Le RGPD entre en application : 10 questions, 10 réponses

Le RGPD entre en application : 10 questions, 10 réponses

Jour R !

Avatar de l'auteur
Marc Rees

Publié dans

Droit

25/05/2018 16 minutes
102

Le RGPD entre en application : 10 questions, 10 réponses

Le Règlement général sur la protection des données personnelles entre aujourd’hui en application. Après avoir analysé ligne par ligne ses 99 articles, Next INpact répond à dix questions sur le périmètre et le contenu de ce nouveau texte.

Après avoir plongé dans chacun des 99 articles (et ses 173 considérants) au long d'un triptyque, nous revenons sur le fameux règlement applicable dès aujourd’hui dans l’ensemble des pays européens.

Une petite révolution pour beaucoup d’acteurs qui ont désormais l'obligation – mais aussi l’opportunité – de garantir la conformité de leurs systèmes d’information.

Ce 25 mai, date d'entrée en application du règlement, est une excellente occasion pour répondre à dix questions autour de ce texte dense et complexe, mais d'une importance fondamentale pour la protection des données.

Notre dossier sur le RGPD :

1. Qu’est-ce qu’un règlement ? 

Un règlement européen, contrairement à une directive, est un texte d’application directe. Théoriquement, il est le meilleur vecteur pour garantir qu'une seule loi s'applique sur l’ensemble des pays européens.

Quoi de mieux pour permettre une saine concurrence entre tous les acteurs ? Toujours sur le papier, cela signifie que les stratégies de « forum shopping » sont désormais inutiles. Il sera vain de s’implanter en Irlande plutôt qu’en France pour profiter et exploiter des brèches dans la loi nationale. La température sera la même, quel que soit le pays.

2. Et c’est quoi, ce fameux RGPD ?

Le RGPD vient régenter les traitements de données personnelles à l’échelle européenne pour y installer un pack de normes identiques. Une salvatrice mise à jour législative unique annoncée en 2012, publiée au Journal officiel de l’UE en 2016 et appliquée à partir d’aujourd’hui.

Un même texte pour les gouverner tous ? La réalité est plus nuancée. Il offre en effet aux États membres tout de même 56 marges de manœuvre, où chaque pays peut autant de fois adapter cette législation censée être unique à son climat national.

L’exemple typique ? Celui de l’âge du consentement. Dans le marbre du RGPD, les mineurs de 16 ans peuvent désormais, sans l’aval de leurs parents, autoriser l’exploitation de leurs données personnelles par les plateformes en ligne et autres responsables de traitement.

Seulement, il est prévu que les États membres puissent abaisser ce seuil jusqu’à 13 ans. Sans surprise, l’Irlande a opté pour ce niveau le plus bas. Bel hasard, il est commun avec la législation américaine... La France, elle, l’a fixé à 15 ans. Ces modulations permettent certes de préserver les susceptibilités et spécificités locales, mais nuisent aussi à la lisibilité et mise en conformité des acteurs.

Un détail, mais nous y reviendrons, en France, l’activation de ces options a été l’un des objets du projet de loi sur les données personnelles, actuellement ausculté par le Conseil constitutionnel.

3. En tant que particulier, qu’est-ce que ça change ?

Vaste question ! Pour les grands principes sur lesquels reposent le règlement, pas grand-chose, pourrait-on dire. En France, on retrouve dans le nouveau texte, nombre de dispositions déjà incrustées dans la loi Informatique et Libertés de 1978 (modifiée plusieurs fois).

Le droit à l’information sur les traitements, le droit d’accès aux données traitées, le droit de rectification d’un système contenant des données erronées, le droit à l’effacement, le sacro-saint consentement, etc. tous sont communs aux deux textes !

Dit autrement, les acteurs qui se plaignent d’une mise en conformité poussive, compliquée, onéreuse sont d’une bonne foi relative, ou d’une ignorance réelle. Lorsqu’ils adressent des newsletters, vous mitraillent de cookies sans respecter ces fondamentaux, pas de doute : ils étaient en indélicatesse avant, et le sont toujours après le 25 mai.

Si l’on veut positiver, l’application du RGPD offre finalement l’opportunité d’un nettoyage de printemps, une grande purge, une session de rattrapage à tous ceux qui, au fil du temps, avaient omis de respecter ces règles éthiques. Voilà pourquoi, ces derniers jours, vous avez sans doute reçu une pluie de mails vous demandant de consentir à ce que vos données soient traitées par tel prestataire en ligne.

4. Mais quels vont être mes nouveaux droits ?

Pour autant, résumer le RGPD à un copier-coller des grands principes de la loi de 1978 serait faux. Le règlement prévoit effectivement de nouveaux droits pour les individus. Et pas des moindres.

Le droit à la portabilité vous permettra en principe de récupérer les données personnelles qui ont été traitées par tel prestataire, « dans un format structuré, couramment utilisé et lisible par machine », pour le transmettre pourquoi pas à un concurrent. Et jamais le premier détenteur ne pourra y faire obstacle.

Ne généralisons pas : des exceptions sont prévues pour l'exécution d'une mission d'intérêt public, relevant de l'exercice de l'autorité publique et ceux répondant à une obligation légale. Impossible par exemple de demander au fisc le transfert de vos données pour les transmettre à une autre administration.

Autre droit consacré précisément, le droit à la limitation, qui implique « le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ». Autrement dit ? Lorsque des données sont traitées de manière illicite, quand l’exactitude même du traitement est contestée ou que ces données ne sont plus nécessaires, alors le particulier peut exercer son droit à la limitation. Selon le RGPD, cela pourra se matérialiser par un déplacement des données vers un autre système de traitement, au moins temporairement.

Toujours sur le terrain des nouveautés, le droit à l’oubli. Il avait été consacré à l’encontre des moteurs de recherche par la Cour de justice de l’Union européenne. Il est aujourd’hui prévu au plus haut niveau, à l'égard de tous. Avec lui, quiconque peut obtenir, « dans les meilleurs délais », l’effacement de toutes ses données à caractère personnel. Le droit est conditionné : les données ne sont plus nécessaires, la personne a retiré son consentement, ou elle s’y oppose purement et simplement, ou bien il y a eu traitement illicite, etc.

Votre droit à l'information va gagner plusieurs étages vers plus de transparence et de simplicité. Si vous avez consenti à un traitement (par exemple, un abonnement à une newsletter), alors l’article 7 souligne qu'il doit être « aussi simple de retirer que de donner son consentement ».

Dans le pavé « CNIL » qu’on retrouve sur les sites où sont glanées puis traitées vos données, vous serez maintenant alerté de l’existence d’un transfert hors Union européenne, de vos droits (dont les nouveaux prévus par le RGPD), de la base juridique du traitement, ou encore de l’existence d’une prise de décision automatisée.

Ce dernier point est prévu par l’article 22 du RGPD. Celui-ci interdit que des décisions puissent être fondées exclusivement sur un traitement automatisé, « produisant des effets juridiques » concernant une personne (par exemple, obtention d’un prêt, candidature d’embauche, etc.). Certes, la loi peut créer une brèche dans ce dispositif (un coup de chapeau à ParcourSup ?), mais elle devrait systématiquement prévoir « des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ». Un beau vivier à contentieux.

5. Quels vont être les devoirs des entreprises ?

À chaque droit introduit par le RGPD correspondent évidemment autant d’obligations pour les entreprises. Mais l’une des grosses nouveautés est surtout la logique de responsabilité (ou « accountability ») initiée par le règlement.

On est aux antipodes du régime déclaratif jusqu’alors en vigueur en France. Si sa vie gagne en simplicité, à tout moment, une entreprise devra toujours être capable de démontrer qu’elle a bien respecté les critères entourant les traitements de données personnelles : licéité, loyauté, transparence, finalités limitées, données minimisées, exactes, une conservation réduite dans le temps et confidentialité. Et la charge de la preuve repose sur chaque acteur, soit un poids important à assumer dorénavant.

Autre obligation, celle de désigner un délégué à la protection des données personnelles (DPO) en cas de suivis à grande échelle systématique des personnes physiques ou de traitements, toujours à grande échelle, des données sensibles (opinion, orientation sexuelle, etc.). Ce spécialiste du droit et des pratiques en matière de protection des données devra être associé de près à ces traitements et pourra apporter son concours et mieux éclairer les responsables.

