RGPD et logiciels libres pour accompagner les mises en conformité

Posté par (page perso) . Édité par ZeroHeure, Davy Defaud, Nils Ratusznik et Benoît Sibaud. Modéré par Nÿco. Licence CC by-sa.
31
1
mai
2018
Sécurité

Le Règlement général sur la protection des données (RGPD, General Data Protection Regulation — GDPR —, en anglais) entre en vigueur le 25 mai 2018. C’est l’occasion pour la société civile (comme La Quadrature du Net) de pouvoir lancer des actions de groupe. C’est également l’occasion pour les groupes mondiaux amateurs de données d’expatrier hors Union européenne les données personnelles qu’ils voudront exploiter après cette date. Et c’est surtout le moment, pour toutes les entreprises et administrations européennes, de se mettre à l’heure.

La suite de la dépêche présente les nouvelles obligations et compare les deux outils qui aideront à les gérer.

Sur le fond, la grande différence entre la loi informatique et libertés et le RGPD (qui la remplace) tient sur le renversement de la logique : avant les personnes devaient prouver une violation de la loi, aujourd’hui les organisations doivent prouver qu’elles s’y conforment bien. Pour cela, il est indiqué pour elles de nommer un DPO (Data Protection Officer ou délégué à la protection des données, en français).

Sur la forme en revanche, là, tout change ! Il ne s’agit plus de faire de déclaration de détention de données a priori, mais de pouvoir prouver à tout moment que les traitements de données sont conformes. Pour cela, il s’agit de tenir le registre de ses traitements, d’anticiper les risques quant à la perte, au vol ou à la modification de données, de définir des mesures pour l’amélioration continue de son système d’information au regard des risques, et de faire agréer le tout par les parties prenantes. Il s’agit également de préparer ses déclarations d’incident auprès de ses clients, de la CNIL ou des personnes concernées (en fonction de la gravité de l’incident ; notons qu’une perte de téléphone mobile ayant un accès à un compte de courriel de l’organisation constitue un incident).

Et c’est à ce niveau qu’un DPO bien outillé fait toute la différence. Le registre des traitements doit être tenu à jour et communicable sur simple demande, les incidents doivent être déclarés sous les 72 h pour le collecteur de données personnelles, et sans délai pour les sous‐traitants (au sens RGPD, pas du droit des affaires), et la démarche d’amélioration continue doit être mesurable (pour la traçabilité). À ce titre, un bon logiciel n’est pas un luxe.

Deux logiciels sont publiés sous licence GNU GPL v3 :

  • Pia initié par le Laboratoire d’Innovation Numérique de la CNIL, avec RubyOnRails en arrière‐plan et Angular 4 en frontal, s’en tient à la tenue des registres, des risques, des mesures et enregistre l’agrément des parties prenantes, sans distribution de rôles ;
  • PiaLab, divergence de Pia, initié par Libre Informatique avec Symfony 4 en arrière‐plan et Angular 4 en frontal, fait la tenue des registres, des risques, des mesures, enregistre l’agrément des parties prenantes, a commencé l’intégration de la déclaration des incidents, et permet le travail collaboratif par la définition d’utilisateurs et de rôles pour chacun, dont l’agrément « authentifié » des parties.
  • # Source de Pialab

    Posté par . Évalué à 6.

    Le lien envoie vers la page de promo de Pialab. Le source du fork pas facile à trouver sur le site est ici.

  • # Typo

    Posté par . Évalué à 2.

    « General Data Protection Regulation » (GDPR) et non « General Regulation on Data Protection » (GRDP).

  • # Fragmentation du WHOIS

    Posté par . Évalué à 2.

    Pour l'ICANN, le RGPD risque (entre autres) de mener à une fragmentation du WHOIS suivant l'interprétation que feront les opérateurs de registre et les bureaux d'enregistrement de cette directive.

  • # bobo tête

    Posté par (page perso) . Évalué à 6.

    Le RGPD c'est beau sur le papier contre les GAFA mais ils ont largement anticipé avec des accords d'exceptions et tout ce qu'il faut pour s'en protéger. Reste les autres entreprises, les petites structures, qui même si elles ont moins de risque d'être attaqué sont sensée être en conformité avec la loi.

    J'ai essayé de lire et surtout comprendre qui doit faire quoi, prouver, protéger, payer… C'est le foutoir. Il y a tout les rapaces de SSII qui découvre un moyen de vendre du temps humains et les cabinets juridiques qui sont encore à croire qu'une simple déclaration à la CNIL suffit…

    Pour moi, le RGPD, c'est de la poudre aux yeux et n'empêchera en rien la tracking publicitaire, la revente/vole d'information, le profiling… Enfin tout les trucs que nous subissons dès qu'on se connectent à Internet.

    Born to Kill EndUser !

    • [^] # Re: bobo tête

      Posté par (page perso) . Évalué à 5.

      Non, les amendes sont bien plus fortes, jusqu'à 4% du chiffre d'affaire. Les GAFA ne rigolent plus. Et vu la dernière de Facebook en Angleterre, c'est pas sur qu'ils s'en sortiront indemne la prochaine fois (si cela a lieu dans l'UE).

