RGPD et plateformes non européennes. about politique-de-contribution-open-source HOT 4 CLOSED

D'un point de vue très pragmatique, la contribution de code source en tant que logiciel libre est publique et cette politique ne s'intéresse pas aux dépôts privés. Je ne fais pas de lien direct entre le traitement des données personnelles des plateformes et le RGPD et le fait de contribuer (et de signer votre contribution via le DCO comme cela est recommandé) implique que vous acceptez que votre contribution soit publique.

Si vous pensez au droit de retrait et de repentir, rien n’empêche une plateforme d'un pays étranger qui ne reconnait pas le droit moral de recopier le code source déjà contribué avec les difficultés que cela va entraîner. Rien de nouveau avec l RGPD.

Je veux bien un point de vue de juriste sur cet aspect si certains lisent ce commentaire.

Dans le choix d'une plateforme de service de gestion de source, un critère peut effectivement être le lien avec les dépôts privés et l'intérêt de les avoir hébergés en France.

Je ne veux pas présager des choix qui seront faits par les administrations, mais je doute que les plateformes publiques soient leur dépôt principal. Je m'attends plutôt à des git privés, probablement hébergées par l'administration elle-même, qui poussera vers la plateforme de service de son choix en fonction de la communauté visée. A noter que des réflexions sont en cours pour proposer une plateforme de référence "DINSIC" pour les dépôts privés des administrations qui n'en disposerait pas déjà.

from politique-de-contribution-open-source.

Je me propose de prendre la suite pour trouver un conseil juridique sur la question.

from politique-de-contribution-open-source.

Proposition de reprendre les discussions sur le thème RGPD de l'issue #52

from politique-de-contribution-open-source.

Voici les informations qui m'ont été transmises par notre département juridique (je retranscris librement, les erreurs sont miennes).

Depuis le 1er août 2016 le Privacy Shield est entré en vigueur aux USA. Ce « bouclier » permetaux entreprises américaines de s’auto-certifier conformes au RGPD en s’inscrivant sur le registre de l’administration américaine. Il permet de garantir un droit de limitation, d’opposition, d’accès et de rectification aux données à caractère personnel et il est censé mettre en œuvre des dispositifs de protection adéquats.

Pour le rapport entre GitHub et le Privacy Shield: https://help.github.com/en/github/site-policy/global-privacy-practices

Pour vérifier que la certification de GitHub est active: https://www.privacyshield.gov/participant?id=a2zt000000001K2AAI

Rien ne s'oppose juridiquement à ce qu'une administration propose à ses agents d'utiliser GitHub comme plateforme de publication de ses dépôts publics.

La politique de contributions aux logiciels libres de l'Etat ancre le principe d'un choix autonome de chaque organisme public en fonction de ses besoins: certains iront sur la forge publique de l'Adullact (peut-être confortés par l'actuelle convention entre la DINUM et l'Adullact), d'autres iront sur un compte d'organisation GitLab ou GitHub.

N'hésitez pas à rouvrir le ticket si vous pensez qu'il y a encore une incertitude juridique.

from politique-de-contribution-open-source.