Plusieurs obligations documentaires sont prévues comme la tenue d’un registre des activités de traitement, obligatoire au-delà de 250 salariés, ou par exemple lorsqu’il y a un risque pour les droits et libertés des personnes concernées. On y trouvera le nom du responsable, les finalités du traitement, une description des personnes concernées et des données, les destinataires, les éventuels transferts hors UE, et si possible les délais pour obtenir l’effacement des données ; outre une description sommaire des mesures de sécurité techniques et organisationnelles.

Une analyse d’impact devra être engagée, cette fois en cas de « risque élevé » pour les droits et libertés des personnes physiques. Elle évaluera les traitements automatisés comme le profilage, ceux à grande échelle portant sur des données sensibles, ou encore « la surveillance systématique à grande échelle d'une zone accessible au public », etc. Le document concentrera l’ensemble des opérations, des finalités, l’évaluation de leur nécessité et de leur proportionnalité, des risques, des mesures de sécurité…

Ajoutons enfin, mais la liste est longue, l’obligation de notifier les failles de sécurité, qui n’existait dans la loi CNIL qu’à l’égard des fournisseurs d’accès. Désormais, les entreprises qui constatent une violation de données à caractère personnel devront en principe alerter la CNIL « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Cette alerte devra décrire des faits, les effets de la violation, et les mesures prises pour y remédier.

Les personnes physiques seront même directement alertées si cette violation « est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique ». L’entreprise pourra y échapper notamment si ont été mises en œuvre les mesures de protection appropriées. La CNIL pourra contraindre un acteur oublieux à alerter directement les victimes.

6. Quid des acteurs installés hors de l’Union européenne ?

C’est une autre avancée du texte européen. Une entreprise installée loin de l’Union est également impactée par ces obligations puisque les critères de territorialité sont très vastes.

Les droits et obligations programmés par le RGPD s’appliquent en effet pour les acteurs non UE dès lors qu’ils visent des personnes installées dans l’Union européenne. Plusieurs critères permettront de le jauger, en particulier la langue utilisée et l’unité monétaire.

Cette portée est fondamentale. Avant le 25 mai, la remise en cause des juridictions européennes a toujours été un réflexe dès lors qu’un acteur comme Facebook était poursuivi de ce côté de l’Atlantique.

Le RGPD ne veut pas tuer le commerce en Europe ou dans le monde. Son principal intérêt est de prévoir un standard de protection élevé face à l’appétit parfois délirant de certains opérateurs.

Donc, qu’une entreprise ou qu’un sous-traitant soit installé en France, en Allemagne ou en Californie n’aura pas beaucoup d’effets. Il devra respecter les principes du règlement, d’autant plus que l’article 27 oblige ces acteurs hors UE à désigner un représentant dans l’Union.

Face à un acteur récalcitrant, la CNIL pourra avertir la société, lui adresser une mise en demeure afin de se conformer au texte, voire ordonner la suspension des flux ou bien l'une des lourdes amendes administratives. 

7. Et les administrations ?

Les administrations sont également concernées par la plupart de ces dispositions, notamment sur le terrain des sanctions. Voilà pourquoi plusieurs amendements avaient été déposés au Sénat pour tenter de les protéger des foudres du texte européen. 

8. La France est-elle prête ?

Pas exactement. Le projet de loi sur le RGPD, censé activer notamment plusieurs marges de manœuvre du règlement, a été déféré la semaine dernière devant le Conseil constitutionnel par plus de 60 sénateurs.

Renseignement pris hier auprès des sages, le gouvernement n’a pas déclaré l’urgence. Résultat ? Le juge dispose d’un mois pour rendre sa décision, attendue avant le 16 juin.

Mieux, dans le texte, 19 décrets d’application sont programmés, précédés le plus souvent d’un avis de la CNIL. Un tel chantier devrait prendre des mois de travaux.

Ce retard est problématique. Certes, faute de texte, c’est le règlement qui s’applique sans nuance, cependant, le projet de loi règle dans le détail les procédures de collaboration entre la commission et les autres autorités de contrôle installées en Europe. La lacune calendaire française risque donc d’impacter les procédures portant sur les traitements touchant à plusieurs pays.

Remarquons également que plusieurs lignes directrices ont été publiées par le G29, reprises sur le site de la CNIL. Elles ont vocation à éclairer les uns et les autres sur les obligations spécifiques nées du RGPD. Or, plusieurs n’ont toujours pas été traduites en français.

Enfin, la CNIL crie quelque peu famine depuis quelques temps. Elle se plaint de ne pas disposer des ressources suffisantes pour assumer ses nouvelles missions. Il faudra attendre la prochaine loi de finances pour espérer une rustine budgétaire. 

9. Suis-je obligé d'accepter la nouvelle politique de vie privée d'un service pour continuer à l'utiliser ?

C’est une des questions pointues nées du RGPD. Le consentement à voir ses données traitées est un préalable à tout traitement, sauf exceptions issues du contrat, de l’intérêt légitime du responsable ou encore d’une obligation légale.

Or, ce consentement doit être donné librement, non avec une arme sur la tempe. Dit autrement, un prestataire qui subordonne l’accès à son service à ce feu vert, devra opérer avec la plus grande prudence.

Dans les lignes directrices éditées par les autorités de contrôle européennes, un exemple permet d’y voir plus clair :

« Une application mobile de retouche photo demande à ses utilisateurs d'activer leur localisation GPS pour l'utilisation de ses services. Elle indique également à ses utilisateurs qu'elle utilisera les données collectées à des fins de publicité comportementale. Ni l'une ni l'autre, la localisation ou la publicité comportementale en ligne, ne sont nécessaires à ce service de retouche photo et vont aller au-delà du cœur de cette prestation. Puisque les utilisateurs ne peuvent pas utiliser l'application sans consentir à ces traitements, le consentement ne peut être considéré comme étant donné librement ».

Le considérant 47 du RGDP expose la même chose, sous une plume plus juridique : « Le consentement est présumé ne pas avoir été donné librement (…) si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution ».

10. N’y a-t-il pas un marketing de la peur autour du RGPD ?

Clairement. Le RGPD est souvent « vendu » par les prestataires spécialisés, mais aussi les médias, sous son versant le plus anxiogène. Rien de plus simple, pour vendre des gilets pare-balles, que de claironner une guerre à nos portes. La CNIL a d’ailleurs tiré le signal d’alarme publiquement sur certaines pratiques.

La position de la commission sur cette question est simple : d’une part, le 25 mai ne sera pas un couperet. D’autre part, sa stratégie dépendra des atteintes constatées. Selon ses confidences, l’autorité indépendante se montrera intraitable pour la violation des grands principes partagés avec la loi de 1978, mais beaucoup plus conciliante pour les nouvelles obligations.

Dans ce nouveau périmètre, sa démarche est davantage celle d’un accompagnement sur plusieurs mois, en particulier à destination des petites structures (PME, start-up, etc.), évidemment loin de disposer des ressources suffisantes.

Compte tenu en outre des délais de procédures, il ne faut pas attendre de sanction avant plusieurs mois, sachant aussi que seules les infractions constatées après le 25 mai seront éligibles à l’amende maximale du texte (4 % du chiffre d’affaires mondial ou 20 millions d’euros). Facebook et Cambridge Analytica peuvent respirer.

Dernier détail, les autorités auront à cette occasion l’obligation de respecter un principe de proportionnalité. L’historique de l’entreprise, sa collaboration, sa bonne foi, le choix d’un DPO, la surface de la violation, une saine responsabilité, etc. tous ces paramètres entreront évidemment sur la balance, avant le coup de glaive ou... le tir de fléchette.

Plutôt que de présenter le RGPD sous le masque de l’épouvantail, il peut être plus porteur de raisonner dans une démarche positive. Lorsqu’on est une entreprise, se diriger vers une mise en conformité, c’est certes long, mais permet de faire un point salvateur sur ses traitements. Ce programme, en plusieurs étapes, peut alors susciter de sérieux retours sur investissement.

Le seul fait de disposer d’un site Internet qui respecte le RGPD, apporte une sécurité juridique, une éthique et peut être présenté comme un solide argument aux yeux des chalands. Les nouveaux droits sont également source d’opportunités. Pensons à la portabilité des données, qui peut offrir de belles idées aux start-ups. La confiance par le respect, plutôt que par la manigance, peut être aussi une belle chance, non ?

