Kentika et le RGPD - Aide à la mise en conformité

Préambule

Afin d'accompagner les administrateurs de base documentaire Kentika, un programme de mise en conformité est proposé. Il est composé de différents volets :

- une session de sensibilisation au RGPD et de formation aux outils disponibles dans le kit ;

- une assistance à l'installation du kit ;

- l'utilisation de l'outil d'auto-diagnostic ;

- les éléments du registre.

Ce qui est décrit ci-dessous est applicable avec la version 3.1 de Kentika. Pour les sites utilisant la version 3.0 à 3.0.2 : c'est une simple mise à jour sans convertisseur. Pour les sites utilisant une version antérieure, une migration vers la version 3.1 doit être préalablement réalisée.

De la version 3.0.n à la version 3.1

Mise à jour simple : arrêt du service, remplacement du programme Kentika server (et Kentika mono par sécurité), réglage et remise en service. Si le module KDE (full text) est installé, une mise à niveau sera peut être à prévoir. En savoir plus : cliquer ici.

Après installation de cette version et intégration du kit, les réglages peuvent débuter.

De la version 2.n à la version 3.1

Si la migration ne peut être réalisée avant le 25 mai 2018, des tâches préparatoires devront néanmoins être réalisées, notamment la préparation du registre et le contrôle de son architecture.

Installation du kit

Le kit peut être installé par tout gestionnaire ayant accès à l'option "Importer des données".

Après intégration, il est nécessaire de se ré-identifier pour que les nouvelles fonctions importées soient prises en compte.

Gestion des mots de passe

Contrôle à la saisie

Le contrôle des mots de passe est renforcé et paramétrable. Dans le dialogue "Préférences / Paramétrage / Exploitation" : de nouvelles options sont proposées.

Conseil : harmoniser les règles de construction des mots de passe avec celles appliquées dans les autres applications de gestion de votre organisation.

Gestion des connexions via SSO

Dans le cas où les utilisateurs se connectent à Kentika via SSO, le mot de passe Kentika n'est pas utilisé. Il est alors recommandé d'affecter un mot de passe aléatoire (voir ci-dessous : appliquer une formule "Brouiller le mot de passe").

Si la table des personnes est alimentée via une synchronisation avec une source extérieure (exemple : annuaire LDAP, fichier csv ...), il sera nécessaire de s'assurer que le filtre d'import provoque bien un brouillage du mot de passe lors de la création d'un nouveau compte.

Mot de passe oublié

Il est important d'activer le nouveau processus (envoi d'un jeton versus le mot de passe envoyé en clair dans un email).

Kentika client

Le contrôle des mots de passe est effectué depuis la fiche d'une personne ou depuis "Préférences / Mon profil / Identité" : Indiquez votre nouveau mot de passe.

Via le portail

Lorsqu'un utilisateur demande à modifier sa fiche identité, le formulaire se compose de plusieurs parties, dont une relative au mot de passe. Si le nouveau mot de passe renseigné ne correspond pas aux nouvelles règles, il n'est pas pris en compte et un message prévient l'utilisateur.

Demander à recevoir ses données personnelles

Périmètre des données personnelles gérées par le logiciel Kentika

Chaque utilisateur peut demander que ses données personnelles soient effacées du site.

NB : Il s’agit des données personnelles d’historique d’utilisation identifiables comme telles dans le logiciel à l’exclusion des données contenues spécifiquement dans les bases clientes dans les champs de métadonnées personnalisés, les champs de format libre ou encore les documents de Geide qui devront faire l’objet d’une attention et d’un traitement spécifique par le gestionnaire de la base de données (voir plus bas le point sur le processus de conformité)

Via le portail "Mes préférences", chaque utilisateur peut demander à recevoir un email récapitulant l'ensemble des données historiques qui le concerne. Un email est produit par Kentika et envoyé au demandeur.

Contenu des données personnelles

Le mail produit comporte les sections suivantes :

• les données de la fiche personne ;
• les recherches enregistrées ;
• les emprunts et réservations en cours ;
• l'historique des emprunts ;
• les demandes d'achat ;
• les revues sur lesquelles la personne figure en circulation ;
• les kentapps personnelles ;
• les sélections (ou paniers) ;
• les contributions (notes et commentaires) ;
• les actions lancées ;
• les actions qui ont été attribuées ;
• le log (saisies, modifications, suppressions, consultations, recherches ...)

NB : un mécanisme de pseudonymisation des logs et historiques d'emprunts au dela de six mois (valeur par défaut) fait que ces données anciennes n'apparaîtront pas.

Exemple d'email que recevra la personne qui en fait la demande

Le droit à l'oubli

Tout utilisateur peut exercer son droit à l'oubli au travers du portail / mes préférences.

A noter : un message d'alerte au cas où des emprunts seraient toujours en cours

Dans le cas d'un oubli définitif, l'utilisateur ne pourra plus bénéficier des ressources qui lui sont propres et services qui nécessitent une identification. Si une synchronisation est effectuée avec l'annuaire LDAP, sa fiche pourrait être recréée automatiquement (sans son historique). Il sera alors nécessaire de prévoir une adaptation du filtre d'import pour éviter que ce cas ne se produise.

Son activation provoque l'envoi d'un email à l'administrateur de la base (spécifié sur la fiche "site").