Click here for the english version

Data Protection Code of Conduct

Un des obstacles majeurs au bon fonctionnement d'une fédération d'identité au niveau national et international est la configuration de la diffusion des attributs utilisateurs, au niveau des fournisseurs d'identité. Les contraintes liées à la protection des données personnelles des utilisateurs sont à l'origine de cette difficulté pour les administrateurs de fournisseurs d'identité.

La spécification Data Protection Code of Conduct (CoC) vise à améliorer cette situation par la définition d'un certain nombre de bonnes pratiques que s'engage à respecter un fournisseur de service labellisé conforme.

Le Code of Conduct définit un ensemble de bonnes pratiques que les fournisseurs de services s'engagent à respecter :

  • publication d'une charte de confidentialité,
  • demande d'attributs utilisateurs minimale pour le bon fonctionnement du service,
  • pas d'utilisation des données pour d'autres traitements,
  • pas de traitement secondaire des données,
  • sécurisation des données.

Cette spécification a évolué avec le temps, et notamment avec la publication du RGPD en 2016. Il en existe aujourd'hui deux versions:

Le chapitre qui suit décrit les étapes à suivre par une organisation afin de pouvoir déclarer une entité SAML conforme au Code of Conduct.

La première étape consiste à s'auto-évaluer vis-à-vis des exigences décrites dans le Code of Conduct. Étant donné qu'il s'agit d'un engagement formel de l'organisation envers d'autres organisations, et non d'une décision purement technique, cette auto-évaluation est censée être réalisée (ou du moins validée) par une autorité compétente à cet égard, typiquement le délégué à la protection des données (DPO).

La charte de confidentialité (Privacy Policy) doit être une page publiquement accessible, rédigée au minimum en anglais, et qui doit contenir les informations suivantes :

  • Nom, adresse et juridiction du propriétaire du service,
  • Buts des traitements sur les attributs demandés,
  • Description des attributs demandés,
  • Description des éventuels transferts d'information vers des tiers,
  • Les moyens d'accès, de rectification et de suppression des données personnelles,
  • La durée de conservation des informations,
  • Une référence au Code de Conduite.

Un modèle de document pour cette charte est disponible ici.

La déclaration de conformité au Code of Conduct pour un fournisseur de service s'effectue via le guichet de la fédération, depuis la page d'édition de l'entité concernée.

Au niveau de l'onglet “conformité” de l'entité, il suffit simplement de cocher la case prévue à cet effet, afin d'attester que cette ressource est bien conforme. Après avoir coché la case, il est alors obligatoire de renseigner l'URL de la politique de confidentialité.

Une fois les modifications soumises, les métadonnées de l'entité seront modifiées pour signaler explicitement sa conformité. Les détails techniques sont indiqués en annexe.

Il est également de mettre à profil la signalisation explicite des fournisseurs de service conformes au Code of Conduct dans les métadonnées, pour leur accorder un niveau de confiance supérieur aux autres:

  • un fournisseur d'identité peut choisir d'authentifier ses utilisateurs uniquement pour des fournisseurs de service conformes
  • un fournisseur d'identité peut choisir de diffuser certains attributs uniquement pour des fournisseurs de service conformes

La conformité au Code of Conduct est exprimée dans les métadonnées via l’utilisation de l'attribut d'entité http://macedir.org/entity-category, et par la mention de la politique de conformité, comme illustré ci-dessous pour une entité conforme aux versions 1 et 2:

<md:EntityDescriptor...> 
  <md:Extensions>
    <mdattr:EntityAttributes>
      <saml:Attribute
        Name="http://macedir.org/entity-category"
        NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
        <saml:AttributeValue>http://www.geant.net/uri/dataprotection-code-of-conduct/v1</saml:AttributeValue>
        <saml:AttributeValue>https://refeds.org/category/code-of-conduct/v2</AttributeValue>
      </saml:Attribute>
    </mdattr:EntityAttributes>
  </md:Extensions>
  ...
  <md:SPSSODescriptor...>
    <md:Extensions>
      <mdui:UIInfo>
        ...
        <mdui:PrivacyStatementURL xml:lang="en">https://site.domain.tld/privacy.html</mdui:PrivacyStatementURL>
      </mdui:UIInfo>
    </md:Extensions>
  </md:SPSSODescriptor>
  ...
</md:EntityDescriptor>
eduGAIN publie une liste des SP eduGAIN souscrivant au Code of Conduct : http://monitor.edugain.org/coc/
  • federation/documentation/engagement-conformite/code-of-conduct.txt
  • Dernière modification : 2023/09/20 14:26
  • de guillaume.rousse@renater.fr