102

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

1. Qu’est-ce qu’un règlement ? 

2. Et c’est quoi, ce fameux RGPD ?

3. En tant que particulier, qu’est-ce que ça change ?

4. Mais quels vont être mes nouveaux droits ?

5. Quels vont être les devoirs des entreprises ?

6. Quid des acteurs installés hors de l’Union européenne ?

7. Et les administrations ?

8. La France est-elle prête ?

9. Suis-je obligé d'accepter la nouvelle politique de vie privée d'un service pour continuer à l'utiliser ?

10. N’y a-t-il pas un marketing de la peur autour du RGPD ?

Commentaires (102)


Clair et concis ! Merci pour ce résumé ;)


Merci, merci et encore merci pour ce résumé !

voilà de quoi rassurer pas mal de gens stressés par des boites peu scrupuleuses qui veulent leur vendre des audits et autres trucs qui coûtent des fortunes pour rien…


Merci pour ce résumé, très bien fait et abordable pour tata Gisèle.


Mes amitiés à celle-ci ! (Et merci !)


Tellement merci ! Comme ça c’est clair ? Pour le spam en français de produits français, on va enfin pouvoir se désabonner pour de vrai ? A suivre…


J’ai comme dans l’idée que cela ne va pas détendre les relations entre l’Europe et la Chine, au contraire. Les sites commerciaux qui ont pignon sur rue risquent de moyennement apprécier cette RGPD…&nbsp;<img data-src=" />



(je pense entre autre à Alibaba, Wish, etc.)


Je poste ici car pas sûr que ce soit une faute :

« les mineurs de 16 ans peuvent désormais, sans l’aval de leurs parents… »

C’est pas plutôt les majeurs ? (mineur de 16 ans = moins de 16ans, majeur = plus …)


Non. Tu es encore mineur à 17 ans. du coup ce sont les mineurs de plus de 16 ans.








Mihashi a écrit :



Je poste ici car pas sûr que ce soit une faute :

« les mineurs de 16 ans peuvent désormais, sans l’aval de leurs parents… »

C’est pas plutôt les majeurs ? (mineur de 16 ans = moins de 16ans, majeur = plus …)



Selon le pays, on est majeur entre 18 et 21 ans. Jusqu’à au moins 18 ans révolus, on est donc bien mineur.









melchizedech a écrit :



Non. Tu es encore mineur à 17 ans. du coup ce sont les mineurs de plus de 16 ans.









Patch a écrit :



Selon le pays, on est majeur entre 18 et 21 ans. Jusqu’à au moins 18 ans révolus, on est donc bien mineur.





Il me semblait qu’en droit, “mineur/majeur” sont des termes génériques qui veulent dire “âgé de moins/plus” et doit donc s’accompagner d’un âge : mineur de 15 ans = âgé de moins de 15 ans.



J’attends de voir si l’Europe arrivera à punir un géant chinois (ou americain) qui violerait le RGPD…

J’espère qu’on se fera respecter, mais pour le moment j’ai peur que ceux qui payent ne soient le plus facile a atteindre (Entreprises européennes donc)


TLDR;





  1. popup “Nous avons mis à jour nos conditions d’utilisation bla bla bla”.

  2. cliquez sur “J’accepte”.

  3. continuez à accéder au site comme avant.



    #SadButTrue


1.&nbsp; La pop-up bloquante est hors guideline




  1. Il faut un bouton je refuse

  2. l’accès au site est garanti dans un cas comme dans l’autre



    <img data-src=" />


Merci pour l’article très clair

Et merci également de l’avoir laissé en libre accès, je l’ai partagé avec toute la famille&nbsp;<img data-src=" />


Merci pour cet article très clair.



Je pensais voir un de ces articles : “Le RGPD en 2 Minutes” ou “Tout comprendre du RGPD en 10 questions”.

Remarques, c’est ce qui va pleuvoir dans les papeteries virtuelles !


Ah non pour ça il faut lire la trilogie, qui apporte un début de réponse :)


Pour la question 9, que risque une entreprise qui ne permet pas un consentement libre de l’utilisateur ?








David_L a écrit :



1.&nbsp; La pop-up bloquante est hors guideline




  1. Il faut un bouton je refuse

  2. l’accès au site est garanti dans un cas comme dans l’autre



    <img data-src=" />



    3bis. Attention nous allons effacer certaines de vos données de profil du coup

  3. Accès au site



    Je ne sais plus sur quel site j’y ait eu droit, mais j’étais agréablement surprit… en faisant confiance que ça soit effectivement effacé.



Je cherchais justement un résumé à faire lire aux gens qui me posent la question c’est cool !

Bon par contre ma gamine m’a interdit de dormir cette nuit donc j’ai décroché au 3/ … Je commenterais la qualité du bouzin plus tard ^^’


Je suis le seul à recevoir tout un tas de mails d’éditeur me proposant des gifts sur leurs jeux si j’accepte leurs nouvelles conditions d’utilisations ?



&nbsp;Vous n’aurez pas mon consentement de cette manière !


Tu pourrais envoyer quelques exemples ? Ça m’intéresse (guenael @ nextinpact). Merci !


Tres chere,

Je voudrais faire valoir mon droit à l’oublie de vos systèmes en vertue du RGPD.

En ce sens, je vous demande d’effacer mes identifiants de votre liste “Casier judiciaire/Fiches S”

Merci



ca doit aussi marcher avec les banques et les livres de credit





;)


Non, les obligations légales/sécu publique ne sont pas effacées par le RGPD


Est-ce qu’il y a en a qui sont allés au bout de la procédure pour désigner le DPO sur le site de la CNIL ? Est-ce qu’ils demandent des documents particuliers ou pas ?


C’est fait, le mail provient de mon adresse perso.


Super Article Marc !

&nbsp;

Comme j’ai les mains dedans en ce moment,

pour ceux que ça peut aider, si vous êtes une petite structure

&nbsp;et que vous avez un site web à rendre conforme rapidement :





  • Mettre à jour ou créer une page “politique de confidentialité” (il est possible de trouver des modèles)

    Par exemple ici :https://www.sos-rgpd.com/politique-de-confidentialite/

    &nbsp;

  • Ajouter à tous vos formulaires de contact une case à cocher (*obligatoire) pour le consentement,

    &nbsp;avec une phrase de style :

    &nbsp; “ J’accepte que mes informations personnelles soient utilisées dans le cadre de ma demande et uniquement celle-ci”.



    &nbsp;- Comment stocker la preuve de ce consentement ?

    Pas encore trouvé, si quelqu’un a des suggestions techniques.



    &nbsp;- Tenir un registre de tous les points où sont stockés les données personnelles.

    Essentiel ! Il y a des modèles de registre sur le site de la CNIL

    &nbsp;



    Après c’est encore un autre casse-tête :

  • Lister toutes les procédures de traitement de données perso

  • Mettre en place des procédures si vous constatez des fuites de données perso (en plus d’informer la CNIL)



    &nbsp;- Ce que je ferai pour la sécurité c’est aussi lister les utilisateurs qui ont accès aux outils administrateurs ET son historique.



    Par exemple : on peut ajouter un utilisateur ponctuellement sur l’administration d’un site, un registre permettra de ne pas oublier de le supprimer si il n’en a plus l’usage, et éventuellement de trouver l’origine d’une fuite de données. Vérifier ce registre une fois par mois peut suffire pour une TPE.



  • Le presque impossible pour une petite structure :

    Mettre en place un contrôle des flux pour détecter les fuites.

    Sinon il y a les restrictions par adresse IP, mais il faut être sûr de son coup et ça ne protège pas d’une faille dans une appli.

    Autre possibilité, puisque le pompage de données perso est souvent à vocation publicitaire par mailing, ajouter une adresse email totalement vierge dans la base client (le salage). Si demain vous recevez une publicité sur cet email c’est qu’il y a un problème …



    &nbsp;

    Enfin remarque perso sur ce RGPD, on parle des cookies et de leur tracking, mais pourtant tout le monde sait bien que le tracking se fait essentiellement grâce aux IP fixes, l’anonymisation des IP est une mesure qui devrait être obligatoire.



    Le RGPD va-t-il vraiment changer les choses ?

    On m’a toujours dit que pour comprendre quelque chose dans ce monde économique il faut regarder où va l’argent. Tout le monde, depuis 2012, sait que le RGPD arrive, alors pourquoi des milliards continuent d’être investis dans le big data?



    Merci encore pour cet article.








