Le Règlement général sur la protection des données (RGPD, General Data Protection Regulation — GDPR —, en anglais) entre en vigueur le 25 mai 2018. C’est l’occasion pour la société civile (comme La Quadrature du Net) de pouvoir lancer des actions de groupe. C’est également l’occasion pour les groupes mondiaux amateurs de données d’expatrier hors Union européenne les données personnelles qu’ils voudront exploiter après cette date. Et c’est surtout le moment, pour toutes les entreprises et administrations européennes, de se mettre à l’heure.
La suite de la dépêche présente les nouvelles obligations et compare les deux outils qui aideront à les gérer.
Sur le fond, la grande différence entre la loi informatique et libertés et le RGPD (qui la remplace) tient sur le renversement de la logique : avant les personnes devaient prouver une violation de la loi, aujourd’hui les organisations doivent prouver qu’elles s’y conforment bien. Pour cela, il est indiqué pour elles de nommer un DPO (Data Protection Officer ou délégué à la protection des données, en français).
Sur la forme en revanche, là, tout change ! Il ne s’agit plus de faire de déclaration de détention de données a priori, mais de pouvoir prouver à tout moment que les traitements de données sont conformes. Pour cela, il s’agit de tenir le registre de ses traitements, d’anticiper les risques quant à la perte, au vol ou à la modification de données, de définir des mesures pour l’amélioration continue de son système d’information au regard des risques, et de faire agréer le tout par les parties prenantes. Il s’agit également de préparer ses déclarations d’incident auprès de ses clients, de la CNIL ou des personnes concernées (en fonction de la gravité de l’incident ; notons qu’une perte de téléphone mobile ayant un accès à un compte de courriel de l’organisation constitue un incident).
Et c’est à ce niveau qu’un DPO bien outillé fait toute la différence. Le registre des traitements doit être tenu à jour et communicable sur simple demande, les incidents doivent être déclarés sous les 72 h pour le collecteur de données personnelles, et sans délai pour les sous‐traitants (au sens RGPD, pas du droit des affaires), et la démarche d’amélioration continue doit être mesurable (pour la traçabilité). À ce titre, un bon logiciel n’est pas un luxe.
Deux logiciels sont publiés sous licence GNU GPL v3 :
- Pia initié par le Laboratoire d’Innovation Numérique de la CNIL, avec RubyOnRails en arrière‐plan et Angular 4 en frontal, s’en tient à la tenue des registres, des risques, des mesures et enregistre l’agrément des parties prenantes, sans distribution de rôles ;
- PiaLab, divergence de Pia, initié par Libre Informatique avec Symfony 4 en arrière‐plan et Angular 4 en frontal, fait la tenue des registres, des risques, des mesures, enregistre l’agrément des parties prenantes, a commencé l’intégration de la déclaration des incidents, et permet le travail collaboratif par la définition d’utilisateurs et de rôles pour chacun, dont l’agrément « authentifié » des parties.
Aller plus loin
- Logiciel PIA de la CNIL (1792 clics)
- Le fork PiaLab, de Libre Informatique, plus complet (3160 clics)
# Source de Pialab
Posté par rpnpif . Évalué à 6.
Le lien envoie vers la page de promo de Pialab. Le source du fork pas facile à trouver sur le site est ici.
# Typo
Posté par Frédéric Blanc . Évalué à 2.
« General Data Protection Regulation » (GDPR) et non « General Regulation on Data Protection » (GRDP).
[^] # Re: Typo
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Corrigé, merci.
# Fragmentation du WHOIS
Posté par Frédéric Blanc . Évalué à 2.
Pour l'ICANN, le RGPD risque (entre autres) de mener à une fragmentation du WHOIS suivant l'interprétation que feront les opérateurs de registre et les bureaux d'enregistrement de cette directive.
[^] # Re: Fragmentation du WHOIS
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 5.
On n'est pas forcé de croire l'ICANN au pied de la lettre : depuis des années, des serveurs whois sont conformes (le RGPD ne date pas d'aujourd'hui) https://twitter.com/Gnppn/status/986187291566764032
# bobo tête
Posté par Philippe M (site web personnel) . Évalué à 6.
Le RGPD c'est beau sur le papier contre les GAFA mais ils ont largement anticipé avec des accords d'exceptions et tout ce qu'il faut pour s'en protéger. Reste les autres entreprises, les petites structures, qui même si elles ont moins de risque d'être attaqué sont sensée être en conformité avec la loi.
J'ai essayé de lire et surtout comprendre qui doit faire quoi, prouver, protéger, payer… C'est le foutoir. Il y a tout les rapaces de SSII qui découvre un moyen de vendre du temps humains et les cabinets juridiques qui sont encore à croire qu'une simple déclaration à la CNIL suffit…
Pour moi, le RGPD, c'est de la poudre aux yeux et n'empêchera en rien la tracking publicitaire, la revente/vole d'information, le profiling… Enfin tout les trucs que nous subissons dès qu'on se connectent à Internet.
Born to Kill EndUser !
[^] # Re: bobo tête
Posté par Sytoka Modon (site web personnel) . Évalué à 5.
Non, les amendes sont bien plus fortes, jusqu'à 4% du chiffre d'affaire. Les GAFA ne rigolent plus. Et vu la dernière de Facebook en Angleterre, c'est pas sur qu'ils s'en sortiront indemne la prochaine fois (si cela a lieu dans l'UE).
