Suport technique et veille technologique
Aujourd’hui, les grandes entreprises et administrations publiques hésitent entre continuer à utiliser des logiciels propriétaires ou basculer vers les Logiciels Libres. Pourtant, la plupart des logiciels libres sont capables de bien traiter les données issues des logiciels propriétaire, et parfois avec une meilleur compatibilité.
C’est alors la barrière de la prise en main qui fait peur, et pourtant...
Les logiciels libres
L’aspect « Logiciel Libre » permet une évolution rapide et une plus grande participation des utilisateurs. Les aides et tutoriels foisonnent sur Internet ou sont directement inclus dans le logiciel lui-même.
Enfin, les concepteurs sont plus proches des utilisateurs, ce qui rend les logiciels libres plus agréable à utiliser et conviviaux.
Grâce à la disponibilité des logiciels libres, vous trouverez facilement des services de support techniques et la licence n’est plus un frein à l’utilisation de ces logiciels par votre personnel.
Notre support technique concerne essentiellement les logiciels libres, que ce soit sous forme de services ponctuels ou de tutoriels.
- Janvier 2018 -
Le GDPR (ou RGPD en français) est le nouveau règlement européen en matière de protection des données personnelles. Pas d’inquiétude, je ne vais pas faire de présentation complète du sujet! C’est indigeste et je ne suis pas coutumier des gros dossiers. Il s’agit d’un article de vulgarisation, il y a des raccourcis et des approximations, l’objectif est de donner un aperçu grossier de ce que la GDPR implique.
De plus, l’article sera très grandement inspiré de l’article anglophone de Bozho (n’hésitez pas à lire la version originale), ce dernier est très orienté pour les développeurs. Nous allons plutôt parler fonctionnalité et implémentation que règlement.
Le GPDR en bref
Si vous avez déjà de bonnes notions sur le sujet de le GDPR et qu’un rafraichissement de mémoire n’est pas nécessaire passez ce chapitre.
GDPR
Le GDPR, pour General Data Protection Regulation, ou RGPD, pour Règlement général sur la protection des données est un nouveau règlement européen applicable à la date du 25 mai 2018. Ce dernier redéfinit complètement les obligations des entreprises envers les données personnelles de leurs utilisateurs et clients.
Le RGPD regroupe une centaine d’articles qui seront autant de lois dans chacun des pays de l’union européenne. Mais si je dois résumer en une dizaine de points importants :
- Il s’agit d’un règlement, avec des articles de loi et non une directive
- Des sanctions extrêmement lourdes, 20 M€ minimum ou 4% du chiffre d’affaires mondiales
- Déclaration contraignante de l’utilisation des données utilisateurs
- Obligation de sécurisation des données (chiffrement et anonymisation)
- Obligation de déclaration des fuites de données sous 72 heures après la découverte
- Ne pas collecter de données superflues
- Le traitement des données recueillis doit être justifié et transparent
- Proposer des mentions légales intelligibles (compréhensibles pour un humain non juriste)
- Respect du droit à la portabilité des données
- Droit a l’oubli
- Et bien d’autres ….
Je vous laisse découvrir ce très bon dossier (20 minutes de lecture environ) pour aller plus loin sur le sujet si vous êtes curieux.
Qui est concerné ? Toutes les entreprises européennes et toutes entreprises ayant des clients en Europe.
Il y a plein de changements dans la gestion des données en perspective. Aujourd’hui, cette gestion de données est souvent l’affaire des logiciels et par conséquent des développeurs.
Impact de le GDPR (ou RGPD) sur les développements
L’ensemble des obligations qui découle de le GDPR vont nous (les développeurs) obliger à revoir certaines fonctionnalités des logiciels gérant des données personnelles.
Commençons par une définition, qu’est-ce-que sont les données personnelles ? Ce sont l’ensemble des données qui permettent d’identifier directement ou indirectement (par recoupement par exemple) une personne.
Le droit à l’oubli
Chaque utilisateur ayant un droit à l’oubli, il est nécessaire de prévoir une fonction qui supprime l’ensemble des données personnelles de cet utilisateur.
Avoir une telle fonctionnalité est également intéressant en intégration pour tester, par exemple, différents uses cases.
Cependant, tout n’est pas si simple, de nombreuses données de votre application seront probablement liées (par des clefs étrangères, en base, le plus souvent) à l’utilisateur. Deux choix principaux s’offrent à vous : supprimer l’ensemble des données liées à cet utilisateur (cascade) ou vider la valeur des clefs étrangères.
Autre précision importante, il faut notifier l’ensemble des logiciels/API et autres services tiers (service cloud, réseaux sociaux) pour qu’ils suppriment l’ensemble des données personnelles de l’utilisateur.
Export de données
Télécharger données personnelles
Le GDPR prévoit que l’utilisateur puisse récupérer l’ensemble de ces données personnelles. Il est indispensable de prévoir une fonction qui permet à l’utilisateur d’exporter ces données. Les données à lui retourner sont celles que vous auriez effacées si ce dernier exerce son droit à l’oubli.
L’ensemble de ces données doit impérativement être dans un format standard pour respecter l’interopérabilité demandée par le GDPR. Cela peut simplement être un fichier XML ou JSON, en utilisant, par exemple, le formalisme défini par schema.org.
Quelques grosses entreprises comme Google, Facebook ou Twitter ont déjà implémentés cette fonctionnalité, je vous laisse tester par vous-même c’est assez effrayant de voir la taille des archives…
Donner à l’utilisateur le droit de modifier ces données
Ce point semble évident… mais l’utilisateur doit pouvoir modifier ces données personnelles. Un détail tout de même, il en est de même des informations que vous avez récupérées via des applications tierces, comme Facebook par exemple.