Sigma42 a écrit :



J’attends de voir si l’Europe arrivera à punir un géant chinois (ou americain) qui violerait le RGPD…

J’espère qu’on se fera respecter, mais pour le moment j’ai peur que ceux qui payent ne soient le plus facile a atteindre (Entreprises européennes donc)





Étant donné que ça fait longtemps que l’Union Européenne inflige des sanctions à des géants américains (Intel, Microsoft, Google et d’autres), il n’y a guère de raison de douter des sanctions en cas de non respect.



Bah c’est loin d’être respecté. Le refus des conditions entraine automatiquement une déconnexion sur le store razer par exemple. Et sur twitter, décliner c’est supprimer son compte.


J’ai la même avec Piranha games (mech warrior). Je trouve ça totallement gerbant.

J’ai voulu me connecter pour supprimer mon compte, impossible sans accepter leurs conditions. J’ai envoyé un mail au support pour suppression de mon compte.








MarcRees a écrit :



Non, les obligations légales/sécu publique ne sont pas effacées par le RGPD





Merci Marc pour cet article clair et de tonalité plus positive que d’habitude :-) .







Flushy a écrit :



Comme j’ai les mains dedans en ce moment, pour ceux que ça peut aider, si vous êtes une petite structure et que vous avez un site web à rendre conforme rapidement [..]





<img data-src=" />



Le créateur de Facebook disait encore hier que les utilisateurs veulent la publicité ciblée (ou de manière plus général, que Facebook choisisse pour eux le contenu affiché), et leur site utilise bien les données à but publicitaire sans consentement libre (techniquement on doit pouvoir envoyer des messages sans qu’il y ait ce traitement). Bon courage à la Quadrature du Net pour leur action.


Attention à ne pas confondre refuser des CGU et refuser un traitement (les deux ne pouvant pas être liés selon le RGPD). Twitter peut exiger que l’on accepte ses conditions d’utilisation (normal) mais doit permettre de refuser un traitement de données personnelles, et avoir un consentement explicite pour le mettre en place.


Oui il y a une forme de chantage dans certains cas. La solution, quand c’est possible, consiste à supprimer le compte et c’est tout..


Merci pour l’article.

&nbsp;

Il y a au minimum un point très positif dans cette histoire. L’avalanche de courriels sur les mises à jour des CGU et des traitements des données en lien avec la RGPD permet de faire le ménage des comptes. En ce qui me concerne, en tout cas, étant donné que ça m’ a rappelé une tripotée de comptes que j’avais complètement oubliés, je les ai tous supprimés.



Et je subodore que pas mal de sites vont voir leur base de données se réduire à peau de chagrin du coup (tant mieux).


“On revient vers vous” (jan. 2018)


A première vue Disqus n’a pas pris en compte cette subtilité

Tant que les 3 points ci dessous ne sont pas validés pas d’accès.



&nbsp;Important UpdateWhen you login with Disqus, we process personal data to facilitate your authentication and posting of comments. We also store the comments you post and those comments are immediately viewable and searchable by anyone around the world.




  • I agree to Disqus’ Conditions d’utilisation

  • I agree to Disqus’ processing of email and IP address, and the use of cookies, to facilitate my authentication and posting of comments, explained further in the Politique de confidentialité

  • I agree to further processing of my information for personalization as outlined in the Conditions de partage des données




Très bon résumé ! <img data-src=" />



Y a t’il une avancée concernant les cookie notices qui défigurent toutes les homepages du web depuis 2011 ?


résumé comme ça, c’est beaucoup moins nébuleux pour ma petite caboche, merci beaucoup Marc ! <img data-src=" /> <img data-src=" />








Flushy a écrit :



Super Article Marc !

&nbsp;





  • Ajouter à tous vos formulaires de contact une case à cocher (*obligatoire) pour le consentement,

    &nbsp;avec une phrase de style :

    &nbsp; “ J’accepte que mes informations personnelles soient utilisées dans le cadre de ma demande et uniquement celle-ci”.





    Merci pour toutes les informations. Concernant la phrase sur le formulaire de contact (seule partie de ton commentaire que je cite), est-ce qu’elle est vraiment nécessaire ? Si on n’en demande pas plus, je ne vois pas pourquoi il faut imposer une case à cocher supplémentaire.



    Par exemple, sur mes sites tant privés que professionnels, je n’impose que le nom (qui peut être fictif), l’adresse électronique, le sujet du message et son contenu et je ne demande en plus que le prénom. Outre le fait que je précise dans les mentions légales que “Les informations demandées pour écrire un message ne seront pas réutilisées en aucune manière, sauf pour répondre.” Par ailleurs, étant donné le CMS que j’ai choisi et les options je précise “Pas de cookie de pistage&nbsp;: mesure d’audience, partage sur des réseaux

    sociaux, publicité, etc. Ce site utilise le module de statistique de

    SPIP qui ne collecte pas les adresses IP, pas plus qu’il ne relève le

    type d’OS ou de navigateur ou votre parcours dans le site.”



    &nbsp;



Ce matin, reçu de Meilleurs agents un mail intitulé “Nous aussi nous avons dit OUI…au RGPD !” pointant vers leur politique de confidentialité et leurs CGU.



Pas déçu du voyage !

Pas de consentement explicite.

Impossibilité de s’opposer aux traitements, en particulier pour les sites tiers, suggestion d’utilisation des paramètres du navigateur pour les coockies (c’est bien sûr aussi facile de refuser comme ça que le consentement implicite lié à l’utilisation du site !)



Bref, je leur ai répondu avec copie au DPO dont l’adresse mail figurait dans les infos. Je les ai prévenus que sans changement ou sans réponse, je les signalais à la CNIL.



Il y a quelque jours, je me suis frotté à Yahoo où j’ai mon mail principal.

Pas déçu du voyage non plus, il faut se coltiner leurs partenaires un par un pour tout désactiver. Comme je viens de l’entendre sur France Inter, il faut une bonne dizaine de minutes pour en faire le tour. Et encore, je n’ai pas eu comme la journaliste un message d’erreur à la fin.

Bref, là aussi, ce n’est pas aussi simple de refuser que d’accepter !


Le dark design dans toute sa splendeur !








empty a écrit :



Y a t’il une avancée concernant les cookie notices qui défigurent toutes les homepages du web depuis 2011 ?





Bonne question.



Détail, tu es sûr de 2011 comme date ? Ça me paraît bien plus récent que cela, plutôt 2015 ou 2016 non ?



Question : Si j’ai un site wordpress avec des plugins, je dois m’assurer qu’aucun de ces plugins ne contreviennent à la RGPD ou ce sont les fournisseurs de plugin qui doivent le faire.



Typiquement, je suppose qu’un plugin facebook (pour ajouter des likes sur une page wordpress)&nbsp; ne doit pas forcement respecter la RGPD.

Je ne suis pas sur non plus qu’un plugin type woocommerce ne fasse pas de statistique sur les clients, comment m’en assurer ?


Comme j’ai oublié de le préciser plus haut et que je ne peux plus éditer, je profite de ta réponse pour ajouter que j’ai mis en lien cet article de NXI dans ma réponse par mail à Meilleurs agents. <img data-src=" />


Pour les bandeaux de cookie, l’Europe a compris que c’est bien chiant et avait prévu un nouveau règlement appelé ePrivacy. Mais apparement ils ont peur de déplacer les réglages de consentement dans le navigateur, car il est contrôlé par les géants du web (sauf firefox).

&nbsp;J’aurais trouvé ça plus malin pourtant, le réglage DoNotTrack par exemple était un 1er pas.



Donc on va se taper des boutons [ j’accepte ] et [ j’ai compris ] partout, tout le temps <img data-src=" />



Is GDPR recharging cookie notice popups?


Ah ! Yahoo ! J’ai passé du temps à trouver comment supprimer le compte. Et je n’ai pas trouvé comment le faire sur un site qui fait dans l’application de gestion de relation client :-( appli que j’ai testée sans aller plus loin.


Déjà, la question, est-ce que tous ces plugins sont indispensables. Ensuite aller sur le site du plugin.


Une petite question : quid des associations à but non lucratif qui ont par exemple un intranet ( dans mon cas intranet avec comptes pour les membres, log détaillés des actions réalisées sur l’intranet, inscription/déinscription sur des mailing liste), j’ai un peu de mal à voir si en cas de but non lucratif on est soumis au RGPD ?



Y a des exceptions entre ce qu’y est nécessaire au fonctionnement du site (dans notre cas, les log de l’intranet par ex ou la gestion des comptes) et ce qu’y relève d’un traitement automatiser mais après je vois pas trop.



