Contenu | Rechercher | Menus

Annonce

Toute l'équipe d'ubuntu-fr vous souhaite un joyeux Noël et une bonne et heureuse année 2018.

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Pour en savoir un peu plus sur l'équipe du forum.

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 09/01/2018, à 20:24

pistache

Réglementation DGPD, données personnelles

Bonjour.

Sauf erreur de ma part, la réglementation RGPD relative aux données personnelles n'a pas été abordée ici (tout du moins lorsque tape ce mot clef rien ne sort), alors que ce n'est pas un sujet récent ; elle rentrera en vigueur en mai prochain.

Elle prévoira entre autres des obligations de mettre en place des "portabilités personnelles des données collectées", des critères quant aux recueils de consentement de l'usager et divers dispositions quant aux données personnelles, qui ne semble pas être uniquement applicables aux exploitants qui sont des sociétés commerciales mais aussi aux associations...

Cela nous concerne soit en tant que développeur, utilisateur de logiciel, webmaster...

Je déborde sur un sujet juridique et ne suis pas juriste.
Je ne sais pas si cela vous intéressera.


Article de vulgarisation
http://www.dossierfamilial.com/consomma … nger-85793

Page CNIL : https://www.cnil.fr/fr/se-preparer-au-r … t-europeen

Texte réglementaire
http://eur-lex.europa.eu/legal-content/ … 32016R0679 

Cas d'exception :

"18-"Le présent règlement ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques."

On peut lire des recommandations de choix de solutions logicielles certifiées RGPD (que ce soient des extensions wordpress par exemple, être sûr de ce qu'elles vont faire des donnéeshttps://www.kanjian.fr/7-points-declaircissement-sur-le-rgpd-applique-aux-sites-internet.html  ; emailing https://fr.mailjet.com/rgpd/mailjet-cer … mite-rgpd/ ).

Avez-vous à proposer, outre les textes de références, des documentations "pratiques" pour les développeurs (qu'est-ce qu'il faut tracer, ne pas tracer, demander, conditions d'affichage et recueillement du consentement...) ? Ou un forum qui aborderait déjà le sujet pour les développeurs de logiciels libres..   Afficher des consentements pour poser des cookies, etc, bien de nos sites le proposent. Quant aux obligations de proposer des "portabilités" de données, cela semble moins documenté sur la façon de bien procéder.


Cordialement

Dernière modification par pistache (Le 16/01/2018, à 13:55)

Hors ligne

#2 Le 16/01/2018, à 13:40

Naziel

Re : Réglementation DGPD, données personnelles

Bonjour,

J'ai vu passer https://www.linkedin.com/pulse/la-cnil- … ge-laffont mais j'ai justement pas compris ce qu'est le DGPD. Je suis ni webmaster, ni développeur, je suis juste curieux smile
J'ai vu que tu proposes un article de vulgarisation mais le lien est mal formé, pourrais tu réparer le lien (il y a aussi celui du texte réglementaire qui est coupé)?


Signature
[ passer son sujet en résolu, mettre des images...] [ poster correctement un retour de commande ]
mon pc: HP 15-ac148nf: i5-4210U, 8 Go de ram, radeon R5 M330

En ligne

#3 Le 16/01/2018, à 14:30

pistache

Re : Réglementation DGPD, données personnelles

Excuse moi pour les liens rompus, je les ai corrigés.

Sous réserve de bonne compréhension car le droit n'est pas mon métier :

Cela serait une norme européenne des protections des données personnelles tel ce que nous avons actuellement en France, et semble-t-il avec des nouvelles dispositions dont un droit à la portabilité des données.

On lit et entend un peu tout à ce sujet : certains n'y voient qu'une contrainte organisationnelle (et non logicielle). En effet, actuellement (sans RGPD, il existe la loi dite "informatique&libertés" https://www.cnil.fr/fr/loi-78-17-du-6-j … 8-modifiee ), même lorsqu'un usager demande le droit d'accès à ses données, tu n'es pas obligé d'avoir une fonction "exportation" dans ton logiciel, tu peux le recopier à la main avec un stylo sur du papier même si le traitement est informatisé. Le recueil du consentement de l'usager quant à l'acceptation de l'informatisation de ses données personnelles relève là aussi de l'organisationnel (cela pourrait être un formulaire écrit, pas forcément dans le logiciel).
Actuellement, sans RGPD et avec la loi informatique &libertés, dans les logiciels, il n'y a pas forcément de quoi répondre aux droits d'accès aux données des utilisateurs (une fonction qui extrait toutes les données d'un utilisateur sous forme intelligible afin de lui transmettre). 

Ma question porte sur les nouveautés que va introduire le RGPD, du peu que j'ai compris de ce texte, par rapport aux dispositions actuelles en France, et particulièrement le droit à la portabilité. Un usager aurait le droit de récupérer ses données personnelles, cf art 68 du texte réglementaire
"Pour renforcer encore le contrôle qu'elles exercent sur leurs propres données, les personnes concernées devraient aussi avoir le droit, lorsque des données à caractère personnel font l'objet d'un traitement automatisé, de recevoir les données à caractère personnel les concernant, qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement. Il y a lieu d'encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données".

Tel je l'ai compris, tout logiciel qui traiterait des données personnelles devrait  (et non devra dans l'art.68, quelle interprétation en faire) être pourvu au 25 mai, dans les cas d'application de ce texte (art2. cela ne concernerait que les personnes physiques dont les données personnelles seraient collectées, et en fonction du type de l'exploitant du logiciel (dérogations art. 18)), d'une possibilité technique de procéder à cette portabilité. L'art 68 ci-dessous (passage en gras) indique bien qu'il faut qu'il soit interopérable (vu sur divers sites sur ce qu'il fallait entendre par interopérable, il faudrait comprendre du CVS, XML, JSON... )

Par exemple, on peut lire ici que facebook a programmé une interface en vue de répondre à cette exigence de portabilité des données : https://comarketing-news.fr/rgdp-seulem … ent-prets/

Exemple d'interrogation pour le logiciel libre :
Imaginons un site internet sous phpBB, qui a comme usager des particuliers (art.2, cas d'application du RGPD) et que l'exploitant du site ne soit pas un particulier mais un pro (cas d'exclusion art.18) : est-ce que phpBB a la fonctionnalité logicielle pour générer un export en format interopérable de toutes les données personnelles d'un usager précis pour le transmettre à un autre site forum ?
Cela peut être réalisable en quelques requêtes SQL, comme tout logiciel libre peut être modifié par un utilisateur pour qu'il se rajoute cette fonctionnalité, faut-il qu'il puisse le faire techniquement, le temps de comprendre où sont toutes les données (tables..), etc. Si j'ai bien compris, le 25 mai prochain, dans les cas de figure applicable, il faudrait être techniquement prêt à lui fournir sur demande un tel fichier.

Pour ma part, n'étant pas concerné au regard de mes activités, c'est juste une interrogation sur sujet de société, une curiosité et savoir comment dans le logiciel libre cette nouvelle réglementation a été comprise, voire prise en compte.

Dernière modification par pistache (Le 16/01/2018, à 15:41)

Hors ligne

#4 Le 19/01/2018, à 07:48

pistache

Re : Réglementation DGPD, données personnelles

La quatrature du Net vient de publier un article à ce sujet, ainsi que la directive 2016/680 :

https://www.laquadrature.net/fr/pjl_rgpd_amendements

Hors ligne