Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Réglementation RGPD, données personnelles

pistache

Bonjour.

Sauf erreur de ma part, la réglementation RGPD relative aux données personnelles n'a pas été abordée ici (tout du moins lorsque tape ce mot clef rien ne sort), alors que ce n'est pas un sujet récent ; elle rentrera en vigueur en mai prochain.

Elle prévoira entre autres des obligations de mettre en place des "portabilités personnelles des données collectées", des critères quant aux recueils de consentement de l'usager et divers dispositions quant aux données personnelles, qui ne semble pas être uniquement applicables aux exploitants qui sont des sociétés commerciales mais aussi aux associations...

Cela nous concerne soit en tant que développeur, utilisateur de logiciel, webmaster...

Je déborde sur un sujet juridique et ne suis pas juriste.
Je ne sais pas si cela vous intéressera.

Article de vulgarisation
http://www.dossierfamilial.com/consommation/technologies/protection-des-donnees-personnelles-en-ligne-ce-qui-va-changer-85793

Page CNIL : https://www.cnil.fr/fr/se-preparer-au-reglement-europeen

Texte réglementaire
http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

Cas d'exception :

"18-"Le présent règlement ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques."

On peut lire des recommandations de choix de solutions logicielles certifiées RGPD (que ce soient des extensions wordpress par exemple, être sûr de ce qu'elles vont faire des donnéeshttps://www.kanjian.fr/7-points-declaircissement-sur-le-rgpd-applique-aux-sites-internet.html ; emailing https://fr.mailjet.com/rgpd/mailjet-certification-iso-27001-conformite-rgpd/ ).

Avez-vous à proposer, outre les textes de références, des documentations "pratiques" pour les développeurs (qu'est-ce qu'il faut tracer, ne pas tracer, demander, conditions d'affichage et recueillement du consentement...) ? Ou un forum qui aborderait déjà le sujet pour les développeurs de logiciels libres.. Afficher des consentements pour poser des cookies, etc, bien de nos sites le proposent. Quant aux obligations de proposer des "portabilités" de données, cela semble moins documenté sur la façon de bien procéder.

Cordialement

Nuliel

Bonjour,

J'ai vu passer https://www.linkedin.com/pulse/la-cnil-frappe-fort-sur-darty-pour-faire-passer-un-message-laffont mais j'ai justement pas compris ce qu'est le DGPD. Je suis ni webmaster, ni développeur, je suis juste curieux 🙂
J'ai vu que tu proposes un article de vulgarisation mais le lien est mal formé, pourrais tu réparer le lien (il y a aussi celui du texte réglementaire qui est coupé)?

pistache

Excuse moi pour les liens rompus, je les ai corrigés.

Sous réserve de bonne compréhension car le droit n'est pas mon métier :

Cela serait une norme européenne des protections des données personnelles tel ce que nous avons actuellement en France, et semble-t-il avec des nouvelles dispositions dont un droit à la portabilité des données.

On lit et entend un peu tout à ce sujet : certains n'y voient qu'une contrainte organisationnelle (et non logicielle). En effet, actuellement (sans RGPD, il existe la loi dite "informatique&libertés" https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee ), même lorsqu'un usager demande le droit d'accès à ses données, tu n'es pas obligé d'avoir une fonction "exportation" dans ton logiciel, tu peux le recopier à la main avec un stylo sur du papier même si le traitement est informatisé. Le recueil du consentement de l'usager quant à l'acceptation de l'informatisation de ses données personnelles relève là aussi de l'organisationnel (cela pourrait être un formulaire écrit, pas forcément dans le logiciel).
Actuellement, sans RGPD et avec la loi informatique &libertés, dans les logiciels, il n'y a pas forcément de quoi répondre aux droits d'accès aux données des utilisateurs (une fonction qui extrait toutes les données d'un utilisateur sous forme intelligible afin de lui transmettre).