Si quelqu’un à des infos j’avoue que je dirais pas non ;)


Bon tour de la question, bravo !


J’ai supprimé mon compte yahoo sans problème (dans les options de mémoire) même s’il faut bien penser à faire le tour de tous les sites et MMO avant de l’annuler.



&nbsp;Depuis je suis chez netcourrier et j’ai même pris l’option payante.


Je l’ai supprimé, mais comme je voulais supprimer le compte inutile Flickr, la navigation n’a pas été évidente. Sinon j’utilise mon serveur depuis des années pour le courriel. Si je me souviens bien, le compte Yahoo c’était surtout pour Flickr que je n’ai que très peu utilisé.


Probablement l’article le plus clair et synthétique sur le RGPD que j’ai pu lire, même par rapport aux revues juridiques (qui se perdent le plus souvent dans des paraphrases).



Chapeau pour l’article Marc, super boulot!&nbsp; <img data-src=" />








Tandhruil a écrit :



Question : Si j’ai un site wordpress avec des plugins, je dois m’assurer qu’aucun de ces plugins ne contreviennent à la RGPD ou ce sont les fournisseurs de plugin qui doivent le faire.



Typiquement, je suppose qu’un plugin facebook (pour ajouter des likes sur une page wordpress)&nbsp; ne doit pas forcement respecter la RGPD.

Je ne suis pas sur non plus qu’un plugin type woocommerce ne fasse pas de statistique sur les clients, comment m’en assurer ?





Tu es le maître des traitements c’est donc à toi de t’assurer de la conformité des traitements effectués par les plugins.



La CNIL du fait de la décision contre Darty va même très loin dans ses exigences: tu dois être en mesure de t’assurer que ces pluguin respectent les principes élémentaires du RGPD et un minimum de sécurisation. Si cela n’est pas le cas il faut solliciter le concepteur pour s’en assurer ou ne pas utiliser les dits plugins.



Par ailleurs, si certains plugins génèrent des traitements pour ton compte mais chez un tiers (FB, woocommerce), alors les responsables de ces plugins sont en réalité tes sous-traitants, le RGPD t’impose alors de t’assurer que ces sous-traitants sont en conformités et même d’insérer dans le contrat avec ces sous-traitants une clause type (que tu peux trouver sur le site de la CNIL).



Ce dernier point me semble très délicat face à des solutions clefs en mains et standardisées, dont le coté contractuel se limite à cocher une case après la lecture des CGU…









empty a écrit :



Y a t’il une avancée concernant les cookie notices qui défigurent toutes les homepages du web depuis 2011 ?





Et encore tu n’as pas visité les sites néerlandais où il est impossible de cliquer sur quoi que ce soit sinon le gros bouton « akkord » au milieu de page (exemple là :&nbsp;https://www.ad.nl&nbsp;)&nbsp;qu’il n’est pas possible de refuser.



OK Merci

Il va falloir que je lise dans le détail les CGU de tous les plugins








odoc a écrit :



Une petite question : quid des associations à but non lucratif qui ont par exemple un intranet ( dans mon cas intranet avec comptes pour les membres, log détaillés des actions réalisées sur l’intranet, inscription/déinscription sur des mailing liste), j’ai un peu de mal à voir si en cas de but non lucratif on est soumis au RGPD ?



Y a des exceptions entre ce qu’y est nécessaire au fonctionnement du site (dans notre cas, les log de l’intranet par ex ou la gestion des comptes) et ce qu’y relève d’un traitement automatiser mais après je vois pas trop.



Si quelqu’un à des infos j’avoue que je dirais pas non ;)





Le RGPD s’applique à une association, pour faire simple la seule véritable exception c’est une personne physique (donc pas une association) qui fait des traitements de données à caractère personnel dans un cadre strictement personnel ou domestique.



Pour rappel, la liste de tes adhérents même que papier doit respecter la réglementation sur la protection des données à caractère personnel.









numerid a écrit :



Merci pour toutes les informations. Concernant la phrase sur le formulaire de contact (seule partie de ton commentaire que je cite), est-ce qu’elle est vraiment nécessaire ? Si on n’en demande pas plus, je ne vois pas pourquoi il faut imposer une case à cocher supplémentaire.



Par exemple, sur mes sites tant privés que professionnels, je n’impose que le nom (qui peut être fictif), l’adresse électronique, le sujet du message et son contenu et je ne demande en plus que le prénom. Outre le fait que je précise dans les mentions légales que “Les informations demandées pour écrire un message ne seront pas réutilisées en aucune manière, sauf pour répondre.” Par ailleurs, étant donné le CMS que j’ai choisi et les options je précise “Pas de cookie de pistage&nbsp;: mesure d’audience, partage sur des réseaux

sociaux, publicité, etc. Ce site utilise le module de statistique de

SPIP qui ne collecte pas les adresses IP, pas plus qu’il ne relève le

type d’OS ou de navigateur ou votre parcours dans le site.”



&nbsp;





Tu dois te ménager la preuve du consentement par une action positive.



Tu peux t’inspirer des règles fixées par les Code civil et de la conso; la conclusions d’un contrat pour être valable doit se faire par étapes (sélection des produits, vérification, confirmation de l’achat), processus souvent qualifié de “double clic”.



Tu es libre de trouver le processus de ton choix, mais la case à cocher permet de traduire une action positive au fait de consentir, action distincte du reste de ton service (ici ton formulaire).









AxS a écrit :



Pour la question 9, que risque une entreprise qui ne permet pas un consentement libre de l’utilisateur ?



4% du CA mondial. Une paille, quoi <img data-src=" />









AxS a écrit :



Pour la question 9, que risque une entreprise qui ne permet pas un consentement libre de l’utilisateur ?





Les fameuses sanctions administratives qui existaient déjà mais dont l’importance a été accrue (jusqu’à 4% du CA), plus en France des sanctions pénales (qu’il est urgent d’actualiser du fait du RGPD) cf articles&nbsp; 226-16 du Code pénal et suivants, et éventuellement des dommages et intérêts si la “victime” est capable de démontrer que ce traitement non consenti lui a causé un préjudice.









David_L a écrit :



1.  La pop-up bloquante est hors guideline




  1. Il faut un bouton je refuse

  2. l’accès au site est garanti dans un cas comme dans l’autre

    <img data-src=" />







    Exemple d’un énième mail reçu ce jour, concernant les newsletters:





    Voulez-vous continuer à recevoir nos emails ?



    Le 25 mai, le Réglement Général sur la Protection des Données (RGPD) entre en vigueur. Nous souhaitons continuer à vous envoyer des informations afin de vous tenir informé de notre actualité. Pour cela nous avons besoin de votre consentement.



    Oui, je le souhaite (&lt;– lien vers le formulaire “s’abonner à la newsletter” du site web)



    Nous ne commercialiserons jamais vos données, nous nous engageons à protéger celles-ci et nous ne les partagerons jamais avec des sociétés tierces à des fins marketing.



    Si vous n’y consentez pas, vous ne serez plus contactés dans le cadre d’opérations marketing de notre part.





    Bref, soit t’acceptes soit t’as plus de newsletter.









odoc a écrit :



Une petite question : quid des associations à but non lucratif qui ont par exemple un intranet ( dans mon cas intranet avec comptes pour les membres, log détaillés des actions réalisées sur l’intranet, inscription/déinscription sur des mailing liste), j’ai un peu de mal à voir si en cas de but non lucratif on est soumis au RGPD ?



Y a des exceptions entre ce qu’y est nécessaire au fonctionnement du site (dans notre cas, les log de l’intranet par ex ou la gestion des comptes) et ce qu’y relève d’un traitement automatiser mais après je vois pas trop.



Si quelqu’un à des infos j’avoue que je dirais pas non ;)



Les collectivités territoriales sont aussi soumises au RGPD. Pourtant elles ne font pas de traitement à but lucratif.









127.0.0.1 a écrit :



Bref, soit t’acceptes soit t’as plus de newsletter.





Dans la même veine, mail d’un site marchand :





Au cours de ces derniers mois, l’équipe * a tout mis en œuvre pour soutenir le règlement général sur la protection des données (RGPD).

Il vous protège vous et vos données comme jamais auparavant. C’est une très bonne nouvelle pour vous, ainsi que pour nous !



Nous aimerions également savoir si vous souhaitez toujours entendre parler de nous.

