IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'Assemblée nationale adopte en nouvelle lecture le projet de loi RGPD
Après un échec de la commission mixte paritaire la semaine passée

Le , par Stéphane le calme
39 commentaires

545PARTAGES

6  0 
Lesquelles de ces exigences avez-vous déjà mises en place ?
Système pour déceler toute activité suspecte ou d'éventuelles anomalies
26 %
Analyse d'impact relative à la protection des données
26 %
Cartographie des risques - applications et données
26 %
Localisation de l'ensemble des données à caractère personnel
26 %
Mise en place d'un procédé garantissant la traçabilité des activités
11 %
Création d'un registre des activités relatives aux traitements effectués sur les données
11 %
Analyse des enjeux et établissement d'une feuille de route pour la DSI
11 %
Autres ? Précisez.
0 %
Pas d'avis
21 %
Aucune de ces exigences
32 %
Voter 19 votants
Europe : nouvelle réglementation générale sur la protection des données à respecter avant le 25 mai 2018,
vos applications seront-elles conformes à temps ?

Depuis quelques années, nous assistons à une prolifération des campagnes de piratages se traduisant souvent par le vol de données personnelles ; à cela s'ajoute également l'importante transformation digitale des entreprises et du monde actuel. Ces attaques et évolutions étant loin de se terminer, les utilisateurs en l'occurrence les personnes physiques et les personnes morales font face à une pléthore de risques relatifs à la cybercriminalité. C'est donc pour faire face à ces risques et minimiser les conséquences qu'ils peuvent engendrer en cas de cyberattaque que la Commission européenne a proposé, en janvier 2012, une réforme globale des règles en matière de protection des données personnelles au sein de l’Union européenne. Cette réforme, après quatre années de négociation avec le Parlement européen, a été adoptée définitivement le 14 avril 2016 et son application s'étendra aux États membres de l'Union européenne à partir du 25 mai 2018.

Il convient de préciser que le nouveau règlement va remplacer la Directive sur la protection des données personnelles actuellement en vigueur et adoptée en 1995.

Le but principal de cette réforme dénommé GDPR (General Data Protection Regulation) ou RGPD en français (Règlement Général sur la Protection des Données) est de contraindre les entreprises à mettre en place des systèmes fiables permettant de garantir la sécurité de leur système d'information ainsi que leurs données. Cela devrait par conséquent permettre aux citoyens de contrôler leurs données personnelles.

L'ensemble des structures européennes ou internationales qui manipulent des données personnelles appartenant à des ressortissants de la communauté européenne sont invitées à mettre en application, avant le 25 mai 2018, les nouvelles règles édictées par le nouveau standard législatif européen en matière de protection des données personnelles en l'occurrence le RGPD. Il convient de noter que les règles nouvellement mises en place par le RGPD s'articulent autour de sept points que nous vous présentons ci-dessous.

Nécessité pour chaque organisation de comprendre les enjeux de la réglementation et les traduire en feuille de route pour la DSI

Le nouveau cadre réglementaire européen stipule qu'il est indispensable pour chaque structure de comprendre les tenants et les aboutissants de la réglementation afin de pouvoir mettre en pratique cette dernière. Cette première étape passe nécessairement par l'identification des dispositions pour les adapter à la situation de l'entreprise en question et par la sensibilisation des intéressés en leur expliquant les sanctions prévues suite à un défaut de conformité.

Capacité à localiser l'ensemble des données à caractère personnel au sein de l'entreprise

La nouvelle réforme précise qu'au sein de chaque entreprise, l'ensemble des données à caractère personnel doivent pouvoir être facilement localisées. Toutefois, étant donné que les données se trouvent réparties dans les systèmes d'information métier (marketing, juridique, achats, ventes, ressources humaines, finances...), il s'avère nécessaire de sensibiliser les responsables métier pour mettre en place ce système de localisation. En effet, en impliquant ces derniers, il sera possible de savoir comment les données à caractère personnel sont gérées notamment le référentiel de base, le type d'applications utilisées et les systèmes documentaires et d'archivage existant.

Procéder à une analyse d'impact relative à la protection des données

Les entreprises sont obligées de faire une analyse d'impact relative à la protection des données. Cela a pour but de permettre la réalisation d'une cartographie des données, notamment en identifiant les endroits les plus critiques.

Procéder à une classification des données à caractère personnel via une cartographie des risques - applications et données

La nouvelle réforme précise qu'il est indispensable de faire la classification des données à caractère personnel, cela dans l'optique d'identifier les données nécessitant une protection. Pour faire cela, une cartographie des risques, des applications et des données est obligatoire.