Ma question porte sur les nouveautés que va introduire le RGPD, du peu que j'ai compris de ce texte, par rapport aux dispositions actuelles en France, et particulièrement le droit à la portabilité. Un usager aurait le droit de récupérer ses données personnelles, cf art 68 du texte réglementaire
"Pour renforcer encore le contrôle qu'elles exercent sur leurs propres données, les personnes concernées devraient aussi avoir le droit, lorsque des données à caractère personnel font l'objet d'un traitement automatisé, de recevoir les données à caractère personnel les concernant, qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement. Il y a lieu d'encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données".

Tel je l'ai compris, tout logiciel qui traiterait des données personnelles devrait (et non devra dans l'art.68, quelle interprétation en faire) être pourvu au 25 mai, dans les cas d'application de ce texte (art2. cela ne concernerait que les personnes physiques dont les données personnelles seraient collectées, et en fonction du type de l'exploitant du logiciel (dérogations art. 18)), d'une possibilité technique de procéder à cette portabilité. L'art 68 ci-dessous (passage en gras) indique bien qu'il faut qu'il soit interopérable (vu sur divers sites sur ce qu'il fallait entendre par interopérable, il faudrait comprendre du CVS, XML, JSON... )

Par exemple, on peut lire ici que facebook a programmé une interface en vue de répondre à cette exigence de portabilité des données : https://comarketing-news.fr/rgdp-seulement-6-des-acteurs-en-france-seraient-prets/

Exemple d'interrogation pour le logiciel libre :
Imaginons un site internet sous phpBB, qui a comme usager des particuliers (art.2, cas d'application du RGPD) et que l'exploitant du site ne soit pas un particulier mais un pro (cas d'exclusion art.18) : est-ce que phpBB a la fonctionnalité logicielle pour générer un export en format interopérable de toutes les données personnelles d'un usager précis pour le transmettre à un autre site forum ?
Cela peut être réalisable en quelques requêtes SQL, comme tout logiciel libre peut être modifié par un utilisateur pour qu'il se rajoute cette fonctionnalité, faut-il qu'il puisse le faire techniquement, le temps de comprendre où sont toutes les données (tables..), etc. Si j'ai bien compris, le 25 mai prochain, dans les cas de figure applicable, il faudrait être techniquement prêt à lui fournir sur demande un tel fichier.

Pour ma part, n'étant pas concerné au regard de mes activités, c'est juste une interrogation sur sujet de société, une curiosité et savoir comment dans le logiciel libre cette nouvelle réglementation a été comprise, voire prise en compte.

pistache

La quatrature du Net vient de publier un article à ce sujet, ainsi que la directive 2016/680 :

https://www.laquadrature.net/fr/pjl_rgpd_amendements

pistache

Article indiquant la non ou faible prise en compte de la réglementation RGPD par le logiciel libre :

https://www.open-dsi.fr/du-rgpd-a-lerp-limpact-sur-lorganisation-des-esn/

"Si nous nous attardons sur l’actualité autour des solutions libres et open source, l’information autour du RGPD ne circule pas beaucoup. Ainsi, peu de professionnels relaient l’information."

Quelques directives sont données quant aux implémentations logicielles à envisager (voir chapitre "4 points sur les solutions que les ESN se doivent d’étudier !")

pistache

Le CNAM propose un mooc gratuit sur le RGPD (à destination des entreprises et associations)
http://www.sup-numerique.gouv.fr/cid126836/mooc-protection-des-donnees-personnelles-le-nouveau-droit.html

pistache

Des applications open source commencent à s'estampiller "GDPR Compliant"
http://opensourceforu.com/2018/03/open-source-gdpr-solution-financial-institutions%e2%80%8b/

pistache

RGPD et les blockchains : https://www.usine-digitale.fr/article/les-blockchains-confrontees-au-rgpd.N668549

nam1962

RGPD est clairement un machin comme aurait dit le Général.
- Ça va faire peser un coût administratif sur un maximum d'entreprises, sans vraiment protéger qui que ce soit. (donc ça crée une barrière à l'entrée pour tout nouvel acteur).
- Ça favorise de fait les géants de la collecte de donnée qui sont parfaitement équipés.
- Ça touche à tout (données des clients, du personnel, des candidats, des prospects).
- Ça part du principe que l'utilisateur est stupide.
- Ça va faire fuir les nouveaux projets vers des cieux plus cléments.
- Comme tu l'as indiqué plus haut, cela favorise les privateurs sur l'open source.