Si vous souhaitez toujours participer à l’aventure *, dites-le nous !



clic ——&gt; Oui, on garde le contact



En cliquant ici, vous autorisez * à conserver votre compte pour 3 ans supplémentaires.



Sans réponse de votre part, votre compte sera effacé du site www..com d’ici peu.



Vous aurez la possibilité de recréer un compte * par la suite, mais vous ne pourrez plus accéder à votre ancien compte ni à vos anciennes factures.





Le tout pour un site dont j’avais supprimé les newsletters et le compte il y a plusieurs années…









Tandhruil a écrit :



OK Merci

Il va falloir que je lise dans le détail les CGU de tous les plugins





Avec plaisir et bon courage.



Une question bête:

Les carnets d’adresse professionnels des clients de messagerie (pas ceux qui servent à du marketing), sont ils soumis à l’envoi d’un avis de droit à l’effacement/modif/toussa ? Parce que ça risque de faire pas mal d’échanges de mails



-Salut Roger, suite à l’entrée en vigueur du rgpd, je tiens à t’informer bla, bla, bla…


en tt. cas, “celle-là”……vous ne l’aurez pas, na !!! <img data-src=" />

https://www.youtube.com/watch?v=6w5vWHqU3uM








Café In a écrit :



Une question bête:



Les carnets d'adresse professionnels des clients de messagerie (pas ceux qui servent à du marketing), sont ils soumis à l'envoi d'un avis de droit à l'effacement/modif/toussa ? Parce que ça risque de faire pas mal d'échanges de mails      






-Salut Roger, suite à l'entrée en vigueur du rgpd, je tiens à t'informer bla, bla, bla...








Tu as les deux situations décrites dans le RGPD (article 13) s'agissant de l'obligation d'information si les données sont collectées directement auprès de la personne concernée (situation n°1) ou si c'est indirectement (situation n°2).     





Par ailleurs, outre la question de l’information, il faut savoir à quel titre tu détiens ces coordonnées, si c’est en particulier dans un cadre contractuel, tu peux rependre une des formules bateaux proposées par la CNIL (qui heureusement n’impose visiblement pas d’énoncer l’ensemble du contenu de chaque droit, mais uniquement les lister et d’indiquer auprès de qui les exercer dont la CNIL elle-même) et l’intégrer à tes contrats ou documents pré-contractuels.



Je te recommande par ailleurs si c’est pas déjà le cas (mais ça aurait du l’être) de reprendre la dite formule en signature de tes mails dont le contact pour exercer les droits prévus. Ca me semble autrement plus pertinent que relancer tout le monde en demandant s’ils consentent (à un truc où visiblement il n’avait jusque là jamais formellement consentis).



Merci de ta réponse, c’est pas toujours très clair ce truc&nbsp; <img data-src=" />








Café In a écrit :



Merci de ta réponse, c’est pas toujours très clair ce truc&nbsp; <img data-src=" />





Avec plaiz. Ca je te l’accord le RGPD est rédigé avec les pieds, mais la mise en oeuvre pratique est souvent relativement simple.



J’ai demandé à un site de supprimer mes données en répondant à un mail signalant l’application de la RGPD.

Ils demandent une pièce d’identité pour vérifier mon identité.



C’est autorisé ça ? Parce que du coup chaque site dont on veut se séparer pourrait stocker un document sensible sur ses serveurs, et c’est pas cool.








Dedrak a écrit :



J’ai demandé à un site de supprimer mes données en répondant à un mail signalant l’application de la RGPD.

Ils demandent une pièce d’identité pour vérifier mon identité.



C’est autorisé ça ? Parce que du coup chaque site dont on veut se séparer pourrait stocker un document sensible sur ses serveurs, et c’est pas cool.





C’est une faille que certains tentent d’exploiter: pour accéder aux données et éventuellement demander la suppression, ils doivent pouvoir s’assurer que celui qui le demande est bien la personne concernée.



Néanmoins et là encore l’artifice de la pièce d’identité tombe à l’eau si précisément celle-ci n’avait jamais été demandée pour créer ton accès au service ou plus précisément que l’accès au service n’a jamais été conditionné par la vérification de ton identité réelle.



Je te conseille de saisir la CNIL en exposant qu’ils demandent pour la première fois un tel document.





Le consentement est présumé ne pas avoir été donné librement (…) si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution ».





Vu sur Dailymotion: “En lisant la vidéo, vous acceptez le dépôt de cookies liés aux services dailymotion destinés à personnaliser votre expérience, mesurer l’audience et proposer des publicités ciblées.”



C’est impossible de lire une vidéo (le service principal de Dailymotion), sans sacrifier son consentement… ça pue déjà ce RGPD <img data-src=" />


Ils vont dire : “on a eu des cookies gratuites, on allait pas les refuser” <img data-src=" />








ProFesseur Onizuka a écrit :



Vu sur Dailymotion: “En lisant la vidéo, vous acceptez le dépôt de cookies liés aux services dailymotion destinés à personnaliser votre expérience, mesurer l’audience et proposer des publicités ciblées.”




C'est impossible de lire une vidéo (le service principal de Dailymotion), sans sacrifier son consentement... ça pue déjà ce RGPD <img data-src=">








C'est loin d'être lié à Dailymotion, beaucoup de sites aujourd'hui te disent grosso modo: "t'acceptes mes cookies bien dégueu ou tu restes à la porte" ...&nbsp;     





&nbsp; C’est un peu épineux tout ça… D’un coté on peut comprendre que certains sites aient besoin d’utiliser tels ou tels outils pour leur modèle économique, d’un autre coté accepter le tracking&nbsp; ou rester à la porte c’est quand même une prise d’otage pour l’utilisateur…&nbsp; Mais bon, après l’utilisateur est informé. Libre à lui de continuer à utiliser le site en connaissance de cause, ou d’aller voir ailleurs si c’est mieux.



&nbsp;On risque d’avoir beaucoup de surprises dans les mois/années à venir.&nbsp;



“Mark Zuckerberg a essentiellement affirmé que rien de significatif ne

changerait - “parce que donner aux gens le contrôle de l’utilisation de

leurs données est un principe fondamental de Facebook depuis le début”.”

&nbsp;

C’est savoureux. <img data-src=" />


Intéressant de lire que FB aurait fermé les comptes des utilisateurs qui n’ont pas accepté.



Ca voudrait dire qu’ils veulent entrer dans un vrai bras de fer au risque de perdre quelques utilisateurs au passage et pas, comme je le pensais, qu’ils donneraient l’illusion de se conformer et même de faire de la mousse en mode privacywhasing (comme ils le font) mais tout en continuant de faire n’importe quoi en interne faute de contrôle effectif.



Si c’est confirmé (c’est la première fois que je lie cette info), ça pourrait faire mal, la question étant dans quel sens car le rapport de force des CNILs face aux GAFAS est pas franchement en faveur des premières…


C’est même trop rapide puisqu’il n”est pas évident que la CNIL soit compétente à ce jour pour traiter la plainte.

En effet, la loi qui devait établir sa compétence est devant le Conseil Constitutionnel et n’a donc pas pu être promulguée.








Winderly a écrit :



“Mark Zuckerberg a essentiellement affirmé que rien de significatif ne

changerait - “parce que donner aux gens à Facebook le contrôle de l’utilisation de

leurs données est un principe fondamental de Facebook depuis le début”.”

 

C’est savoureux. <img data-src=" />





C’est plus correct



Weather channel ce matin, gros bandeau pour régler les paramètres de vie privée. Ça a l’air vraiment bien fait à première vue : consentement explicite, distinction entre technologies nécessaires et optionnelles (pubs), tout bon.

Mais en creusant, badaboum : dans les technologies “nécessaires”, il y a adsense. Pour désactiver les technologies optionnelles, il faut activer les cookies tiers. Et quand on clique sur “appliquer”, ça mouline pendant 3 minutes (réellement : 3 minutes), sans doute dans l’espoir que les gens se découragent entre temps.

Bref, ils respectent le texte à la lettre ; mais l’esprit est-il respecté ?

&nbsp;


Bon, bilan de la journée d’hier:



RGPD = un popup avec un lien vers les nouvelles conditions et un gros bouton “j’accepte”.



A part Slashdot qui a fait un truc vraiment poussé où tu peux choisir quelles données sont collectées et à qui elles vont (marchand par marchand), j’ai rien vu de révolutionnaire. Ca rappelle la hype/déception autour de l’acceptation des cookies.