Rien n’oblige à avoir des formulaires éditables, cela peut passer par une demande de modification manuelle à un support. Mais un formulaire reste tout de même beaucoup moins cher à entretenir à terme!
Gestion du consentement utilisateur
GDPR – gestion permissions
Le GDPR prévoit également que l’utilisateur autorise le traitement de ces données personnelles. Il peut également revenir à n’importe quel moment sur les droits qu’il a donné dans le passé. Une simple validation des conditions d’utilisation ne suffira plus. De plus, par défaut, les droits devront être désactivés.
Par conséquent, l’utilisateur doit pouvoir avoir une interface qui lui permette de gérer les autorisations qu’il donne à votre application/site web. On peut imaginer un ensemble de switch ou de checkboxs afin de gérer chacun des droits demandés. Ci-contre un exemple de ce que fait endroit pour chaque application aujourd’hui.
NB : Les données nécessaires à des obligations légales (facture, fiche de paie etc…) seront soumis à une régime particulier et ne nécessiteront pas d’autorisation si l’utilisation de ces dernières est exclusif aux obligations légales.
Vérification de l’âge
Une autre évolution apportée par le GDPR est l’ajout d’un âge de consentement parental. Si un utilisateur de moins de 16 ans s’inscrit sur une plateforme, il est nécessaire de demander le consentement des parents. Ici difficile de donner des recommandations, on sait à quel point les systèmes de vérification pour les sites pour adultes sont efficaces…
GDPR – Vérification age
Un piste est de demander un email parental, mais les petits malins auront vite fait de demander à un ami ou de créer une seconde adresse email afin de s’auto-valider.
Ne gardez pas les données plus longtemps que nécessaire
Là encore, le GDPR change les règles, une fois que vous avez utilisé une donnée, cette dernière doit être supprimée ou anonymisée. La loi ne permettra plus de conserver une donnée pour un traitement ultérieur non-défini.
Pour ce cas, partons d’un exemple, pour un site de e-commerce, cela veut dire qu’une fois que la livraison est effectuée (produit arrivé chez le client) les données liées cette commande comme les données bancaires, l’adresse ou les noms doivent être supprimées.
La solution technique résidera probablement dans un script s’exécutant à intervalles réguliers qui vérifiera si la condition de suppression des données (dans notre exemple, la validation de la livraison) est remplie et qui les effacera si c’est le cas.
Protection des données dans le GDPR
Le GDPR formalise aussi certaines bonnes pratiques liées à la sécurité des données :
- Chiffrer les communications entre machine (over HTTP avec TLS par exemple)
- Chiffrer les bases de données ou les disques machines où les données utilisateurs sont stockées (par exemple avec LUKS)
- Chiffrer vos backups
- Anonymiser/pseudonimiser les données en tests, de même pour les algorithmes de machine learning (hash + salt les données par exemple)
- Tenir un journal des modifications de données personnelles, cela sera très utile pour la mise en place des permissions à demander par exemple…
- Logger les accès aux données privées, attention toutefois à ne pas écrire dans les logs de données personnelles
Ce qu’il ne faut surtout pas faire
Il faut absolument respecter certaines règles pour être conforme aux règles de le GDPR:
Erreurs a ne pas faire
- Ne jamais utiliser de données utilisateurs sans demander d’autorisation explicite quel que soit l’objectif final (machine learning, publicité, exposition des données via API)
- Ne pas mettre de données personnelles dans les logs de votre application
- Ne récupérer les données que si elles sont nécessaires dans vos formulaires (inscription, commande …)
- Vérifier que les parties tierces respectent également le GDPR, l’application principale est responsable des données transmises à ces tierces parties
- Être ISO XXXXX ne veut pas dire respecter la GPDR, certes le gros du travail est déjà fait, mais cela n’est pas suffisant
Les sous-traitants ne sont pas responsable de la bonne application du GDPR
Une action en justice de la CNIL contre Darty à déboucher sur une décision contre Darty qui fera probablement jurisprudence.
Pour faire simple, Darty passe par un sous-traitant pour la réalisation de son site web, il se trouve que, dans un formulaire de contact, il y a une faille de sécurité béante, qui ne sera pas corrigée rapidement malgré l’avertissement de la CNIL.
D’une manière générale, une entreprise est responsable de l’ensemble de ces outils informatiques même si ces derniers sont développés et maintenus par un tiers!
Pour finir
Avoir connaissance des grandes lignes de cette nouvelle régulation est important, à plusieurs égards.
Premièrement, vous pourrez en parler à votre responsable et/ou votre client afin de savoir s’il a conscience des changements de régulation à venir et éviter une amende potentielle de plusieurs millions.
Deuxièmement, les obligations de la GPDR vous donnent les grandes lignes pour une mise en place d’une gestion de données sensibles, chose que beaucoup de petites sociétés sont souvent incapables de faire, par manque de compétence, au sein de l’entreprise.
Et enfin pour les utilisateurs, cette réglementation va obliger les entreprises à plus de transparence sous peine de se voir lourdement sanctionnées. Cette transparence permettra à l’utilisateur de reprendre, un peu, le contrôle de ces données. Comme utilisateur, j’ai hâte de voir les effets d’ici quelques mois de cette régulation sur les entreprises qui basent leurs modèles économiques sur l’exploitation des données personnelles (google, facebook et consorts).
Si vous avez apprécié l’article, vous pouvez le partager pour mon plus grand plaisir ;). Et laissez moi un retour sur cet article en attribuant une note (système d’étoiles en dessous de l’article) ou en laissant un commentaire.
Sources :
The post GDPR : impact sur l’ensemble de vos développements appeared first on Wodric.
Original post of Wodric.Votez pour ce billet sur Planet Libre.