Pour comprendre les bases : il faut commencer par faire une cartographie exhaustive des données que l'on a, les justifier une à une, indiquer comment on les protège, comment on les gère, être obligé de signaler sous 72 heures si on t'en a volé.. Il faut avoir un DPO (Data Protection Officer qui a l'obligation de te dénoncer si tu commets une erreur)
Les pénalités sont colossales : jusqu'à 4% du chiffre d'affaire ou 20 millions.

Il faudra demander la permission explicite pour stocker des données ou envoyer un simple cookie...

bref, hum...
Ça donne du boulot aux consultants, cela dit.

Merci pour tes liens très intéressants, en voici trois autres:
Obligations de base RGPD :
Collection d'articles RGPD
Impact du RGPD sur le marketing direct

pistache

Bonjour.

Mon but n'est pas de lancer un débat sur l'intérêt du RGPD,
mais souligner qu'il existe et va s'imposer (l'ICANN va semble t il être aussi impacté : https://www.lemondeinformatique.fr/actualites/lire-l-icann-doit-lui-aussi-se-conformer-au-rgpd-71144.html ) .

Que l'application de celui-ci peut relever pour certains logiciels de l'ajout de nouvelles fonctionnalités, cela ne relève pas que de mesures organisationnelles.

Que si le logiciel libre veut gagner en crédibilité, s'imposer dans les entreprises, il faut bien qu'il se plie aux normes nombreuses et variées et s'adapte à l'environnement dans lequel il existe.

Le sujet ne m'ayant pas semblé abordé ici, j'y reporte quelques infos pour les développeurs, adminsys qui pourraient en avoir besoin.

Merci pour les trois liens supplémentaires.

Encore une autre ressource : un guide gratuit PDF de 76 pages (dont des infos techniques à partir de la page 57 : stratégie de sécurisation, méthodes d'anonymisation des données... ) .

http://amrae.fr/sites/default/files/fichiers_upload/Cahier%20technique%20RGPD_-%20v1.1%2027-02-2018__0.pdf

nam1962

En l’occurrence je parle bien de l'impact organisationnel, concurrentiel et structurel. 😉
Grosso, outre ce que j'indique plus haut, cela permet de réhabiliter le 1.0 (grosses structures vs startups, DSI vs agile, privateurs vs libre)

A noter, il s'impose en principe aussi aux acteurs publics : http://www.zdnet.fr/actualites/rgpd-le-retour-d-experience-tres-instructif-de-la-cnaf-39857040.htm
...et aux associations : https://blog.verticalsoft.com/2018/03/01/association-et-rgpd-comment-gerer-le-consentement-de-vos-adherents/

pistache

nam1962 a écrit
- Ça part du principe que l'utilisateur est stupide.

Cela peut être vu positivement en tant qu'une information claire, contextualisées de l'usager sur quelles données sont collectées et quel usage en est fait (et non pas une clause cachée au milieu de milliers de lignes dans des conditions générales d'utilisation tel actuellement).

La maîtrise des données n'est-elle pas le fer de lance du monde du logiciel libre, même si le RGPD est lourd à mettre en œuvre ?

