Le RGPD règlement général sur la protection des données en Nouvelle-Calédonie

lecture 5 min
A- A+
lu
RGPD Règlement général sur la protection des données

RGPD

RGPD

Introduction 

Je partage avec vous mes notes sur le RGPD (Règlement général sur la protection des données) pour Radio Bounane en Nouvelle-Calédonie.

Pour info, nous sommes des experts du Web (Technologie Drupal) et non des avocats du RGPD. Cette page ne constitue en aucun cas un conseil juridique. Mais vous allez voir, ce texte est très important pour nous. 

Cela va permettre de redonner aux internautes le contrôle de leurs données personnelles

Pour la petite histoire, (au niveau européen en matière de protection des données personnelles) le 27 avril 2016, après 4 ans de négociations, l’Europe a voté le RGPD "Règlement général sur la protection des données", en anglais le GDPR "General Data Protection Regulation". 
Cette importante modification législative devrait être lancée en mai 2018 et, en tant que développeurs de sites Web responsables des sites Web des clients, nous devons être prêts à nous assurer que nous nous conformons au Règlement général sur la protection des données personnelles des internautes.

Les entreprises ayant des sites Web dans l'UE, et tous les pays hors UE qui ciblent les visiteurs dans l'UE, sont soumises au GDPR, ce qui constitue un changement par rapport aux exigences précédentes.

Cela touche la Nouvelle-Calédonie bien évidement

Consentement des données personnelles

Toutes les données personnelles doivent être données librement et les opt-ins doivent être spécifiques et clairs. Les utilisateurs qui ne donnent pas leur consentement ne doivent pas être discriminés.

  1. Cela signifie que tous les formulaires qui recueillent des données auprès des utilisateurs (profils d'utilisateurs, formulaires Web, caddies d'achats, formulaires de don, etc.) ont des champs d'inscription clairs avec des descriptions concises, et surtout que les visiteurs peuvent toujours bénéficier des mêmes fonctionnalités.
  2. Si les internautes ne veut pas fournir leurs informations. Dans la pratique, il est impossible d'ouvrir un compte sur un e-commerce électronique sans approuvé quoi que se soit. Mais cela signifie aussi que les offres de freemium en échange de données peuvent ne pas être autorisées.
  3. Nous devons également expliquer au visiteur comment ses données personnelles seront utilisées, par qui, et pour combien de temps.
  4. Nous devons clarifier ce qui est en cours de traitement et pour quelles raisons, ainsi que la durée de stockage des données.
  5. Nous devons également indiquer clairement qui le visiteur peut contacter au sujet de leurs données et de toutes les actions de traitement.
  6. Nous devons également nous assurer que les données personnelles sont uniquement utilisées pour les objectifs que nous avons acceptés. Cela signifie que nous ne pouvons pas ajouter automatiquement des acheteurs ou des soumissionnaires Webform à nos listes Mailchimp (mailing list).
  7. Nos politiques de confidentialité doivent clairement définir ce que nous faisons avec les données.

Le RGPD incite les entreprises à une plus grande transparence dans l'exploitation des données 

81% des français gênés par l'utilisation de leurs données personnelles à des fins de ciblage publicitaire.

Moins de 10% des entreprises françaises estiment être en conformité avec le RGPD (étude menée par IDC). 

Réduction des données et confidentialité par défaut

Pour le développement en Drupal, nous avons normalement des environnements de :

  • développement 
  • staging  
  • production

La minimisation des données signifie que les données personnelles doivent être supprimées des environnements hors production. Nous devons masquer les données sensibles de manière réaliste et cohérente - ce qui satisfait les exigences du GDPR tout en nous permettant de tester et développer avec un ensemble de données significatives.

Dans les environnements de production, cela signifie limiter les données que nous collectons en premier lieu. Avons-nous vraiment besoin de ces données? Idéalement, les formulaires devraient être simplifiés autant que possible.

GDPR se réfère à la pseudonymisation

GDPR se réfère à la pseudonymisation. C'est un moyen de transformer les données afin qu'elles ne puissent pas être facilement liées à un individu. Par exemple, nous pourrions utiliser un identifiant contre des données non personnelles (produit commercial, montants, frais de port, etc.) et conserver les données personnelles identifiables dans une base de données distincte. Cela signifie qu'en cas de violation de données sur notre base de données principale, aucune donnée personnelle ne sera perdue.

