Question:
Le RGPD affecte-t-il les accords de licence des contributeurs individuels pour les projets open source?
carlspring
2018-05-25 22:03:05 UTC
view on stackexchange narkive permalink

Je me demande si le RGPD affecte les projets OSS qui ont un accord de licence de contributeur individuel / (a.k.a. ICLA, ou simplement CLA), comme par exemple Apache 2.0. Les informations recueillies lors de la signature de l'un de ces éléments (nom, adresse, téléphone, e-mail) en tant que contributeur de code ne sont pas partagées avec des tiers, mais sont nécessaires pour éviter les réclamations pour droits d'auteur.

Un répondre:
Shinrai
2018-05-28 13:31:36 UTC
view on stackexchange narkive permalink

Réponse courte: Non

Réponse longue:

En supposant que le CLA informe la personne concernée des informations recueillies (assez explicite, la personne concernée met le informations dans le CLA) et à quoi il servira. Ensuite, en soumettant un CLA, ils donnent leur consentement à ce que le CLA déclare.

Comme indiqué ci-dessous, un CLA peut se qualifier pour les 6 raisons légales de traitement des données personnelles. Une des raisons est une extension, une autre une extension possible, le reste s'applique.

Gardez à l'esprit que si le CLA ne spécifie pas ou n'a pas spécifié à quoi les informations devaient être utilisées, alors ces documents sont en violation du RGPD. Dans le cas où un CLA a été signé avant le 25 mai 2018, vous avez deux choix. Détruisez les documents ou récupérez le consentement pour les informations obtenues dans ces documents aux fins de la licence afin d'éviter les revendications de droits d'auteur. Le consentement doit être informé conformément au considérant 32 du RGPD.

Un CLA est un contrat. Cela relève donc de ce qui suit:

Article 6:

Section 1a:

la personne concernée a donné son consentement au traitement de ses données personnelles à une ou plusieurs fins spécifiques;

En présumant le les données ne sont utilisées que pour ce à quoi l'accord stipule qu'elles seront utilisées.

Section 1b:

traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat;

Vous avez conclu un contrat qui doit indiquer à quoi servent les informations. Ainsi, ces informations sont nécessaires à l'exécution dudit contrat.

Section 1c:

le traitement est nécessaire pour le respect d'une obligation légale à laquelle le responsable du traitement est soumis;

Techniquement, le responsable du traitement est la personne physique ou l'entité responsable du projet OS. La licence attachée au projet OS est leur choix.

En fonction de la licence choisie et des CLA. Ils peuvent être en mesure de modifier cette licence (réédition sous une nouvelle licence). Et donc ils ne sont pas techniquement légalement obligés de suivre eux-mêmes la licence de copyright.

Cependant, si la licence choisie ne leur donne pas la propriété du code fourni, les CLA non plus; la licence elle-même nécessite des CLA, alors les informations recueillies dans un CLA sont une obligation légale. Bien que vous ayez du mal à entrer dans cette catégorie.

Section 1d:

le traitement est nécessaire dans afin de protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique;

S'applique uniquement si le projet OS est dirigé par une personne physique et non par une entité.

Section 1e:

le traitement est nécessaire à l'exécution d'une tâche effectuée dans l'intérêt public ou dans l'exercice de l'autorité officielle dévolue au contrôleur;

Peut-être, peut-être l'étirer là-bas. Bien que je pense personnellement qu'un projet OS est généralement dans l'intérêt public.

Section 1f:

le traitement est nécessaires aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont supplantés par les intérêts ou les droits et libertés fondamentaux de la personne concernée qui nécessitent la protection des données à caractère personnel, en particulier lorsque la personne concernée est un enfant.

L'intérêt légitime ici serait la licence de copyright du projet OS.

Êtes-vous sûr de la partie exigeant la re-signature du CLA pour les accords signés plus anciens? Jusqu'à présent, je n'ai vu aucun projet OSS chasser des contributeurs pour le faire. Je veux dire - si tel était le cas, cela ouvrirait la porte à tout un monde de cas où les développeurs auraient la possibilité de révoquer leur autorisation (si, par exemple, un projet est devenu assez réussi) et voudraient potentiellement une compensation pour ce. Je crois que les informations collectées pour le bien de l'accord (nom, adresse, e-mail, téléphone) sont obligatoires comme juridiquement contraignantes et correspondent à la clause «circonstances particulières».
Ces informations fournies par le contributeur servent uniquement à les identifier comme ayant accepté (sous forme signée) la licence du projet.
«Le consentement doit être informé conformément au considérant 32 du RGPD» signifie quoi exactement? Juste en leur envoyant un e-mail les informant de la raison pour laquelle leurs coordonnées seront conservées, ou en leur demandant à tous de signer à nouveau les accords avec cet amendement? (J'ai du mal à croire que ce soit ce dernier, car cela invaliderait également toutes sortes d'autres contrats signés juridiquement contraignants). S'il vous plaît donnez votre avis!
Encore une fois, cela dépend du CLA exact qui a été signé. Le RGPD n'invalide pas le CLA lui-même, il invalide la capacité de conserver les données personnelles de la personne concernée.La meilleure option, et probablement la plus sûre, serait de revendiquer l'article 6, paragraphe 1b. Car la CLA elle-même est un contrat en soi.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...