RGPD : un projet de loi « CNIL 2 » présenté en Conseil des ministres

RGPD : un projet de loi « CNIL 2 » présenté en Conseil des ministres

CNIL était une fois

Avatar de l'auteur

Xavier Berne

Publié dansDroit

13/12/2017
53
RGPD : un projet de loi « CNIL 2 » présenté en Conseil des ministres

Le projet de loi destiné à adapter la législation française au règlement européen sur la protection des données personnelles a été présenté ce matin en Conseil des ministres. L’objectif : préparer la mise en application de la réforme impulsée par l'UE, fixée au 25 mai prochain.

Porté par la ministre de la Justice, Nicole Belloubet, le texte d’origine gouvernementale « transpose le nouveau cadre juridique européen (le règlement 2016/679 et la directive 2016/680) » en matière de données personnelles.

Même si le Règlement général sur la protection des données personnelles (RGPD) est d’application directe, la France s’apprête à opérer un toilettage de son droit, afin de mettre à jour certains textes. À commencer par la loi « Informatique et Libertés » de 1978. Le législateur prendra également position dans certains domaines où l’Union européenne a laissé une marge de manœuvre aux États membres.

L’exécutif annonce par exemple qu’il a décidé de fixer à 16 ans l’âge à partir duquel un mineur pourra validement donner son consentement à ce que ses données personnelles puissent être collectées, notamment par les estomacs de Facebook, Instagram ou Twitter. La France avait dans ce domaine la possibilité de descendre jusqu’à 13 ans.

Renforcement du pouvoir de sanction de la CNIL, droit à la portabilité des données...

Sur le terrain des mises à jour, figure notamment le renforcement du pouvoir de sanction de la Commission nationale de l’informatique et des libertés (CNIL). Les amendes de la gardienne des données personnelles pourront en effet atteindre « 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé », indique l’exécutif. Le droit à la portabilité des données, anticipé par la loi Numérique, sera également abordé.

Le gouvernement précise enfin qu’il a « fait le choix de maintenir certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, ou ceux utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques ».

Nous reviendrons plus en détail sur ce projet de loi lorsque son contenu exact aura été rendu public.

53
Avatar de l'auteur

Écrit par Xavier Berne

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Et bonne nuit les petits

00:04 Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

13:40 Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 40

Sommaire de l'article

Introduction

Renforcement du pouvoir de sanction de la CNIL, droit à la portabilité des données...

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 40
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 23

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 41
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 21
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 8
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 25
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 105
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 7

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (53)


Furax
Le 13/12/2017 à 13h05

J’ai participé à plusieurs webinars là dessus, c’est assez “marrant” car des demandes ou des possibilités offertes par la RGPD ne sont pas compatible avec ce qui nous est demandé de garder légalement comme données perso sur les personnes que nous recevons…
… Y’a rien de clair, mais ça doit être mis en place pour fin mai, haha….


secouss
Le 13/12/2017 à 13h07

Ils ont même pas appelé ça “Gen 2 ou V2 ou CNIL 2.0” je suis déçu <img data-src=" />


WereWindle
Le 13/12/2017 à 13h13






secouss a écrit :

Ils ont même pas appelé ça “Gen 2 ou V2 ou CNIL 2.0” je suis déçu <img data-src=" />


CNIL Turbo Ex+ Alpha 3 <img data-src=" />



Patch Abonné
Le 13/12/2017 à 13h18






secouss a écrit :

Ils ont même pas appelé ça “Gen 2 ou V2 ou CNIL 2.0” je suis déçu <img data-src=" />

New CNIL, ca aurait été mieux. Pour concurrencer le New Deal américain <img data-src=" />



Furanku Abonné
Le 13/12/2017 à 13h25






Patch a écrit :

New CNIL, ca aurait été mieux. Pour concurrencer le New Deal américain <img data-src=" />


Ils auraient pu faire CNNIL (Commission Nationale Nouvelle de l’Informatique & Libertés) pour rester dans la thématique CNNum <img data-src=" />



secouss
Le 13/12/2017 à 13h27






Patch a écrit :

New CNIL, ca aurait été mieux. Pour concurrencer le New Deal américain <img data-src=" />


Le tout dans le cadre du Projet Phénix ^^



2show7
Le 13/12/2017 à 13h30

“Où l’Union européenne a laissé une marge de manœuvre aux États membres.”