Clairement, ce n'est pas possible à Drupal pour le moment. Une réécriture majeure de nombreux modules incluant le core serait nécessaire.

Un exemple souvent mentionné de ceci est le cryptage. Si nous stockons les données dans une base de données chiffrée, la clé doit être déchiffrée. Le SSL est également très important: les données doivent être transmises sur des canaux sécurisés (HTTPS). Ce n'est pas la même chose, mais cela pourrait aller dans le sens de l'exigence.

Infractions aux données

  1. En cas de suspicion de violation de données (hacking), les autorités de protection des données doivent être averties dans les 72 heures suivant la découverte.
  2. Un audit doit être effectué de toute perte de données suspectée et, de toute évidence, l'exploit de violation doit être fixé et adressé.
  3. Un bon support et maintenance de votre site web signifie que nous devrions garder tous nos codes et modules de base sécurisés et à jour.
  4. Nous devrions stocker des données sur des plates-formes d'hébergement sécurisées en utilisant des bases de données cryptées, idéalement. 

Droit à l'oubli

Cela doit être l'une des choses les plus délicates pour nos site web. Une personne a le droit d'être oubliée, ce qui signifie qu'elle peut demander à ce que ses données soient supprimées d'un site web. Les données des visiteurs sont généralement stockées dans les profils utilisateur, les soumissions Webform, les données de commande Commerce et toutes les autres données de module qui collectent des informations sur les visiteurs.

Les profils utilisateur sont faciles à gérer. Nous pouvons simplement supprimer un compte et faire en sorte que son contenu appartienne à un utilisateur anonyme. Les soumissions Webform peuvent être supprimées. Les données de commerce sont différentes. Il se peut que nous soyons tenus de procéder à une vérification des transactions financières par la loi, ce qui va à l'encontre du droit à l'oubli. Parlez en à un avocat !

Un autre aspect important est le partage de données. Si vous transmettez des données à un service tiers (mailchimp, processeurs de paiement, etc.), les demandes concernant le droit d'être oublié doivent être transmises aux tiers.

S’agissant des garanties à mettre en place, l’article 32 énumère certaines mesures susceptibles d’être utilisées par les sociétés tels que :

  1. Le recours à la pseudonymisation
  2. Le chiffrement des données
  3. L’adoption de moyens permettant de garantir la confidentialité
  4. L’intégrité, la disponibilité et la résilience des systèmes
  5. L’adoption de moyens permettant de rétablir la disponibilité et l’accès aux données personnelles en cas d’incident technique ou physique
  6. La vérification régulière des mesures

Si vous voulez plus d’infos, le texte officiel est disponible ICI en PDF.

En Drupal 8 nous avons un module RGPD qui a pour but d'aider les administrateurs de site web. En Alpha7 publié le 3 mai 2018 le module donc à utiliser à vos risques et périls! Il faut attendre encore un peu... comme d'habitude. Un autre module ICI

Par contre nous utilisons le module (en Drupal 8) EU Cookie Compliance Ce module vise à traiter la directive de l'UE sur la vie privée. Vous risquez d'être sanctionné si vous n'êtes pas conforme. Plus d'informations peuvent être trouvées ICI

Ce que les avocats disent ...

  • droits numériques européens. L'EDRi, une association d'organisations civiles et de droits de l'homme de toute l'Europe, discute certaines questions clés du RGPD suite à la proposition initiale de la Commission Veuillez cliquer ICI 
  • Bryan Cave : Comment se préparer au règlement général sur la protection des données (RGPD) Veuillez Cliquer ICI 
  • Norton Rose Fulbright : liste de contrôle( RGPD) Veuillez Cliquer ICI

Source Drupal : Veuillez Cliquer ICI 

RGPD, un secret bancaire 2.0 ? Veuillez Cliquer ICI 

MÀJ [Drupal 8]

En 8.x-1.0-alpha10  released 16 May 2018 le module GDPR: https://www.drupal.org/project/gdpr 
✓ Recommended by the project’s maintainer.

8.x-1.7  released 9 May 2018 : https://www.drupal.org/project/gdpr_compliance 
✓ Recommended by the project’s maintainer.


Un outil de la CNIL (Open Source) pour le RGPD : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil 

De bonne infos ici : https://www.drupal.org/project/drupal_gdpr_team