Exemple d'un cas avec un logiciel libre : gradio.
Je me suis posé la question de ce que ce logiciel, fort sympathique et convivial, faisait de mes données suite à un incident.
Le logiciel propose via IHM l'accès à une base de donnée de milliers de radios et de gérer des favoris.
A un lancement du logiciel, mes favoris avaient disparu.
Je vais sur le site où il y a le gestionnaire des tickets, d'autres personnes ont le même problème.
La réponse apportée était que le serveur était HS.
Se pose donc la question d'où étaient mes données personnelles (sur un serveur, sont-elles anonymisées? ou en local mais va récupérer des infos sur un serveur (logo des radios...)), si elles sont sur un serveur quel usage en est fait ? Je n'ai pas d'accès rapide à cette information via l'interface du logiciel. J'aurais une partie des informations en regardant le code source (tout utilisateur n'est pas forcément capable ni a le temps nécessaire).
Une fois le RGPD applicable (le 25 mai prochain), est-ce que cela rentre dans le cas d'exclusion du RGPD : le particulier dans le cadre non lucratif... (Et encore il y a la notion de "responsable du traitement" qui annule ce cas d'exclusion https://www.schmitt-avocats.fr/donnees-personnelles/responsable-traitement-rgpd/ )

Il faut différencier les logiciels qui peuvent être utilisés à des fins de collecte de données personnelles de ceux qui sont conçus pour cela :

Avec Vi, je peux créer un fichier de données personnelles (tout comme avec un cahier et un stylo, rappelons qu'un registre papier relève des actuelles lois informatique & liberté). Mais je peux faire autre chose avec le logiciel : éditer un fichier de configuration, programmer.
De même avec un tableur.
Cela relève si j'ai tout bien compris, de l'organisationnel quant à la mise en œuvre du RGPD.

Avec un logiciel de gestion d'association 1901, de par sa conception, il y a une IHM dédiée à la collecte de données personnelles (nom, coordonnées...).
Pour lui, les fonctionnalités pour mettre en oeuvre le RGPD paraissent s'imposer.

Autre cas : phpBB, le logiciel de forum, qui collecte les adresse IP. L'adresse IP est en droit français une donnée personnelle, en Europe aussi.
A en lire la communauté US, cette nouvelle législation signalée par des usagers a été repoussée : demandes archivées, ou réponse qu'il n'y a pas à se soumettre ou impossibilité de respecter les réglementations de tous les pays. Cela semble changer un peu aux dernières discussions (étude de la possibilité de faire une extension). Tous les admin phpBB n'auront pas forcément la capacité technique à faire des requetes SQL pour extraire les données (dump données personnelles/portabilités... exemple de fonctionnalité non implémentée).

Les applications exécutables via internet sont sans doute pour la plupart concernées (outre la traçabilité du serveur de l'hébergeur, les applications collectent pour la plupart des adresses IP).

Tel indiqué dans le précédent message par nam1962, le RGPD s'applique aussi aux associations.
Un groupe qui œuvre sur un projet sur GitHub n'est pas une personne bénévole mais un groupe de personne.
Une association n'est pas forcément une association 1901 déclarée. En france, il existe aussi les associations dites "de fait".
Concerné par le RGPD ? (outils de tickets, gestion de version... collectent ils des données personnelles, aux normes ? ).
Est-ce que ces données collectées rentrent dans les champs d'exclusion pour traitements nécessaires à l'exécution d'un contrat ?

Nos distributions Gnu/Linux : par exemple le rapport de crash logiciel, la logithèques (évaluations...) : est-ce correctement anonymisé, est-ce que l'information affichée à l'usager via l'IHM est conforme dans 18.04 et LTS ?

Y-a-t-il une utilité à estampiller les logiciels "GRDP compliant" pour les usagers qui n'ont pas la compétence technique à évaluer le logiciel ?

Je ne suis pas juriste, je me pose juste ces questions.

pistache

Un guide pratique pour les développeurs (pas de jargon juridique, une transcription technique de ce qu'il faut faire) :
les fonctionnalités que vous devez prévoir dans vos logiciels pour répondre aux exigences RGPD

https://bohzo.developpez.com/rgpd-guide-pratique-developpeurs/

nam1962

Merci 🙂

pistache

pistache a écrit
Cas d'exception :

"18-"Le présent règlement ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques."

