Ceci est une ancienne révision du document !


Click here for the english version

Data Protection Code of Conduct eduGAIN

1. Problématique

Un des obstacles majeurs au bon fonctionnement de la fédération d'identité au niveau national et international est la configuration de la diffusion des attributs utilisateurs, au niveau des fournisseurs d'identité. Les contraintes liées à la protection des données personnelles des utilisateurs sont à l'origine de cette difficulté pour les administrateurs de fournisseurs d'identité.

Le Data Protection Code of Conduct, défini par GEANT dans le cadre de eduGAIN, fournit un cadre permettant la diffusion d'attributs utilisateurs à des fournisseurs de services au niveau international.

2. Principe du Code of Conduct

Le Code of Conduct définit un ensemble de bonnes pratiques que les fournisseurs de services s'engagent à respecter :

  • publication d'une Privacy Policy (en Anglais au moins) mentionant
    • l'entité légale,
    • la finalité des traitements,
    • la catégorie des attributs utilisateurs,
    • le destinataire des données,
    • les modalités d'accès/rectification des données.
  • demande d'attributs utilisateurs minimale pour le bon fonctionnement du service,
  • pas d'utilisation des données pour d'autres traitements,
  • pas de traitement secondaire des données,
  • sécurisation des données.

Seuls les fournisseurs de services établis en Europe (ou dans un pays offrant une protection des données adéquate) peuvent souscrire au Code of Conduct GEANT. Une autre version du Code of Conduct est en préparation à destination des fournisseurs de services établis hors Europe.

3. Souscription et utilisation du Code of Conduct

Les fournisseurs de services déclarent leur conformité au Code of Conduct via le guichet de leur propre fédération en indiquant l'URL de leur Privacy Policy. Cette information est propagée dans les méta-données eduGAIN sous une forme exploitable par les administrateurs d'IdP pour gérer la diffusion automatisée d'attributs utilisateurs à ces fournisseurs de services, compte-tenu des garanties qu'ils donnent en matière de gestion des données à caractère personnel.

Un extrait des méta-données eduGAIN décrivant un fournisseur de service conforme au Code of Conduct :

<md:EntityDescriptor entityID="https://clarin.ids-mannheim.de/shibboleth"> 
 <md:Extensions>
  ...
  <mdattr:EntityAttributes>
   <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
    <saml:AttributeValue>http://www.geant.net/uri/dataprotection-code-of-conduct/v1</saml:AttributeValue>
   </saml:Attribute>
  </mdattr:EntityAttributes>
 </md:Extensions>
 <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1:protocol urn:oasis:names:tc:SAML:2.0:protocol">
  <md:Extensions>
   <mdui:UIInfo>
   ...
    <mdui:PrivacyStatementURL xml:lang="en">https://clarin.ids-mannheim.de/privacy.html</mdui:PrivacyStatementURL>
   </mdui:UIInfo>
  </md:Extensions>
  ...
eduGAIN publie une liste des SP eduGAIN souscrivant au Code of Conduct : http://monitor.edugain.org/coc/