      Le plus important dans le RGPD est l'inversion de la charge de la preuve. C'est ce point là qui stresse tout le monde et qui fait que pas grand monde n'est prêt…

      • [^] # Re: bobo tête

        Posté par (page perso) . Évalué à 4.

        Et vu la dernière de Facebook en Angleterre, c'est pas sur qu'ils s'en sortiront indemne la prochaine fois (si cela a lieu dans l'UE).

        Ils vont se chopper une amende de 100M€… ça fait 0,625% de leur bénéfice annuel :-)

      • [^] # Re: bobo tête

        Posté par (page perso) . Évalué à 4.

        Le plus important dans le RGPD est l'inversion de la charge de la preuve. C'est ce point là qui stresse tout le monde et qui fait que pas grand monde n'est prêt…

        Je comprends ce que tu dis mais je ne sais pas si c'est très approprié de parler d'inversion de charge de preuve. On demande aux entreprises de se mettre en conformité en implémentant des processus et d'être prêtes à justifier de la bonne implémentation de ces processus en cas de contrôle – et pas nécessairement en cas d'accusation de non-conformité. (Je suppose qu'il s'agit de droit administratif par “opposition” au droit pénal, ou quelque chose de cet acabit?)

        Ce n'est pas bien différent de plein d'autres réglementations coercitives qui peuvent faire l'objet de contrôles, par exemple des contrôles d'hygiène en restauration, les contrôles d'inspection du travail ou les contrôles de bilan bancaire. Dans les domaines très complexes, comme par exemple le calcul de risque et de le bilan pour un établissement bancaire (style basel iii) il est parfaitement illusoire de tester la conformité sur les artefacts finaux et c'est donc logiquement les processus produisant ces artefacts qui sont contrôlés, et notamment la documentation de ces processus.

    • [^] # Re: bobo tête

      Posté par (page perso) . Évalué à 3.

      Pour moi, le RGPD, c'est de la poudre aux yeux et n'empêchera en rien la tracking publicitaire, la revente/vole d'information, le profiling… Enfin tout les trucs que nous subissons dès qu'on se connectent à Internet.

      Certes, ça n'empeche pas, mais ça devient illégal si l'utilisateur n'a pas donné son consentement. Depuis quelques semaines je vois passer sur twitter des faire-parts de décès de startup dont le business plan reposait sur la revente des données personnelles.

      Bref, il va y avoir un peu de ménage, et c'est pas plus mal.

      • [^] # Re: bobo tête

        Posté par (page perso) . Évalué à 2.

        illégal si l'utilisateur n'a pas donné son consentement.

        Hélas sauf pour les adresses email professionnelles.
        En gros 50 % des adresses emails réellement utilisées ?

        • [^] # Re: bobo tête

          Posté par (page perso) . Évalué à 3.

          sauf pour les adresses email professionnelles.

          Tu es sûr ? parce qu'une bonne partie d'entre elles contiennent le nom, voir le prénom, et donc des informations personnelles…

          • [^] # Re: bobo tête

            Posté par (page perso) . Évalué à 2.

            Hélas oui. Mais le texte ne donne pas de définition de ce qu'est une adresse email pro. Un truc en @orange.fr peut tout à fait être 100 % pro comme 100 % perso. Qui décide ? À quel tarif ?

            … et pour quelle sanction ridicule ?
            Parce que bon, avis perso, un bon spammeur est un spammeur emprisonné à perpétuité (genre 10 secondes de prison par email envoyé. Au bout de 200 millions d'emails il y a quasi perpétuité. Donc en gros au bout de 10 jours d'activité).

  • # Entrée en application

    Posté par (page perso) . Évalué à 1.

    Petite précision : le RGPD est déjà en vigueur depuis presque 2 ans, depuis le 24 mai 2016 (selon l’article 99 « le 20e jour suivant celui de sa publication au JOUE » et ça a été publié le 4 mai 2016), par contre il entre en application le 25 mai 2018 (selon le même article 99). Même certains juristes s’y trompent :)

    D’après ce que j’ai compris, c’est l’entrée en application qui compte réellement, le temps entre l’entrée en vigueur et l’entrée en application permet aux personnes concernées de se mettre en conformité (mais je suis pas juriste).

    ~ Seb35

  • # Encore une alternative libre

    Posté par (page perso) . Évalué à 5.

    MONARC, sous licence AGPL v3, permet également de conduire une DPIA.

    • [^] # Re: Encore une alternative libre

      Posté par (page perso) . Évalué à 3.

      MONARC semble très très intéressant en effet. Le "diff" d'importance semble être son orientation plus ISO30001 (ou je ne sais plus laquelle est basée sécurité du SI) que RGPD, ce qui ne le rend réellement utilisable pour le RGPD qu'à un public bien averti… et comme le DPO ne peut être issu de la DSI…

      Merci en tous cas du lien, j'étais passé à côté et ça pourrait servir en interne à mon entreprise à d'autres fins.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.