L'Assemblée nationale adopte en nouvelle lecture le projet de loi RGPD
Après un échec de la commission mixte paritaire la semaine passée

Le , par Stéphane le calme, Chroniqueur Actualités
Lesquelles de ces exigences avez-vous déjà mises en place ?
L’Assemblée nationale a adopté hier, en nouvelle lecture, le projet de loi adaptant le droit français au Règlement européen sur la protection des données personnelles (RGPD), après l’échec de la commission mixte paritaire le 6 avril dernier.

Soulignant l’importance de ce projet, Mounir Mahjoubi, secrétaire d’État chargé du numérique, a rappelé « Qu’au moment où nous débattons, le scandale Cambridge Analytica a déjà fait beaucoup de bruit. Facebook est gravement mis en cause : son dirigeant a dû s’expliquer devant le Congrès des États-Unis ces deux derniers jours. Ce texte arrive donc à point nommé pour tracer, face aux enjeux, une voie française et européenne. En protégeant les données personnelles, nous affirmons notre conception de la démocratie. »

Il a vite fait d’être rejoint par Paula Forteza, rapporteure de la commission des lois constitutionnelles, qui a déclaré :

« Trop souvent, ceux qui parlent du numérique s’expriment au futur, comme s’il s’agissait d’un monde à venir, alors qu’il s’agit bien de notre présent. Il est donc urgent de relever collectivement les défis qui s’imposent en urgence à nous.

« En conséquence, nous ne pouvons que prendre toute la mesure du changement de paradigme que représente le RGPD, le règlement général sur la protection des données. Celui-ci vise à responsabiliser les acteurs et à renforcer les droits des personnes. Ce nouvel équilibre favorisera ceux qui s’engagent en faveur de la protection des données personnelles tout en pénalisant davantage ceux qui, au contraire, ne respectent pas les règles.

« Le plus important, c’est que cette nouvelle réglementation soit prise au niveau européen, car cela nous permettra de construire un écosystème favorable à l’émergence de nouvelles pratiques. Nombreux sont les pays extérieurs à l’Union européenne qui s’interrogent pour eux-mêmes sur les outils de régulation à mettre en place et observent attentivement les changements de réglementation en cours chez nous, je le souligne. »


Dispositions relatives à la Commission nationale de l’informatique et des libertés

Le texte prévoit qu’elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants.

Elle prend en compte la situation des personnes dépourvues de compétences numériques. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel.

Dispositions relatives à certaines catégories de données

Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel

Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition.

Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations permettant à l’autorité compétente destinataire de juger de l’exactitude, de l’exhaustivité et de la fiabilité des données à caractère personnel et de leur niveau de mise à jour.

S’il s’avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l’article 70-20.

Sources : Assemblée Nationale, texte avec les amendements (au format PDF)

Et vous ?

Votre entreprise ou vos applications sont-elles déjà conformes ?

Voir aussi :

RGPD : Un guide pratique pour les développeurs
Europe : nouvelle réglementation générale sur la protection des données à respecter avant le 25 mai 2018, vos applications seront-elles conformes ?
Richard Stallman remet en cause l'efficacité du RGPD, il veut plutôt une loi qui empêche les systèmes de collecter des données personnelles
Mark Zuckerberg explique que Facebook n'a pas l'intention d'étendre le RGPD au reste du monde, mais promet de s'inspirer de cette loi européenne


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de JackIsJack JackIsJack - Membre habitué https://www.developpez.com
le 14/04/2018 à 12:31
Cette règlementation a fait l'objet d'une véritable paranoïa au sein de la société où je travaille.

En pratique, des scripts d'anonymisation ont été développés afin de randomizer certaines données "personnelles" dans les environnements de recette ; en gros : un 'update' sur certains champs de certaines tables.

J'ai dû un peu me battre pour que le projet RGPD ne supprime pas TOUTES les données des environnements de recette... ce qui était une solution plutôt confortables pour eux (éviter de devoir faire le tri entre les données perso ou pas) ; mais avec """certains""" impacts sur nos méthodes de recette !

Pour les environnements de production, des méthodes d'archivages des données ont été réalisés : lorsque la donnée n'est plus utile pour 'les traitements définis', alors elle n'est plus visible dans l'application. En gros, on ajoute un champ sur certaines tables [archivé ou pas], et de la visibilité en fonction de ça dans l'application.

Tout ça créé un bel ensemble théorique, mais qui n'est utile en rien.

Jamais nous ne recevrons de demande d'un utilisateur de supprimer ses données personnels (car ils ne savent pas que nous en disposons ; dans mon cas, il s'agit des données personnelles (leur TJM) de prestataires externes qui interviennent ponctuellement dans la boîte), et ils ne pourront jamais savoir si nous les avons finalement supprimé ou pas. Et quand bien même il s'en plaindrait auprès de la CNIL, les dommages sont tellement faibles que la CNIL ignorerait sa demande. (j'ai pour ma part déposer une plainte auprès de la CNIL pour une société qui retient mon RIB de façon abusive - ils m'ont clairement envoyé boulé avec un e-mail standard 'trop de demande, blabla').

