État de l'art : Drupal 8 et RGPD

RGPD c'est quoi ?

Règlement Général sur la Protection des Données, qui encadre le traitement des données personnelles.

Adoption : 2016 - Entrée en vigueur : 2018

La CNIL

La Commission Nationale de l'Informatique et des Libertés, elle propose plusieurs articles et documents pour informer et accompagner les entreprises dans l'application du RGPD.

  • Identifier les données
  • Déterminer qui a accès
  • Réduire le nombre de données collectées
  • Mettre en place un contrôle des accès
  • Supprimer ou archiver automatiquement les données
  • Informer et expliquer la collecte des données
  • Demander préalablement le consentement explicite
  • Permettre l'opposition, l'accès, la modification des données
  • Maintenir le site à jour
  • Segmenter les profils utilisateurs
  • Anonymiser / Chiffrer les données
  • Informer en cas de "fuite"

Alors Drupal ?

22 modules avec le mot clé "GDPR" pour Drupal 8

Drupal core

RGPD Ready ! En quelque sorte...

L'utilisateur peut voir ses données.

Il peut supprimer son compte et ses données.

Drupal GDPR Compliance Team

https://www.drupal.org/project/drupal_gdpr_team

It's not a module. It's better than that.

General Data Protection Regulation (gdpr)

Dernière version : 8.x-2.0-alpha6 le 02/01/2019

Le module seul fournit une check list de sensibilisation et d'autres sous modules

GDPR - Consent Tracking (gdpr_consent)

Le module permet de récolter le consentement des utilisateurs.

Il définit une entité et un type de champ.

GDPR - Fields (gdpr_fields)

Il propose à l'utilisateur de voir l'ensemble de ces données personnelles.

Côté administrateur on retrouve la liste de tous les champs présent par entité et il est possible de décider pour chacun si l'utilisateur peut y accéder et demander à "oublier" la valeur.

GDPR - Consent Tracking (gdpr_tasks)

Le module met en place un système de tâches (comme une demande de suppression ou d'accès) qui peut être utilisées par les visiteur et suivies par les gestionnaires du sites.

Les demandes sont traité par la cron et peuvent être review par des admins.

GDPR - Obfuscated SQL Dump (gdpr_dump)

Ce module met à disposition une commande drush et une interface de configuration pour réaliser des dumps de la base de donnée avec protection des informations utilisateurs.

drush gdpr:sql:dump

General Data Protection Regulation Compliance (gdpr_compliance)

Dernière version : 8.x-1.12 le 23/10/2018

Il permet la création d'une page de mentions légales associées à des interfaces de demande de consentement (bandeau, case à cocher dans un formulaire)

IP Anonymize (ip_anon)

Dernière version : 8.x-1.5 le 17/11/2018

Ce module permet de modifier les ips sauvées en base. Il prend en charge une bonne dizaine de module.

Cryptolog (cryptolog)

Dernière version : 8.x-1.3 le 05/12/2018

Le module remplace les ips des visiteurs par une version hashé. L'ip original est temporairement retrouvable mais pas stockée.

Cookies pour tous !

EU Cookie Compliance (eu_cookie_compliance)

Dernière version : 8.x-1.2 le 12/07/2018

Un des modules les plus utilisés (depuis 2012).

Il permet la mise en place d'une bannière de demande de consentement pour les cookies du site.

Il ne propose pas encore de choix par cookies ou catégories mais c'est en cours.

Cookiebot (cookiebot)

Dernière version : 8.x-1.0-alpha5 le 31/10/2018

Le module propose une intégration du service tier Cookiebot. La partie visible sur le site est une bannière de consentement aux cookies.

CookieConsent (cookieconsent)

Dernière version : 8.x-1.4 le 02/07/2018

Ce module fait l'intégration de la librairie CookieConsent

Et bien d'autres

GDPR Cookie Alert (cookie_gdpr)

Consent (consent) - OIL service

Cookie Control (cookiecontrol) - OIL service

Blizz Vanisher / Tacjs - Tarte au citron

GDPR Tag Manager (gdpr_tag_manager)

Dernière version : 8.x-1.1 le 13/12/2018

Le module inclut le Google tag Manager à travers un système respectant la RGPD, bandeau cookie via "cookie consent library", identification du pays du visiteur via l'ip, etc

Attention, si vous utilisez aussi le module GoogleTagManager (google_tag) l'insertion du tag se fera 2 fois.

D'autres modules 1/2

Voting API (votingapi) inclut un système d'anonymisation de l'ip du votant.

Smart IP (smart_ip) est un module permettant de définir la position géographique d'un visiteur à partir de son IP. C'est une dépendance de modules comme "EU Cookie Compliance" ou "Weather". Il propose des functions pour supprimer et bloquer les informations obtenues.

D'autres modules 2/2

deGov Simplenews (degov_simplenews) apporte plusieurs fonctionnalités "RGPD" au module Simplenews". Récolte de consentement, mentions d'informations (privacy policy), etc

Advertising Entity (ad_entity) est un module intégrant plusieurs fournisseurs de publicité et il propose une intégration avec Consent ou EU Cookie Compliance.

Autres Sujets

Matomo

Mailchimp - Mailchimp Popup Block

Mask User Data

Quantcast ?

Matomo

Crédits

Images et ressources du site de la CNIL

La présentation "Overview of GDPR contrib modules" de Dominika Péterová et Balu Ertl

Photo "Cookies" : Claire Hernandez

Photo "Caution WIP" : CC BY 4.0 Kevan

Merci

Guillaume Bec - @Bes_fr

guillaume@happyculture.coop

C'est à vous !