La cartographie des risques permet également de mettre en place un référentiel pour l'entreprise concernée afin d'identifier les zones à risques et de se focaliser sur les parties les plus critiques.

Être en mesure de parcourir les données à tout moment pour déceler toute activité suspecte ou d'éventuelles anomalies

Les entreprises se doivent de faire une cartographie précise de l'ensemble des accès à leurs ressources et actifs pour ne pas être en porte à faux avec la nouvelle réforme. Cela les expose également à des risques de fraudes et de pertes ou vols de données. Cette mesure permet de faire des activités d'audit et de revue afin de s'assurer que les accès recensés au niveau des applications et des données se soient faits de façon légitime.

Capacité pour chaque organisation à tenir un registre des activités relatives aux traitements effectués sur les données

La nouvelle réforme met aussi l'accent sur le fait que chaque entreprise doit mettre en place un système permettant de surveiller de façon permanente les différentes opérations effectuées sur les données à caractère personnel. Pour ce faire, il est demandé à chacune d'elles de disposer d'un registre des activités.

Coopération avec l’autorité de contrôle : garantir une traçabilité des opérations faites sur les données à caractère personnel

Lorsqu'un incident survient dans une organisation, cette dernière doit être en mesure de diligenter une mission d'audit en transmettant les preuves et indices aux différentes autorités de contrôles. Pour que cela puisse se dérouler normalement, la nouvelle norme oblige les différentes structures à mettre en place un système garantissant la traçabilité des activités qui sont perpétrées sur les données à caractère personnel.

Pour une meilleure compréhension de la nouvelle réforme, la définition de certains termes a été donnée.

Donnée à caractère personnel : « toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »

Notion de traitement : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. »

Violation de données à caractère personnel : « c'est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. »

Source : brainwavegrc

Et vous ?

Que pensez-vous de cette nouvelle réforme sur la protection des données à caractère personnel ?

Avez-vous mis en place des procédés au niveau de vos applications, ou au sein de vos lieux de travail afin d'être en conformité avec la nouvelle réforme ?

Est-ce que vous serez prêt dans la mise en œuvre des exigences de la RGPD afin d'être prêt avant la date butoir ?

Voir aussi

Réforme sur la protection des données : le Parlement approuve de nouvelles règles adaptées à l'ère numérique, qui entreront en vigueur en 2018
Vous avez lu gratuitement 625 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

39 commentaires
Commenter Signaler un problème
Doksuri
Avatar de Doksuri
Expert confirmé https://www.developpez.com
Le 16/04/2018 à 17:08
51% n'ont jamais entendu parle du RGPD
67% auront de toute facon la fleme de securiser tout ca
6  0 
JackIsJack
Avatar de JackIsJack
Membre éclairé https://www.developpez.com
Le 14/04/2018 à 12:31
Cette règlementation a fait l'objet d'une véritable paranoïa au sein de la société où je travaille.

En pratique, des scripts d'anonymisation ont été développés afin de randomizer certaines données "personnelles" dans les environnements de recette ; en gros : un 'update' sur certains champs de certaines tables.

J'ai dû un peu me battre pour que le projet RGPD ne supprime pas TOUTES les données des environnements de recette... ce qui était une solution plutôt confortables pour eux (éviter de devoir faire le tri entre les données perso ou pas) ; mais avec """certains""" impacts sur nos méthodes de recette !

Pour les environnements de production, des méthodes d'archivages des données ont été réalisés : lorsque la donnée n'est plus utile pour 'les traitements définis', alors elle n'est plus visible dans l'application. En gros, on ajoute un champ sur certaines tables [archivé ou pas], et de la visibilité en fonction de ça dans l'application.

Tout ça créé un bel ensemble théorique, mais qui n'est utile en rien.

Jamais nous ne recevrons de demande d'un utilisateur de supprimer ses données personnels (car ils ne savent pas que nous en disposons ; dans mon cas, il s'agit des données personnelles (leur TJM) de prestataires externes qui interviennent ponctuellement dans la boîte), et ils ne pourront jamais savoir si nous les avons finalement supprimé ou pas. Et quand bien même il s'en plaindrait auprès de la CNIL, les dommages sont tellement faibles que la CNIL ignorerait sa demande. (j'ai pour ma part déposer une plainte auprès de la CNIL pour une société qui retient mon RIB de façon abusive - ils m'ont clairement envoyé boulé avec un e-mail standard 'trop de demande, blabla').

