Click here for the english version

Data Protection Code of Conduct eduGAIN

1. Problématique

Un des obstacles majeurs au bon fonctionnement de la fédération d'identité au niveau national et international est la configuration de la diffusion des attributs utilisateurs, au niveau des fournisseurs d'identité. Les contraintes liées à la protection des données personnelles des utilisateurs sont à l'origine de cette difficulté pour les administrateurs de fournisseurs d'identité.

Le Data Protection Code of Conduct, défini par GEANT dans le cadre de eduGAIN, fournit un cadre permettant la diffusion d'attributs utilisateurs à des fournisseurs de services au niveau international.

(https://geant3plus.archive.geant.net/Pages/uri/V1.html)

2. Principe du Code of Conduct

Le Code of Conduct définit un ensemble de bonnes pratiques que les fournisseurs de services s'engagent à respecter :

  • publication d'une Privacy Policy (en Anglais au moins) mentionant
    • l'entité légale,
    • la finalité des traitements,
    • la catégorie des attributs utilisateurs,
    • le destinataire des données,
    • les modalités d'accès/rectification des données.
  • demande d'attributs utilisateurs minimale pour le bon fonctionnement du service,
  • pas d'utilisation des données pour d'autres traitements,
  • pas de traitement secondaire des données,
  • sécurisation des données.

Seuls les fournisseurs de services établis en Europe (ou dans un pays offrant une protection des données adéquate) peuvent souscrire au Code of Conduct GEANT. Une autre version du Code of Conduct est en préparation à destination des fournisseurs de services établis hors Europe.

3. Souscription et utilisation du Code of Conduct

Les fournisseurs de services déclarent leur conformité au Code of Conduct via le guichet de leur propre fédération en indiquant l'URL de leur Privacy Policy. Cette information est propagée dans les méta-données eduGAIN sous une forme exploitable par les administrateurs d'IdP pour gérer la diffusion automatisée d'attributs utilisateurs à ces fournisseurs de services, compte-tenu des garanties qu'ils donnent en matière de gestion des données à caractère personnel.
La Privacy Policy doit être une page hébergée par vos soins, et qui doit contenir les informations suivantes :

  • Nom, adresse et juridiction du propriétaire du service,
  • Buts des traitements sur les attributs demandés,
  • Description des attributs demandés,
  • Description des éventuels transferts d'information vers des tiers,
  • Les moyens d'accès, de rectification et de suppression des données personnelles,
  • La durée de conservation des informations,
  • Une référence au Code de Conduite (http://www.geant.net/uri/dataprotection-code-of-conduct/v1).


En guise d'exemple, l'URL suivante est la Privacy Policy du service Rendez-Vous : https://rendez-vous.renater.fr/home/coc.html


Un extrait des méta-données eduGAIN décrivant un fournisseur de service conforme au Code of Conduct :

<md:EntityDescriptor entityID="https://clarin.ids-mannheim.de/shibboleth"> 
 <md:Extensions>
  ...
  <mdattr:EntityAttributes>
   <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
    <saml:AttributeValue>http://www.geant.net/uri/dataprotection-code-of-conduct/v1</saml:AttributeValue>
   </saml:Attribute>
  </mdattr:EntityAttributes>
 </md:Extensions>
 <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1:protocol urn:oasis:names:tc:SAML:2.0:protocol">
  <md:Extensions>
   <mdui:UIInfo>
   ...
    <mdui:PrivacyStatementURL xml:lang="en">https://clarin.ids-mannheim.de/privacy.html</mdui:PrivacyStatementURL>
   </mdui:UIInfo>
  </md:Extensions>
  ...

<note tip>eduGAIN publie une liste des SP eduGAIN souscrivant au Code of Conduct : http://monitor.edugain.org/coc/