“avec …….Un cadre unifié en Europe” <img data-src=" /><img data-src=" />

Unifié ? <img data-src=" />


Ricard
Le 13/12/2017 à 13h39

Je me demande ce que tous ces “machins” vons devenir quand l’UE s’effondrera… <img data-src=" />


2show7
Le 13/12/2017 à 13h53






Ricard a écrit :

Je me demande ce que tous ces “machins” vons devenir quand l’UE s’effondrera… <img data-src=" />



La vidéo-protection marchera à plein temps (un métier d’avenir florissant)<img data-src=" /> (postulons pour être vigil)<img data-src=" />



FunnyD
Le 13/12/2017 à 14h03






Patch a écrit :

New CNIL, ca aurait été mieux. Pour concurrencer le New Deal américain <img data-src=" />


NextCNIL pour de la pub à NiXI



Jarodd Abonné
Le 13/12/2017 à 14h04

De quel machin tu parles ? La CNIL est française, si l’UE s’effondre elle continuera&nbsp; à exister.

A moins que tu fasses référence au Conseil des Ministres ? Là c’est vrai que si l’UE s’effondre, Macron et le gouvernement n’auront plus de chef pour leur dicter quoi faire au niveau national <img data-src=" />


MeowMeow
Le 13/12/2017 à 14h05

Déjà le RGPD, ne sait même pas comment le mettre en place dans ma société. C’est ultra chaud.


2show7
Le 13/12/2017 à 14h13






FunnyD a écrit :

NextCNIL pour de la pub à NiXI



Mais Nil n’est plus là <img data-src=" />



Patch Abonné
Le 13/12/2017 à 14h16






2show7 a écrit :

La vidéo-protection marchera à plein temps (un métier d’avenir florissant)<img data-src=" /> (postulons pour être vigil)<img data-src=" />

La vidéoprotection, tu veux dire celle où les caméras nous protègent grâce à leurs petits bras?



FunnyD a écrit :

NextCNIL pour de la pub à NiXI

Ils auraient trop peur d’avoir des demandes CADA supplémentaires <img data-src=" />



2show7
Le 13/12/2017 à 14h22






Patch a écrit :

La vidéoprotection, tu veux dire celle où les caméras nous protègent grâce à leurs petits bras?



Aaaaah! <img data-src=" /> j’avais oublié les caméras automatisées qui envoient les brigades d’intervention :pasdebol:



Ricard
Le 13/12/2017 à 14h32






Jarodd a écrit :

De quel machin tu parles ? La CNIL est française, si l’UE s’effondre elle continuera  à exister.


Elle continuera d’exister, avec des bouts de loi qui ne seront plus utiles/viables…



yvan Abonné
Le 13/12/2017 à 14h42

Ca ne veut pas dire que fin mai la mitrailleuse à distribuer les amendes commence à faire tourner ses tubes non plus… il y aura certainement une phase d’accompagnement, dans l’esprit de ce que fait la CNIL actuellement.


yvan Abonné
Le 13/12/2017 à 14h46

La CNIL française et la loi informatique et libertés étant pionnières du sujet et ayant été à ma connaissance un des socles des lois européennes sur le sujet il y a des chances que ça ne change pas grand chose, c’est plutôt les autres européens qui ont nos lois sur ce sujet que l’inverse.


yvan Abonné
Le 13/12/2017 à 14h49

Dans plein d’endroits ça nécessite de redévelopper le coeur des applis et de modifier des processus vitaux, à commencer par les administrations publiques…
Faut pas paniquer selon moi, ça se fera petit à petit. C’est plus les éditeurs logiciels qui devraient avoir la pression là que les clients finaux
Développeurs de modules d’archivistique, un métier d’avenir <img data-src=" />


Jarodd Abonné
Le 13/12/2017 à 14h50

Exact, la CNIL joue à fond son rôle de pédagogue. Il suffit de voir à quelle fréquence elle met des amendes ou des avis publics (à peine quelques un par an), le reste du temps elle prend en considération les difficultés à se mettre en confirmité et peut conseiller, surtout les petites boites qui n’ont pas de référent “protection des données” à plein temps.


yvan Abonné
Le 13/12/2017 à 14h51

Sinon 16 ans c’est bien comme âge pour la majorité numérique.