La RGPD aurait dû se focaliser sur les seuls cas intéressants, à savoir :
- Les entreprises qui gèrent des données personnelles très sensible (uniquement santé, politique, justice) et lorsque ça concerne au moins 5000 utilisateurs.
Au moins, on aurait évité ces efforts ridicules.
4  0 
koyosama
Avatar de koyosama
Membre éprouvé https://www.developpez.com
Le 16/04/2018 à 17:42
Moi j'en parlais avant et les gens se foutaient de ma gueule. Mais de toute façon je suis sûre que tout le monde s'en branle. Ceux qui ont du code legacy, toutes les entreprises étrangère de taille moyenne ou petit s'en branle complètement.
Puisque j'ai la chance de refaire le stack de mon entreprise, je vais faire ma job.

De toute facçon, comme dans un restaurant, il vaut mieux pas savoir s'il y a derrière. Ceux qui vont se faire attrapper par les associations vont prendre cher.
2  0 
ArchiTech
Avatar de ArchiTech
Membre du Club https://www.developpez.com
Le 22/06/2018 à 9:18
Bonjour,
Puisqu'un règlement fait office de loi immédiate, pour tous les pays européen (contrairement à une directive nécessitant une adaptation à la loi de chaque pays), il n'y a donc pas d'adaptation au droit français nécessaire ou même possible. Les seuls éléments possibles sont : de renforcer (mais en aucun cas amoindrir) certains articles dans la loi nationale, et indiquer les institutions faisant office d'autorité de contrôle (CNIL en France).
Un règlement est "obligatoire dans tous ses éléments dès son entrée en vigueur [...]. Il ne peut donc s'appliquer de manière incomplète ou sélective.", par conséquent le RGPD est applicable depuis le 25 mai 2018, sans besoin de validation ou adaptation pas les états.
https://fr.wikipedia.org/wiki/R%C3%A...urop%C3%A9enne
Le texte dont il est question (que je n'ai pas encore lu en détail) semble être une adaptation de la loi informatique et libertés (loi nationale) au RGPD, et non l'inverse comme le laisse supposer l'article. Cette loi nationale ne pouvant se substituer au RGPD, mais seulement le compléter. Certains articles de l'ancienne loi informatique et libertés sont donc abrogés, d'autres modifiés ou créés, afin de mettre en conformité loi nationale avec le RGPD.
Remarque : l'expression "loi RGPD" est redondante (un règlement faisant office de loi)
1  0 
plucas29
Avatar de plucas29
Futur Membre du Club https://www.developpez.com
Le 22/06/2018 à 11:13
Bonjour,

Le règlement est en effet d'application immédiate mais laisse aux états une marge sur certains points comme par exemple la licéité du traitement (art. 6-2) ou l'âge de la "majorité numérique" (art 8-1). Voir aussi cette analyse d'un cabinet juridique sur la question.
Bonne journée à tous,
1  0 
4sStylZ
Avatar de 4sStylZ
Membre éprouvé https://www.developpez.com
Le 16/04/2018 à 16:42
Dans notre cas c’est pas qu’on pense que la non-conformité vas nous nuire. Pour être conforme avec la RGPD nous avons dû faire une croix sur du business dans certains pays.
Nous avons une société trop petite pour pouvoir déployer notre architecture là ou il le faudrait et comme il le faudrait.
On se bat pour y arriver mais cela nous ralentie.
0  0 
Excellion
Avatar de Excellion
Membre averti https://www.developpez.com
Le 17/04/2018 à 4:40
Combien de boîtes enregistrent des données personnelles sans l'avoir déclaré à la CNIL et en s'en contrefichant, ne s'estimant pas concernées par un truc dont ils ne seront jamais contrôlés ?

La RGPD, un énième bricolage, mal ficelé, à destination des multinationales informatiques américaines, et qui ne sera dans la réalité jamais appliquée, parce que trop contraignant pour les PME.
0  0 
Avatar de
https://www.developpez.com
Le 14/06/2018 à 8:33
Bloctel ne m'a rien envoyer il me semble... Ni la CAF ou la CPAM ou DMP. ça devrait pas tarder... ()

Même la gendarmerie peut m'envoyer un courrier à l'adresse stipulé sur le permis de conduire vue que je n'ai pas de voiture à mon nom (pas de carte grise puisque je ne suis pas propriétaire d'une voiture).
Il y va de même des agences de locations d'immeubles et des télécoms.

HADOPI pourrait mais ne peut malheureusement pas.
0  0 
Commenter Signaler un problème