Winderly a écrit :



“Mark Zuckerberg a essentiellement affirmé que rien de significatif ne

changerait - “parce que donner aux gens le contrôle de l’utilisation de

leurs données est un principe fondamental de Facebook depuis le début”.”

 

C’est savoureux. <img data-src=" />



La preuve avec les données des gens non inscrits, qui ne savent pas que leurs données étaient collectées <img data-src=" />



Droit à l’oubli.. ouais.. Je vois d’ici tous les politiciens européens.. (et du monde entier pourquoi pas) le faire valoir pour effacer du net la mention de leurs turpitudes et crapuleries.. à croire qu’il a été rédigé pour eux. En tout cas il a été rédigé par eux.


Droit à l’oubli.. ouais.. Je vois d’ici tous les politiciens européens.. (et du monde entier pourquoi pas) le faire valoir pour effacer du net la mention de leurs turpitudes et crapuleries.. à croire qu’il a été rédigé pour eux. En tout cas il a été rédigé par eux.








127.0.0.1 a écrit :



Bon, bilan de la journée d’hier:



RGPD = un popup avec un lien vers les nouvelles conditions et un gros bouton “j’accepte”.



A part Slashdot qui a fait un truc vraiment poussé où tu peux choisir quelles données sont collectées et à qui elles vont (marchand par marchand), j’ai rien vu de révolutionnaire. Ca rappelle la hype/déception autour de l’acceptation des cookies.







Je pense qu’il fallait être d’une incroyable naïveté ou candeur pour imaginer que le 25 mai 2018, tout allait changer sur le Web.

Il y a eu de la panique.

Il y a eu des changements chez certains.

Il y a eu des vagues de mails “on vous aime gros poutoux”.

Il y a eu du rienafoutisme.



Mais dans les faits, croire que du jour au lendemain le business model du web basé sur le trafic de données personnelles allait disparaître ou devenir plus responsable. Nan, pas vraiment.



Dans ma boîte on a eu droit à un elearning obligatoire de sensibilisation qui s’est résumé à être plus superficiel qu’une Youtubeuse maquillage. Et travaillant chez différents clients en même temps, je peux constater des niveaux assez variés quant à la mise en oeuvre. Certains se contentent du strict minimum tandis que d’autres vont plus loin et ont renforcé leurs sessions de revue de projet et de critères de DIC notamment.



en effet !!! <img data-src=" />


c’est sûr ils vont bien en profiter……………..aussi !

“dégâts collatéraux………billard à 3 bandes” !


Commentaires intéressants sur BFM Business: la RGPD est une bénédiction pour les plus gros acteurs du Web (GAFA & co) car elle crée une barrière à l’entrée supplémentaire pour les nouveaux venus qui voudraient se faire une place.

&nbsp;


A priori, et seulement si j’ai tout compris, cette case à cocher et sa phrase de consentement permet de ne pas afficher tout le blabla dessous, ce qui simplifie l’aspect général des formulaires de contact.



Le consentement est validé par une action et non par une phrase qui aurait pu ne pas s’afficher ou ne pas être vue/lue par exemple. Le fait de cliquer est important.

Sous Wordpress par exemple, Contact Form 7 propose un bouton “confirmation” qui empêche l’envoi du formulaire tant que cette case n’est pas cochée.



Par contre il faut stocker cette preuve de consentement, dans ce cadre on va enregistrer l’adresse IP et la date/heure et l’email (base de données ou fichier de log).



n.: Là où je me dis que c’est quand même du cirque, c’est que l’adresse IP est considérée comme une donnée personnelle (faut il le consentement du consentement pour stocker l’adresse IP : je blague hein) , sauf que via un VPN (ce qui devient un peu plus courant) ça complique sérieusement les choses.


Si les gens utilisent le formulaire c’est pur qu’on leur réponde ou pour du pourriel.



Le problème c’est plus de prouver l’absence de traitement,&nbsp; hormis celui consistant à répondre aux gens, naturellement.








odoc a écrit :



Une petite question : quid des associations à but non lucratif qui ont par exemple un intranet ( dans mon cas intranet avec comptes pour les membres, log détaillés des actions réalisées sur l’intranet, inscription/déinscription sur des mailing liste), j’ai un peu de mal à voir si en cas de but non lucratif on est soumis au RGPD ?



Y a des exceptions entre ce qu’y est nécessaire au fonctionnement du site (dans notre cas, les log de l’intranet par ex ou la gestion des comptes) et ce qu’y relève d’un traitement automatiser mais après je vois pas trop.



Si quelqu’un à des infos j’avoue que je dirais pas non ;)





Dès lors que vous stockez des données personnelles vous êtes soumis au RGPD, cette perte de données ayant des conséquences (ou pouvant en avoir) sur&nbsp; leurs propriétaires.



Vous devez au moins tenir un registre des points où sont stockés ces données, c’est le grand minimum.

Faire la liste de vos moyens de protection (parefeu, SSL ?)

Mettre à jour vos procédures de sécurité :

&nbsp;- qui a accès aux données ? Avec quel niveau d’authentification (Admin, user ?)

&nbsp;- politique de sécurité, come le changement des mots de passe et leur niveau de complexité (123 password c’est bof)

&nbsp;

&nbsp;Il est certain que vous y êtes soumis, mais essayez de voir avec un juriste.

Sinon j’ai trouvé un support RGPD à 30€ par mois pour les petites structures chez la SGS, pas encore testé …

Mais je connais des associations qui comportent des 100 aines d’inscrits, c’est un beau bazar …



La CNIL fournit pas mal d’info sur comment s’y prendre tout de même :



https://www.cnil.fr/fr/rgpd-par-ou-commencer



Courage !


Pour prouver l’absence de traitement il vous suffit de tenir un registre validé, signé de bonne foi, blanc.



&nbsp;amha


Pour la preuve du consentement, Marc le dit bien dans l’article

&nbsp;

“la charge de la preuve repose sur chaque acteur, soit un poids important à assumer dorénavant.”



Ca paraît un peu fou mais c’est comme ça…

&nbsp;

Une personne nous contacte via notre formulaire de contact, à nous de conserver la preuve que cette personne l’a fait de son plein gré, c’est à dire qu’elle nous transmet de son plein gré ses données qui seront “automatiquement” enregistrés quelque part in the cloud, et non qu’on est allé les acheter je ne sais où pour faire du spam (par exemple) sous couvert qu’il nous aurait prétendument contacté par email.


Ça c’est facile, suffit de les garder dans la base de données du site (en ce qui me concerne). Un endroit, soit dit en passant, où je ne mets jamais la souris. Sauf s’il y a un problème.








Flushy a écrit :



Dès lors que vous stockez des données personnelles vous êtes soumis au RGPD, cette perte de données ayant des conséquences (ou pouvant en avoir) sur  leurs propriétaires.



Vous devez au moins tenir un registre des points où sont stockés ces données, c’est le grand minimum.

Faire la liste de vos moyens de protection (parefeu, SSL ?)

Mettre à jour vos procédures de sécurité :

 - qui a accès aux données ? Avec quel niveau d’authentification (Admin, user ?)

 - politique de sécurité, come le changement des mots de passe et leur niveau de complexité (123 password c’est bof)

 

 Il est certain que vous y êtes soumis, mais essayez de voir avec un juriste.

Sinon j’ai trouvé un support RGPD à 30€ par mois pour les petites structures chez la SGS, pas encore testé …

Mais je connais des associations qui comportent des 100 aines d’inscrits, c’est un beau bazar …







Faut qu’on prenne le temps de lire tout ça oui.

30€/mois de support, et beh y en a qui s’amuse bien …



Après on est probablement déjà dans les clous : chiffrement des pass, gestion par token pour les changements/perte de pass, niveau d’accès limité si besoin, https partout .



Mais une chose que je ne comprends pas :

En cas de fuite de données, je suppose qu’on est obligé de prévenir les gens (encore heureux) mais si on doit supprimé les comptes à chaque fois sans garder une seule trace, comment faire pour contacter les personnes X temps plus tard une fois la faille découverte ?



Est-ce qu’on peut garder un minimum d’info comme simplement l’email et les dates d’inscription/desincription ? ou tout doit être supprimé dès la demande (et donc tant pis pour la personne si on se rend compte plus tard qu’il y avait un problème ? )



Actuellement on supprime l’accès à notre intranet mais on garde les infos, c’est le point sur lequel on est pas encore bon à priori (faut juste que je relise le dossier de NXi, voir les textes pour bien comprendre ce qu’on doit faire - manque juste de temps en ce moment :s)









odoc a écrit :



Faut qu’on prenne le temps de lire tout ça oui.

