayant déjà réalisée une évaluation, et en posséssion d'un code, peut retrouver son rapport et reprendre où elle en était. (<strong>Yannick est en train de travailler dessus</strong>)</p>
  34. <p>L'évaluation comporte une série de questions, visible dans le<br/>
  35. code source <a href="app/views/evaluations_rgpd/new.html.erb"><code>app/views/evaluations_rgpd/new.html.erb</code></a>. Ces questions sont réparti en 4 sections : </p>
  36. <ul>
  37. <li>Structure Juridique</li>
  38. <li>Personnes concernées</li>
  39. <li>Système d'information</li>
  40. <li>Projet RGPD</li>
  41. </ul>
  42. <p>Une fois l'évaluation remplie, le service analyse les réponses pour batir un rapport qui vous informera du niveau d'effort à fournir pour la mise en conformité, et de l'importance de le faire. <strong>En attendant de savoir comment nous allons traiter les réponses pour construire un rapport intéressant, nous affichons les informations saisies</strong></p>
  43. <p><em>En option, le service pourrait proposer d'exporter le rapport en PDF</em>. </p>
  44. <p>En plus d'afficher le rapport d'évaluation, le service affiche un code permettant de retrouver l'évaluation. Le service permet également d'envoyer facilement le code par email. (<strong>Yannick travaille sur ce point en ce moment</strong>). Aucun email n'est stocké en base par DataTransition.</p>
  45. <p>Le service propose de continuer par la construction d'une cartographie des macro-traitements.</p>
  46. <p>Tous les champs sont obligatoire, sauf le code APE et le bloc que de questions sur le projet RGPD si le projet n'a pas été entamé. <strong>En attendant, tous les champs sont facultatif</strong></p>
  47. <h3>Carto MATRA</h3>
  48. <p>L'objectif principal est de construire une liste des données utilisées (récoltées, manipulées, produites) dans un contexte donné.</p>
  49. <p>La contextualisation va se faire via :</p>
  50. <ul>
  51. <li>une organisation</li>
  52. <li>un service au sein de l'organsation</li>
  53. <li>une mission attachée à un service</li>
  54. <li>une activitée lié à une mission</li>
  55. </ul>
  56. <p><strong>En attendant de coder ce qu'il y a en dessous d'ici, l'application existante est considéré instable à partir de là</strong></p>
  57. <p>L'organisation est récupéré via la session. <strong>En attendant, nous attacherons le service à la première organisation trouvée.</strong></p>
  58. <p>La page principale est la cartographie.</p>
  59. <h4>Représentation de la carte</h4>
  60. <p>La cartographie représente en premier une liste des services connus. Chaque service est clickable et permet de visualiser ses missions. Chaque missions est clickable et permet de visualiser les activitées. </p>
  61. <p>On ne peux visualiser qu'un seul service à la fois, une seules mission à la fois, et une seule activitée à la fois. La liste des titres reste visible.</p>
  62. <h4>Navigation</h4>
  63. <p>La carte est la page principale.</p>
  64. <p>Elle propose un lien pour créer un service.</p>
  65. <p>Pour chaque service affiché, elle propose un lien pour créer une mission lié au service.</p>
  66. <p>Pour chaque mission affichée, elle propose un lien pour créer une activité lié à la mission.</p>
  67. <p>Dans chaque formulaire de créeation (service, mission, activité), on peut revenir à la page de cartographie sans avoir créé, ou bien après avoir créé.</p>
  68. <h4>Service</h4>
  69. <p>Un service est lié à une entreprise. Un service, c'est un nom et une description. Le lien à l'entreprise se fait de manière automatique (et non visible).</p>
  70. <h4>Mission</h4>
  71. <p>Une mission est liée à un service. </p>
  72. <p>Une mission, c'est :<br/>
  73. - un nom<br/>
  74. - une description<br/>
  75. - des personnes concernées</p>
  76. <p>Les personnes concernées peuvent être :<br/>
  77. - Salariée ou candidate<br/>
  78. - Cliente ou prospecte<br/>
  79. - Fournisseur ou partenaire</p>
  80. <h4>Activité</h4>
  81. <p>Une activité se compose d'un nom, d'une description, d'une liste de types de suport, d'une liste de types de données à caractère personnelle (DCP). Cette activité est lié à une mission.</p>
  82. <p>Les types de supports sont prédéfinis :<br/>
  83. - site web<br/>
  84. - application métier<br/>
  85. - bureautique<br/>
  86. - papier</p>
  87. <p>Nous parlons ici de support de collecte, de production et/ou de traitement d'information.</p>
  88. <p>Les types de DCP sont prédéfinis :</p>
  89. <ul>
  90. <li>Professionnelles</li>
  91. <li>Privées</li>
  92. <li>Données nominatives</li>
  93. <li>Données d’identification</li>
  94. <li>Données d’authentification</li>
  95. <li>Données de connexion</li>
  96. <li>Données sensibles permettant d’identifier directement ou indirectement une orientation sexuelle</li>
  97. <li>Données sensibles permettant d’identifier directement ou indirectement une appartenance politique</li>
  98. <li>Données sensibles permettant d’identifier directement ou indirectement une appartenance syndicale</li>
  99. <li>Données sensibles permettant d’identifier directement ou indirectement une appartenance religieuse ou spirituelle</li>
  100. <li>Données sensibles permettant d’identifier directement ou indirectement une appartenance philosophique</li>
  101. <li>Données sensibles permettant d’identifier directement ou indirectement une origine ethnique et/ou raciale</li>
  102. <li>Données sensibles relatives à des condamnations pénales</li>
  103. <li>Données permettant directement ou indirectement une discrimination d’accès à un droit, produit et/ou service</li>
  104. <li>Données permettant directement ou indirectement une aide à la décision automatisée</li>
  105. <li>Données comportementales</li>
  106. <li>Données de localisation</li>
  107. <li>Données sensibles de santé</li>
  108. <li>Données financières</li>
  109. <li>Données sensibles NIR : N° de sécurité social</li>
  110. </ul>
  111. <h3> Fonctions de traitement</h3>
  112. <h3>Suivi de la mise en conformité RGPD</h3>
  113. <h2>Mode opératoire</h2>
  114. <p>Nous allons :</p>
  115. <ul>
  116. <li>déployer aussi souvent que possible</li>
  117. <li>déployer sur Heroku dans un premier temps</li>
  118. <li>mettre à jour l'histoire aussi souvent que possible</li>
  119. <li>écrire et executer autant de test que nécessaire</li>
  120. <li>essayer de faire un jolie site au fur et à mesure, peut-être avec une charte ? <strong>En attendant le site est très basique</strong></li>
  121. </ul>
  122. <h2>Fonctionnement de ce document</h2>
  123. <p>Ce document est une forme expérimentale de backlog, c'est ici que nous allons<br/>
  124. écrire, décrire ce que le service fait ou va faire. Peut-être pourrait-on<br/>
  125. l'appeler documentation vivante, mais n'ayant pas encore lu le livre de Cyrille<br/>
  126. Martraire <a href="https://leanpub.com/livingdocumentation">Living Documentation</a>, je me garderais bien d'utiliser ce terme.</p>
  127. <p>Les phrases gras qui commence par <strong>En attendant</strong> correspondent à des choses qui ont été faite rapidement dans l'application en attendant mieux.</p>
  128. <p>Les phrase en italique qui commence par <em>En option</em> et qui utilise le conditionnel, correspondent à des choses qui pourrait être faite plus tard, afin d'améliorer l'utilisation du service.</p>