A ce sujet, j'avais du mal à saisir la portée de la dernière phrase. Le webmaster "amateur" étant quasiment de fait responsable du traitement du site qu'il met en oeuvre même à titre non lucratif.
Renseignements pris, effectivement, le cas d'exception de l'art. 18 ne semble pas s'y appliquer.
Le responsable du traitement ou le sous-traitant qui fournit les moyens de traiter des données à caractère personnel pour des activités personnelles ou domestiques est soumis au respect des dispositions du RGPD,

nam1962

La dernière phrase concerne plutôt Google : tu auras peut-être remarqué que Google Analytics a envoyé un message sur le sujet et a amendé ses outils de stockage d'info : si tu es webmaster tu peux gérer les infos de tes visiteurs.

Nuliel

Désolé d'avance si je pose une question stupide (j'ai du mal à comprendre cette réglementation), mais imaginons un site personnel ultra classique qui adapte une page web en fonction du navigateur et de la plateforme utilisée (c'est considéré comme des informations personnelles?), cette réglementation s'applique aussi dans ce cas? Et il faut du coup aussi chiffrer les logs du serveur web?

nam1962

De ce que j'ai compris de RGPD, les deux infos en question ne sont pas personnelles si elles ne sont pas liées aux IP.

Quand aux logs, on ne demande pas forcément de les chiffrer, mais plus simplement de ne pas en donner accès à des vilains.

Cela dit, j'ai discuté avec une grosse entreprise de services, leurs métiers concernent le traitement de données temps réel, donc ce ne sont pas des débutants ou amateurs !, quand je leur ai évoqué RGPD j'ai vu les têtes s'allonger et la réponse a été "on est dedans, mais comme tout le monde est dedans jusqu'au cou..."

Et ces jours-çi, je reçois de partout des mails me demandant gentiment si je peux répondre en clair que je veux toujours lire des newsletter, être dans la liste des membres d'un site, etc, etc...
Un peu d'affolement, quoi !

Nuliel

nam1962 a écritDe ce que j'ai compris de RGPD, les deux infos en question ne sont pas personnelles si elles ne sont pas liées aux IP.

Ah, donc les sites personnels basiques seraient en majorité pas concerné.

Quand aux logs, on ne demande pas forcément de les chiffrer, mais plus simplement de ne pas en donner accès à des vilains.

Ok, vu que sur le lien du post 13 ils parlaient massivement de chiffrement, je pensais que ce serait obligatoire.

Ah, panique à bord 🙂

nam1962

Ben le pitch de rgpd c'est la protection des données du consommateur contre les vilains géants du net.
Ça implique un truc qui coûte un os : avoir une base de données commentéeet protégée recensant les bases de données (sic)
Sérieusement commentée puisque tu dois dire pourquoi tu stocke la donnée et pour la protection tu dois :
- prouver que ton système protège par conception
- alerter si tu te fais pirater dans un délai ultra court
En réalité les GAFA et BATX ont depuis longtemps ce genre d'outil (c'est la base de leur métier) donc l'implémentation leur coûte presque zéro.
Pour les autres (pauvres européens) ce sont des coûts énormes justifiés par des possibles pénalités mortelles (jusqu'à 4% du CA ou 20 Millions d'Euros, ce qui tue tous les petits);

Côté consommateurs ?
Ben il n'y a plus de consommateurs mais des utilisateurs (ça le régulateur n'en a aucune notion). 3 catégories :
- Ceux qui s'en foutent (la majorité)
- Ceux qui contrôlent (une minorité bien représentée ici)
- Les indignés militants qui font surtout du bruit parce qu'ils ont du temps pour çà

Bref, ça ne protège rien du tout, ça coûte à tout le monde (donc ça affole) et ça handicape le business et l'innovation dans toute la zone concernée.
Un bon truc de bureaucrate 1.0.

Page suivante »