Le plus important dans le RGPD est l'inversion de la charge de la preuve. C'est ce point là qui stresse tout le monde et qui fait que pas grand monde n'est prêt…
[^] # Re: bobo tête
Posté par Kerro . Évalué à 4.
Ils vont se chopper une amende de 100M€… ça fait 0,625% de leur bénéfice annuel :-)
[^] # Re: bobo tête
Posté par Sytoka Modon (site web personnel) . Évalué à 2.
Le RGPD n'est pas encore actif… Le 25 mai seulement. C'est pas rétro-actif !
[^] # Re: bobo tête
Posté par Michaël (site web personnel) . Évalué à 4.
Je comprends ce que tu dis mais je ne sais pas si c'est très approprié de parler d'inversion de charge de preuve. On demande aux entreprises de se mettre en conformité en implémentant des processus et d'être prêtes à justifier de la bonne implémentation de ces processus en cas de contrôle – et pas nécessairement en cas d'accusation de non-conformité. (Je suppose qu'il s'agit de droit administratif par “opposition” au droit pénal, ou quelque chose de cet acabit?)
Ce n'est pas bien différent de plein d'autres réglementations coercitives qui peuvent faire l'objet de contrôles, par exemple des contrôles d'hygiène en restauration, les contrôles d'inspection du travail ou les contrôles de bilan bancaire. Dans les domaines très complexes, comme par exemple le calcul de risque et de le bilan pour un établissement bancaire (style basel iii) il est parfaitement illusoire de tester la conformité sur les artefacts finaux et c'est donc logiquement les processus produisant ces artefacts qui sont contrôlés, et notamment la documentation de ces processus.
[^] # Re: bobo tête
Posté par Sytoka Modon (site web personnel) . Évalué à 3.
<< Parmi les changements majeurs pour les entreprises, l'inversion de la charge de la preuve … Le responsable de traitement doit pouvoir assurer et être en capacité de démontrer la conformité à l'ensemble du RGPD, >>
Référence : https://business.lesechos.fr/directions-financieres/comptabilite-et-gestion/gestion-des-risques/0301457494931-rgpd-plus-que-60-jours-319658.php
Il suffit de mettre "RGPD inversion de la charge de la preuve" dans tout bon moteur de recherche pour être submergé par les réponses. Cela dit, je ne suis pas juriste donc ne comprends pas toutes les implications. Ce que j'ai compris c'est que c'est ce point qui stresse tout le monde et que l'état français, dans son ensemble, n'est pas du tout prêt pour être conforme à la fin mai (ni à la fin 2018) !
[^] # Re: bobo tête
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 3.
Certes, ça n'empeche pas, mais ça devient illégal si l'utilisateur n'a pas donné son consentement. Depuis quelques semaines je vois passer sur twitter des faire-parts de décès de startup dont le business plan reposait sur la revente des données personnelles.
Bref, il va y avoir un peu de ménage, et c'est pas plus mal.
[^] # Re: bobo tête
Posté par Kerro . Évalué à 2.
Hélas sauf pour les adresses email professionnelles.
En gros 50 % des adresses emails réellement utilisées ?
[^] # Re: bobo tête
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 3.
Tu es sûr ? parce qu'une bonne partie d'entre elles contiennent le nom, voir le prénom, et donc des informations personnelles…
[^] # Re: bobo tête
Posté par Kerro . Évalué à 2.
Hélas oui. Mais le texte ne donne pas de définition de ce qu'est une adresse email pro. Un truc en @orange.fr peut tout à fait être 100 % pro comme 100 % perso. Qui décide ? À quel tarif ?
… et pour quelle sanction ridicule ?
Parce que bon, avis perso, un bon spammeur est un spammeur emprisonné à perpétuité (genre 10 secondes de prison par email envoyé. Au bout de 200 millions d'emails il y a quasi perpétuité. Donc en gros au bout de 10 jours d'activité).
# Entrée en application
Posté par Seb35 (site web personnel) . Évalué à 1.
Petite précision : le RGPD est déjà en vigueur depuis presque 2 ans, depuis le 24 mai 2016 (selon l’article 99 « le 20e jour suivant celui de sa publication au JOUE » et ça a été publié le 4 mai 2016), par contre il entre en application le 25 mai 2018 (selon le même article 99). Même certains juristes s’y trompent :)
D’après ce que j’ai compris, c’est l’entrée en application qui compte réellement, le temps entre l’entrée en vigueur et l’entrée en application permet aux personnes concernées de se mettre en conformité (mais je suis pas juriste).
~ Seb35
[^] # Re: Entrée en application
Posté par Sytoka Modon (site web personnel) . Évalué à 2.
Oui, c'est juste la date du 25 mai 2018 qui est importante.
# Encore une alternative libre
Posté par Cédric Bonhomme (site web personnel, Mastodon) . Évalué à 5.
MONARC, sous licence AGPL v3, permet également de conduire une DPIA.
[^] # Re: Encore une alternative libre
Posté par Baptiste SIMON (site web personnel) . Évalué à 3.
MONARC semble très très intéressant en effet. Le "diff" d'importance semble être son orientation plus ISO30001 (ou je ne sais plus laquelle est basée sécurité du SI) que RGPD, ce qui ne le rend réellement utilisable pour le RGPD qu'à un public bien averti… et comme le DPO ne peut être issu de la DSI…
Merci en tous cas du lien, j'étais passé à côté et ça pourrait servir en interne à mon entreprise à d'autres fins.
[^] # Re: Encore une alternative libre
Posté par BAud (site web personnel) . Évalué à 2.
ISO/CEI_27001 :-) (avec EBIOS et consorts)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.