Journal Règlement général sur la protection des données

Posté par (page perso) . Licence CC by-sa
14
26
mai
2017

Bonjour Nal,

Dans un an jour pour jour (enfin, c'était hier mais j'ai trop traîné pour finir d'écrire), va s'appliquer un nouveau règlement : le Règlement Général sur la Protection des Données (RGPD) (en anglais : General Data Protection Regulation, GDPR).

C'est le nouveau (adopté en Avril 2016) texte de loi qui régit la protection des données pour les citoyens de l'union européenne. Nul doute que celui-ci va affecter les nombreux logiciels qui contiennent des données personnelles.

Cependant, contrairement à la loi de finances qui régit les logiciels de caisse et de facturation, on (enfin moi en tout cas) en entend pas parler ! (bon, c'est sur cela intervient un peu plus tôt 1er janvier 2018 … mais guère)
J'ai appris cette nouvelle au détour d'un forum presque par hasard.

Et vous : êtes-vous prêt pour ce nouveau règlement ? Vos logiciels seront-ils compatibles ? Avez-vous vérifié ou modifié vos logiciels ?

Pour en savoir plus :

Bonne journée (et bon pont).

  • # On entend pas parler

    Posté par (page perso) . Évalué à 3.

    La loi de finances 2016, on en a entendu parler parce que des gens se sont saisis du sujet et ont remué ciel et terre pour que ça bouge.

    Faut vraiment imaginer comment tout le monde s’en battait grave les steaks à la base …

    Y’a pas de miracle : faut aller lire les textes, extraire ce qui ne va pas, alerter (pour la LF2016, ça a commencé sur linuxfr.org) et s’organiser (l’April a servi le lieu de coordination pour la LF2016)

    Comme je me suis énormément donné sur LF2016, je ne te cache pas que je rechigne à me lancer dans une nouvelle aventure :)

  • # y a-il un problème zvec cette ditective ?

    Posté par . Évalué à 5.

    Ce que j'en ai lu ne semble pas poser de problème, au contraire, j' ai l'impression que ça améliorera es choses par rapport à ce qui se passe aujourd'hui. A moins que quelque chose m'ait échappé ?

  • # Une dépêche avec un résumé ?

    Posté par . Évalué à 10.

    C'est très intéressant, et semble aller dans le sens de la protections des citoyens et résidents européens, mais pour être correctement appliqué ça va demander des changements et des efforts à beaucoup de monde (en sûrement encore plus pour les acteurs hors Europe).

    En fait cela mériterait une dépêche avec une présentation des points majeurs. Il ne faut en effet pas sous-estimer le frein psychologique de nombre d'entre nous, à cliquer et lire un pavé de 88 pages juste pour le document principal, sans être auparavant motivé.

    Voici ce que j'en ai glané, de loin, avec l'article Wikipédia, la synthèse sur la site du conseil européen, et quelques recherches dans le gros document. C'est loin d'être exhaustif ou exact, et sûrement bourré de "fôtes inadmettables". Désolé d'avance.

    TL;DR

    La réglementation concerne les organisations dans et hors UE qui récoltent et traitent des données personnelles (nom, coordonnées physiques, électroniques ou bancaire, photo, etc) de résidents de l'UE.

    Obligations pour les organismes publics et privés

    Les organisations devront entre autres :

    • Obtenir l'accord des intéressés pour la récolte et l'utilisation des données perso (opt-in révocable).

    • Concevoir les produits (IOT?) et services selon les principes de la protection des données perso,

      • notamment via leur "pseudonymisation" (par exemple via chiffrement).
    • Notifier les intrusions avec fuites de données perso :

      • à l'autorité de contrôle nationale,
      • et aux personnes concernées s'il a été déterminé que la fuite peut leur porter préjudice.
    • Nommer un "délégué à la protection des données" pour :

      • la plupart des organismes publics,
      • les organismes privés dont le cœur de métier impliquent "le suivi régulier et systématique à grande échelle des personnes concernées" ou des traitements à grandes échelle sur des données sensibles telles que orientations politiques, philosophiques, religieuses ou sexuelles ; appartenance syndicale ; données biométriques, génétiques ou de santé ; condamnations pénales

    (Quels sont les organismes privés concernés? les gros services publics, les FAI, les réseaux sociaux, les chaînes de grande distribution, les banques, assurances et mutuelles?)

    Le délégué en question, idéalement spécialisé en droit et en sécurité informatique, peut-être un salarié ou en contrat de mission. (J'imagine que les Universités vont devoir créer des cursus spécialisés)

    Le délégué a un rôle :

    • d'information et contrôle de la réglementation auprès des organismes,
    • de contact et coopérations avec l'autorité de contrôle.

    Droits

    Les résidents européens auront, entre autres, le droit :

    • de s'opposer à l'utilisation des données personnelles à fin de profilage (réseau sociaux, régies publicitaires, grandes distribution, assurances?)
    • d'obtenir la portabilité des données d'une fournisseur de service à un autre (Penser à prévoir la fonction d'export des données perso des utilisateurs, l'import ça va être folklorique sans concertations)
    • de demander la rectification ou suppression ("droit à l'oubli") des données personnelles les concernant (en ce qui concerne la suppression, j'imagine qu'il y a des exception genre forces de l'ordre ou de la justice).
    • déposer une plainte auprès des autorités de contrôle des pays de l'UE
      • et de faire contrôler la décision de l'autorité par la justice de leur pays de résidence.

    Sanctions

    Le dégradé des sanctions :

    • simple avertissement,
    • une obligation d'audits réguliers
    • une amende dont le montant peut atteindre max(20M€, 4% du CA mondial sur l'année écoulée)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.