davidbgk
/
larlet-fr-david-cache
Watch 1
Star 0
Fork 0
Code Releases 0 Activity
A place to cache linked articles (think custom and personal wayback machine)
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
42 Commits
1 Branch
Tree: 2e4d51a7b7
Branches Tags
${ item.name }
Create branch ${ searchTerm }
from '2e4d51a7b7'
${ noResults }
larlet-fr-david-cache/cache/5b8ca2591e180f0d1f5eaf366ad.../index.md

index.md 8.2KB
Raw Blame History

title: DaTrust url: https://datrust-demo.herokuapp.com/histoire hash_url: 5b8ca2591e

un service d'aide à la mise en conformité RGPD

Contexte

Ce service est construit avec et pour DataTransition, une entreprise de
conseil et d'accompagnement autour de la privacy.

Histoire

Finalité

DaTrust est un service qui propose une séquence qui passe par

  • en accès libre
    • une évaluation des besoins de mise en conformité RGPD (Evaluation RGPD);
    • une cartographie des macro traitement (Cartographie MATRA);
  • en accès restreint
    • l'identification des fonctions de traitement ;
    • un suivi de la mise en conformité RGPD;
  • en accès administrateur
    • informations sur les évaluations

Généralité

À chaque endroit du service, les mentions légales sont accessibles,
lissibles, et clairement exprimé. En attendant la mise en place du texte, il y aura une petite histoire drôle qui sera accessible.

Évaluation RGPD

Après une brève explication de l'objet du service, la personnes utilisant le
service peut démarrer l'évaluation. En attendant l'explication du service, il n'y a rien d'afficher sur cette page en dehors des liens

Une personne ayant déjà réalisée une évaluation, et en posséssion d'un code, peut retrouver son rapport et reprendre où elle en était. (Yannick est en train de travailler dessus)

L'évaluation comporte une série de questions, visible dans le
code source app/views/evaluations_rgpd/new.html.erb. Ces questions sont réparti en 4 sections :

  • Structure Juridique
  • Personnes concernées
  • Système d'information
  • Projet RGPD

Une fois l'évaluation remplie, le service analyse les réponses pour batir un rapport qui vous informera du niveau d'effort à fournir pour la mise en conformité, et de l'importance de le faire. En attendant de savoir comment nous allons traiter les réponses pour construire un rapport intéressant, nous affichons les informations saisies

En option, le service pourrait proposer d'exporter le rapport en PDF.

En plus d'afficher le rapport d'évaluation, le service affiche un code permettant de retrouver l'évaluation. Le service permet également d'envoyer facilement le code par email. (Yannick travaille sur ce point en ce moment). Aucun email n'est stocké en base par DataTransition.

Le service propose de continuer par la construction d'une cartographie des macro-traitements.

Tous les champs sont obligatoire, sauf le code APE et le bloc que de questions sur le projet RGPD si le projet n'a pas été entamé. En attendant, tous les champs sont facultatif

Carto MATRA

L'objectif principal est de construire une liste des données utilisées (récoltées, manipulées, produites) dans un contexte donné.

La contextualisation va se faire via :

  • une organisation
  • un service au sein de l'organsation
  • une mission attachée à un service
  • une activitée lié à une mission

En attendant de coder ce qu'il y a en dessous d'ici, l'application existante est considéré instable à partir de là

L'organisation est récupéré via la session. En attendant, nous attacherons le service à la première organisation trouvée.

La page principale est la cartographie.

Représentation de la carte

La cartographie représente en premier une liste des services connus. Chaque service est clickable et permet de visualiser ses missions. Chaque missions est clickable et permet de visualiser les activitées.

On ne peux visualiser qu'un seul service à la fois, une seules mission à la fois, et une seule activitée à la fois. La liste des titres reste visible.

Navigation

La carte est la page principale.

Elle propose un lien pour créer un service.

Pour chaque service affiché, elle propose un lien pour créer une mission lié au service.

Pour chaque mission affichée, elle propose un lien pour créer une activité lié à la mission.

Dans chaque formulaire de créeation (service, mission, activité), on peut revenir à la page de cartographie sans avoir créé, ou bien après avoir créé.

Service

Un service est lié à une entreprise. Un service, c'est un nom et une description. Le lien à l'entreprise se fait de manière automatique (et non visible).

Mission

Une mission est liée à un service.

Une mission, c'est :
- un nom
- une description
- des personnes concernées

Les personnes concernées peuvent être :
- Salariée ou candidate
- Cliente ou prospecte
- Fournisseur ou partenaire

Activité

Une activité se compose d'un nom, d'une description, d'une liste de types de suport, d'une liste de types de données à caractère personnelle (DCP). Cette activité est lié à une mission.

Les types de supports sont prédéfinis :
- site web
- application métier
- bureautique
- papier

Nous parlons ici de support de collecte, de production et/ou de traitement d'information.

Les types de DCP sont prédéfinis :

  • Professionnelles
  • Privées
  • Données nominatives
  • Données d’identification
  • Données d’authentification
  • Données de connexion
  • Données sensibles permettant d’identifier directement ou indirectement une orientation sexuelle
  • Données sensibles permettant d’identifier directement ou indirectement une appartenance politique
  • Données sensibles permettant d’identifier directement ou indirectement une appartenance syndicale
  • Données sensibles permettant d’identifier directement ou indirectement une appartenance religieuse ou spirituelle
  • Données sensibles permettant d’identifier directement ou indirectement une appartenance philosophique
  • Données sensibles permettant d’identifier directement ou indirectement une origine ethnique et/ou raciale
  • Données sensibles relatives à des condamnations pénales
  • Données permettant directement ou indirectement une discrimination d’accès à un droit, produit et/ou service
  • Données permettant directement ou indirectement une aide à la décision automatisée
  • Données comportementales
  • Données de localisation
  • Données sensibles de santé
  • Données financières
  • Données sensibles NIR : N° de sécurité social

 Fonctions de traitement

Suivi de la mise en conformité RGPD

Mode opératoire

Nous allons :

  • déployer aussi souvent que possible
  • déployer sur Heroku dans un premier temps
  • mettre à jour l'histoire aussi souvent que possible
  • écrire et executer autant de test que nécessaire
  • essayer de faire un jolie site au fur et à mesure, peut-être avec une charte ? En attendant le site est très basique

Fonctionnement de ce document

Ce document est une forme expérimentale de backlog, c'est ici que nous allons
écrire, décrire ce que le service fait ou va faire. Peut-être pourrait-on
l'appeler documentation vivante, mais n'ayant pas encore lu le livre de Cyrille
Martraire Living Documentation, je me garderais bien d'utiliser ce terme.

Les phrases gras qui commence par En attendant correspondent à des choses qui ont été faite rapidement dans l'application en attendant mieux.

Les phrase en italique qui commence par En option et qui utilise le conditionnel, correspondent à des choses qui pourrait être faite plus tard, afin d'améliorer l'utilisation du service.