Le Règlement général sur la protection des données (RGPD, General Data Protection Regulation — GDPR —, en anglais) entre en vigueur le 25 mai 2018. C’est l’occasion pour la société civile (comme La Quadrature du Net) de pouvoir lancer des actions de groupe. C’est également l’occasion pour les groupes mondiaux amateurs de données d’expatrier hors Union européenne les données personnelles qu’ils voudront exploiter après cette date. Et c’est surtout le moment, pour toutes les entreprises et administrations européennes, de se mettre à l’heure.

La suite de la dépêche présente les nouvelles obligations et compare les deux outils qui aideront à les gérer.

Madis est un logiciel opensource (AGPLv3) pour gérer la mise en conformité avec le Règlement Général à la Protection des Données (RGPD) de votre structure ou d'un ensemble de sites.

La pile technique comprend Symfony 4.4, pour le backend, et AdminLTE 2, pour les feuilles de style (CSS).

ANAVI Light Controller est une nouvelle carte matérielle libre pour contrôler un ruban de DEL (LED strip RGB). Ce projet est libre et conçu avec KiCAD, et disponible à l’achat à partir de 25 € jusqu’au 27 juin 2018.

La carte peut être utilisée de façon autonome avec le logiciel embarqué de démo en se connectant sur une page Web (MQTT d’Eclipse Paho). Mais passer par Internet via un broker MQTT public n’est peut‐être pas idéal pour tous, donc une autre solution est tout aussi envisageable via une passerelle locale (et optionnellement accessible à distance).

Naturellement, ce microcontrôleur (MCU) ESP8266 peut être aussi reprogrammé, c’est une alternative intéressante aux populaires Arduino car un bloc Wi‐Fi (pas libre ?) est intégré au MCU.

Ackify CE est une plateforme open-source (AGPL v3) permettant de générer des preuves de lecture cryptographiquement vérifiables pour des documents internes.

Le problème

Les organisations doivent souvent prouver qu'un collaborateur a lu un document (politique RGPD, charte de sécurité, formation obligatoire). Les solutions existantes sont soit trop lourdes (signature électronique qualifiée comme DocuSign à 10-30€/utilisateur/mois), soit non sécurisées (simple email).

La solution

Ackify génère des preuves de lecture cryptographiques avec :

• Signatures Ed25519 (même algo que SSH)
• Horodatage immutable (PostgreSQL triggers)
• Hash chain blockchain-like
• Vérification offline possible

Cas d'usage

• Validation de politiques internes (sécurité, RGPD)
• Attestations de formation obligatoire
• Prise de connaissance de procédures
• Accusés de réception contractuels

Différence avec DocuSign

Ackify n'est pas une alternative à DocuSign pour des contrats juridiques. C'est une solution simple pour des besoins internes où la signature qualifiée est overkill.

N'hésitez pas si vous avez des questions techniques !

Dans le cadre du RGPD, la CNIL fournit un outil open source nommé PIA pour faciliter et accompagner la conduite d’une analyse d’impact relative à la protection des données. En simplifiant beaucoup, ces analyses d’impact sont à réaliser lorsque l’on exécute des traitements sur des données à caractère personnel afin d’évaluer les risques que ces traitements peuvent provoquer.

PiaLab, un projet issu d’une divergence (« fork ») du code source de PIA de la CNIL, revisité au point qu’il finit par ne ressembler à son parent que visuellement, est sorti en version 1.2. Après une première version 1.0 sortie il y a un mois, la divergence avec PIA de la CNIL se fait maintenant largement ressentir : l’infrastructure (back‐end) est sous Symfony 4, la partie frontale (« front‐end ») a fait l’objet d’une migration sous Angular 5.2 et réécrit à 75 %, des tests automatisés ont été ajoutés… Le projet n’attend plus que de voir la CNIL fusionner le code de PiaLab dans PIA… Qui sait ?

PiaLab en version 1.2 (et en particulier par rapport à PIA), c’est une gestion de profils utilisateurs (DPD, responsable de traitement, etc.), une implémentation des flux de travaux (« workflow ») PIA / ISO 29134, l’utilisation de modèles de traitement pour faciliter le démarrage de la mise en conformité, l’intégration de fonctionnalités spécifiques multi‐structures ou de DPD externalisés‐mutualisés, la cartographie des traitements et leur organisation par catégorie d’activités de traitement.

En bref, si PiaLab atteint son but, il deviendra l’outil indispensable de votre DPD, dès que vous en mesurerez les potentiels. Structuration de la mise en conformité alignée sur les recommandations CNIL, robustesse, souplesse, évolutions régulières, couverture fonctionnelle qui avance par secteur en allant au fond de chaque question, une feuille de route lisible… Pour le vérifier, une seule solution : essayez PiaLab !

Le site Données personnelles publie une étude assez complète sur le règlement européen en matière de protection des données personnelles qui entrera en vigueur en mai 2018 (le GDPR / RGPD) et qui va révolutionner la protection de la vie privée. Les nouvelles sanctions, en particulier, vont inciter les organisations (les entreprises et l’État) à appliquer cette règlementation. Le règlement est long (100 pages — 99 articles de loi…), mais voici en substance onze actions pratiques qui peuvent être mises en œuvre pour se préparer au règlement :

1. minimiser les données personnelles collectées ;
2. s’assurer du fondement juridique du traitement ;
3. éviter de traiter des données sensibles ;
4. afficher les mentions légales ;
5. respecter le droit à la portabilité des données ;
6. mettre en place un registre de conformité ;
7. assurer la sécurité des données personnelles ;
8. créer un registre de violations de données personnelles ;
9. nommer un délégué à la protection des données ou data privacy officer (DPO) ;
10. mettre en place une évaluation d’impact sur la vie privée ou privacy impact assessment (PIA) pour les traitements les plus sensibles ;
11. s’assurer de ne pas transférer des données personnelles hors union européenne.

À méditer !