30€/mois de support, et beh y en a qui s’amuse bien …



Après on est probablement déjà dans les clous : chiffrement des pass, gestion par token pour les changements/perte de pass, niveau d’accès limité si besoin, https partout .



Mais une chose que je ne comprends pas :

En cas de fuite de données, je suppose qu’on est obligé de prévenir les gens (encore heureux) mais si on doit supprimé les comptes à chaque fois sans garder une seule trace, comment faire pour contacter les personnes X temps plus tard une fois la faille découverte ?



Est-ce qu’on peut garder un minimum d’info comme simplement l’email et les dates d’inscription/desincription ? ou tout doit être supprimé dès la demande (et donc tant pis pour la personne si on se rend compte plus tard qu’il y avait un problème ? )



Actuellement on supprime l’accès à notre intranet mais on garde les infos, c’est le point sur lequel on est pas encore bon à priori (faut juste que je relise le dossier de NXi, voir les textes pour bien comprendre ce qu’on doit faire - manque juste de temps en ce moment :s)





La suppression n’est pas toujours obligatoire: si tu as des infos du fait d’un bulletin d’adhésion ou pour exécuter un contrat, tu as l’obligation légale de conserver jusqu’à 5 ans les éléments contractuels à compter de l’achèvement (dont paiement) du contrat, et dix ans les éléments comptables par exemple.



En revanche si c’est juste pour la liste de la newsletter, la suppression si elle est demandée doit être exécutée puisque tu n’as aucun motif légitime ou obligation de la Loi qui te permet de conserver ces infos.



Pour ce qui est de l’obligation de notification, si tu as correctement chiffrées tes infos tu échappes à l’obligation de notification des personnes (demeure néanmoins la notif. à la CNIL).









odoc a écrit :



F

En cas de fuite de données, je suppose qu’on est obligé de prévenir les gens (encore heureux) mais si on doit supprimé les comptes à chaque fois sans garder une seule trace, comment faire pour contacter les personnes X temps plus tard une fois la faille découverte ?





En cas de fuite de données :https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles



aucune obligation de prevenir les gens (sauf si le traitement contient des données à risque). Par contre tu dois loguer l’incident chez toi puis faire un déclaration initiale a la CNIL ASAP, puis une déclaration complémentaire dans les 72h suivant la déclaration initiale sinon il faudra justifier pkoi cela pas été fait dans les temps.



Sauf erreur de ma part les données doivent être supprimées au bout de 3 ans si plus de contact commercial ou autre (dans le cas d’une association). En simple une personne qui ne donne plus de signe de vie pendant 3 ans ne peut plus être contactée sur la base des données détenues. Ces données doivent être détruites.

Ce qui n’empêchera pas d’acquérir à nouveau son contact via un autre canal, mais dans ce cas les données passées ne pourront pas être rapprochées des nouvelles.

&nbsp;

En fait 3 ans c’est déjà beaucoup, dans la vie réelle quand je ne vais plus chez la boulangère rue machin, elle ne m’envoie pas un courrier 3 ans plus tard pour me faire part de ses nouveaux éclairs au chocolat.



&nbsp;D’une manière générale en VPC on ne contacte plus un client après un certain temps, on le considère comme perdu, parce que l’envoi papier ça coûte cher et que dans ce cas on a un raisonnement plus pragmatique.





Pour la fuite des données, on peut estimer raisonnablement qu’il ne faudra pas 3 ans pour s’en rendre compte, et donc que la grande majorité des contacts est encore conservée.








odoc a écrit :



Est-ce qu’on peut garder un minimum d’info comme simplement l’email et les dates d’inscription/desincription ? ou tout doit être supprimé dès la demande (et donc tant pis pour la personne si on se rend compte plus tard qu’il y avait un problème ? )





Il me semble qu’il est possible de déplacer les données à supprimer sur une base “temporaire”, mais clairement externe aux outils de communication/travail



A vérifier !



&nbsp;Sinon une autre technique serait peut être de couper dans ce délai de 3 ans (36 mois)

Expliquer dans la politique de confidentialité que les données seront supprimées au bout de 30 mois&nbsp; si il n’y a plus d’interaction avec vos services.

Après 30 mois vous envoyez un message d’information expliquant que le compte est “pré désactivé”, et qu’il leur reste 6 mois avant suppression définitive. Et à 36 mois vous supprimez, ça laisse de la marge.



&nbsp;Bon courage dans votre mise en conformité, y’a du bon quand même dans tout ça.



Merci à tout le monde (désolé depuis une semaine NXi bug complet au taf d’où mon délais de réponse :s)



<img data-src=" />



De toute façon on était déjà en train de revoir l’intranet (le problème des projets sans suivi), là ça nous donne une excuse pour remettre tout à plat et trancher dans les décisions ;)



Par contre je lis que la CNIL peut nous demander de notifier les gens (en plus dans notre cas on peut avoir des données à risque, comme des données de questionnaire (dont on a déjà fait des demandes CNIL)), donc toujours ce même problème si les gens ne sont plus là car avec un fort turnover (c’est notre cas), on peut très bien avoir des gens désinscrit et 1 mois plus tard voir une intrusion. Si on plus aucun contact, impossible de notifier la personne …. C’est plus ça le problème.



Mais si on peut faire une base annexe avec le minimum d’info (genre date d’inscription, de désinscription et adresse mail de contact), gardées sur 3 ans par exemple (après désinscription), ça règle le problème.


Si la personne est partie mais n’a pas souhaité voir ses infos perso détruites dans ce cas la durée légale de conservation est de 3 ans.

Il n’y a donc pas de problème pour la notifier, en utilisant un délai de carence sur ces 36 mois de 6mois par exemple les choses sont beaucoup plus simples.





  • Un nouveau dans la base de données : données collectées.

    -&nbsp; 1 mois plus tard il s’en va sans rien réclamer

  • 30 mois plus tard, envoi d’une notification pour lui rappeler ses droits et l’avertir que ses données seront supprimées.

  • 6 mois plus tard suppression des données



    Il n’y a donc aucun problème pour notifier une personne qui serait déjà partie.

    SAUF si en effet vous constatez la fuite de données 1 mois après que tout soit supprimé.



    Aucun modèle n’est parfait, et globalement le mal sera moindre que si vous aviez conservé les données pendant 15 ans et qu’elles fuitent un beau jour.



    &nbsp;En tout cas merci pour ces échanges, ça me permet de réfléchir aussi à mes propres problématiques.

    On en est tous là je crois ^^ (à part ceux qui peuvent se payer un service dédié … of course)








Flushy a écrit :



Si la personne est partie mais n’a pas souhaité voir ses infos perso détruites dans ce cas la durée légale de conservation est de 3 ans.

Il n’y a donc pas de problème pour la notifier, en utilisant un délai de carence sur ces 36 mois de 6mois par exemple les choses sont beaucoup plus simples.





  • Un nouveau dans la base de données : données collectées.

    -  1 mois plus tard il s’en va sans rien réclamer

  • 30 mois plus tard, envoi d’une notification pour lui rappeler ses droits et l’avertir que ses données seront supprimées.

  • 6 mois plus tard suppression des données



    Il n’y a donc aucun problème pour notifier une personne qui serait déjà partie.

    SAUF si en effet vous constatez la fuite de données 1 mois après que tout soit supprimé.



    Aucun modèle n’est parfait, et globalement le mal sera moindre que si vous aviez conservé les données pendant 15 ans et qu’elles fuitent un beau jour.



     En tout cas merci pour ces échanges, ça me permet de réfléchir aussi à mes propres problématiques.

    On en est tous là je crois ^^ (à part ceux qui peuvent se payer un service dédié … of course)







    ok, sur le principe ça me parle ;) y a plus qu’à ^^



    Je suppose que tout ça était dans le dossier de NXI mais c’est vrai que c’est plus simple d’en discuter que de relire tout un dossier (par contre c’est le genre de truc que j’ai partagé avec tout le monde une fois le dossier dispo. Je crois que ça en a convaincu de s’abonner d’ailleurs ;) ), surtout que mon vrai travail (qui n’a rien à voir avec l’informatique ou l’associatif en fait) me prend un peu de temps …



    par contre bon courage à ceux dont c’est le boulot …