La RGPD aurait dû se focaliser sur les seuls cas intéressants, à savoir :
- Les entreprises qui gèrent des données personnelles très sensible (uniquement santé, politique, justice) et lorsque ça concerne au moins 5000 utilisateurs.
Au moins, on aurait évité ces efforts ridicules.
Avatar de Christian Olivier Christian Olivier - Chroniqueur Actualités https://www.developpez.com
le 16/04/2018 à 14:37
51 % des entreprises estiment que le RGPD risque d’endommager leur réputation
67 % ne seraient pas prêtes pour le RGPD, d’après NetApp

La réforme GDPR (General Data Protection Regulation) ou RGPD en français (Règlement Général sur la Protection des Données) devrait obliger les entreprises à mettre en place des systèmes fiables qui seront plus à même de garantir la sécurité de leur système d’information ainsi que leurs données. En outre, elle devrait permettre aux citoyens de garder un meilleur contrôle sur leurs données personnelles.


Selon les résultats d’une étude de mai 2017 publiée par le cabinet Gartner, plus de 50 % des entreprises concernées par le RGPD ne seront pas pleinement conformes à ses exigences à la fin de 2018. Plus récemment, c’est le cabinet NetApp qui est revenu à la charge avec une nouvelle analyse du marché pour déterminer la part des entreprises qui sont fin prêtes à accueillir le RGPD et celles qui ne le sont toujours pas. Les conclusions de cette nouvelle étude mettent en lumière le nombre encore trop important de sociétés qui peinent à s’arrimer aux exigences de la future directive ou qui scrutent avec appréhension le moment de son entrée en application.

Il convient de noter que l’ensemble des structures européennes ou internationales qui manipulent des données personnelles appartenant à des ressortissants de la communauté européenne sont invitées à mettre en application, avant le 25 mai 2018, les nouvelles règles édictées par le nouveau standard législatif européen en matière de protection des données personnelles en l’occurrence le RGPD.

Dans le cadre de son étude, NetApp a conduit un sondage en mars 2018 auprès de sociétés localisées aux États-Unis, au Royaume-Uni, en Allemagne et en France disposant de plus de 100 employés. En se basant sur les conclusions de NetApp, il apparait que 67 % des entreprises estiment ne pas encore être prêtes à accueillir le RGPD. 51 % d’entre elles pensent que le RGPD risque de porter atteinte à leur réputation, alors que 35 % des sondés ont avoué craindre pour leur économie et les retombées financières résultant de leur non-conformité.

Suite à cette publication, Alexandre Wallner, vice-président chez NetApp, à rappeler l’importance de la responsabilisation de l’ensemble des acteurs de l’industrie en soulignant : « les questions de mise en conformité des données et de vie privée vont à n’en point douter affecter les entreprises qui exploitent les données des citoyens de l’UE. Il y a de bonnes nouvelles cependant, malgré l’approche de l’échéance : tout l’écosystème répond aux exigences du RGPD, des revendeurs […] aux fabricants. »

La CNIL devrait très bientôt présenter un guide pratique de sensibilisation au RGPD afin de faciliter les procédures de mise en conformité. Il sera destiné aux sociétés qui à l’instar des PME continuent d’avoir de l’appréhension vis-à-vis de la future directive.

Source : Rapport NetApp (PDF)

Et vous ?

Qu’en pensez-vous ?
Votre entreprise ou vos applications sont-elles déjà conformes ?

Voir aussi

L'Assemblée nationale adopte en nouvelle lecture le projet de loi RGPD, après un échec de la commission mixte paritaire la semaine passée
Richard Stallman remet en cause l'efficacité du RGPD, il veut plutôt une loi qui empêche les systèmes de collecter des données personnelles
Avatar de 4sStylZ 4sStylZ - Membre confirmé https://www.developpez.com
le 16/04/2018 à 16:42
Dans notre cas c’est pas qu’on pense que la non-conformité vas nous nuire. Pour être conforme avec la RGPD nous avons dû faire une croix sur du business dans certains pays.
Nous avons une société trop petite pour pouvoir déployer notre architecture là ou il le faudrait et comme il le faudrait.
On se bat pour y arriver mais cela nous ralentie.
Avatar de Doksuri Doksuri - Membre chevronné https://www.developpez.com
le 16/04/2018 à 17:08
51% n'ont jamais entendu parle du RGPD
67% auront de toute facon la fleme de securiser tout ca
Avatar de koyosama koyosama - Membre éclairé https://www.developpez.com
le 16/04/2018 à 17:42
Moi j'en parlais avant et les gens se foutaient de ma gueule. Mais de toute façon je suis sûre que tout le monde s'en branle. Ceux qui ont du code legacy, toutes les entreprises étrangère de taille moyenne ou petit s'en branle complètement.
Puisque j'ai la chance de refaire le stack de mon entreprise, je vais faire ma job.

De toute facçon, comme dans un restaurant, il vaut mieux pas savoir s'il y a derrière. Ceux qui vont se faire attrapper par les associations vont prendre cher.
Avatar de Excellion Excellion - Membre actif https://www.developpez.com
le 17/04/2018 à 4:40
Combien de boîtes enregistrent des données personnelles sans l'avoir déclaré à la CNIL et en s'en contrefichant, ne s'estimant pas concernées par un truc dont ils ne seront jamais contrôlés ?

La RGPD, un énième bricolage, mal ficelé, à destination des multinationales informatiques américaines, et qui ne sera dans la réalité jamais appliquée, parce que trop contraignant pour les PME.
Contacter le responsable de la rubrique Accueil