2show7
Le 13/12/2017 à 14h59

Ce n’est pas bien de faire la corrélation avec le cul. Un gosse de huit ans peut très bien maîtriser l’assembleur sans pour autant être un voyeur


Vin Diesel Abonné
Le 13/12/2017 à 15h17






2show7 a écrit :

La vidéo-protection marchera à plein temps (un métier d’avenir florissant)<img data-src=" /> (postulons pour être vigil)<img data-src=" />


On dit vidéo-surveillance, quand on est poli&nbsp;&nbsp; … La vidéo ne protège absolument de rien du tout en fait



2show7
Le 13/12/2017 à 15h34

Me connaissant un peu, tu dois savoir que j’aime jouer sur les mots <img data-src=" /> (quoi que dans ce cas bien précis de ce que j’ai cité avant, la vidéo-protection pourrait remplir sa fonction citoyenne ou pas, mais limiter des actions extrêmement déstructifs)


Bartolus
Le 13/12/2017 à 15h36

C’est à dire ?


Vin Diesel Abonné
Le 13/12/2017 à 15h40

Mouais, encore faudrait-il qu’il y ait des gus (qui ne jouent pas à WoW ou CoD) derrière les écrans&nbsp;&nbsp; …&nbsp; et c’est du vécu.
<img data-src=" />


2show7
Le 13/12/2017 à 15h49






Vin Diesel a écrit :

Mouais, encore faudrait-il qu’il y ait des gus (qui ne jouent pas à WoW ou CoD) derrière les écrans   …  et c’est du vécu.
<img data-src=" />



Je ne sais pas pourquoi j’ai changé “actions” destructives en destructifs (bizarre)<img data-src=" />



MeowMeow
Le 13/12/2017 à 15h52

Comme dans la série de silicon valley? <img data-src=" />

Oui. J’aimerais bien faire chier les transports publique. A lille, on à des cartes de transport avec nos photos, et nous sommes obligé de pointé tout le temps mal grès un abonnement illimité. Sa me soul grave, j’ai juste envie de dire :&nbsp; non, je pointe pas, vos données ne sont pas crypté etc x)

En plus, je sais même pas à quoi servent ces informations et/ou elle sont protégés ou pas….


Vin Diesel Abonné
Le 13/12/2017 à 15h53

ça m’arrive de temps en temps, mais c’est parce que j’ai les mains palmées comme les pattes des canards&nbsp;&nbsp; .<img data-src=" />


2show7
Le 13/12/2017 à 16h05






Vin Diesel a écrit :

ça m’arrive de temps en temps, mais c’est parce que j’ai les mains palmées comme les pattes des canards   .<img data-src=" />



Je crois que “Extrêmement” (entre les deux) m’a orienté vers le masculin pluriels



Ricard
Le 13/12/2017 à 16h10






yvan a écrit :

La CNIL française et la loi informatique et libertés étant pionnières du sujet et ayant été à ma connaissance un des socles des lois européennes sur le sujet il y a des chances que ça ne change pas grand chose, c’est plutôt les autres européens qui ont nos lois sur ce sujet que l’inverse.



C’est pas la partie française qui m’inquiète. C’est la partie européenne qu’on va y rajouter.



sr17
Le 13/12/2017 à 18h15

Combien de temps faudra t’il pour que l’humanité réalise qu’il est vital d’interdire purement et simplement la collecte et le commerce de données personnelle.

Sanctuariser la vie personnelle est primordial, dans le cas contraire, nous irons vers des troubles sociétaux majeurs.

J’espère qu’un jour nous réaliserons qu’ils faut apprendre à dire non face à des multinationales d’envergure mondiale.


Furax
Le 13/12/2017 à 21h58

Le truc c’est que c’est comme le reste, il n’y a rien de précis dessus, et même si les sociétés qui “accompagnent” ce changement vont dans ce sens, les 3 présentations que j’ai vu disent la même chose “On pense que..; mais on ne sait pas”. :(


Furax
Le 13/12/2017 à 22h01

C’est à dire qu’une personne qui vient chez nous doit nous laisser des données personnelles (obligation légale qu’on doit retourner à la région en l’occurrence, et je ne vous dis pas le genre d’info qu’ils demandent: minorité ethnique ou non, des trucs comme ça entre autres infos plus classiques…).
Ces données, on doit les garder 5 ans minimum. Mais avec la RGPD une personne peut venir n’importe quand et nous demander d’effacer toute trace de son passage (ce que je trouve normal dans le principe)… Mais si on fait ça, alors on ne peut plus renvoyer d’info à la région.
On leur a posé la question (à la région), qui nous a répondu texto: “Faut suivre la RGDP… mais pouvoir nous redonner des infos 5 ans après quand même… <img data-src=" />


ben5757 Abonné
Le 13/12/2017 à 22h20






Furax a écrit :

C’est à dire qu’une personne qui vient chez nous doit nous laisser des données personnelles (obligation légale qu’on doit retourner à la région en l’occurrence, et je ne vous dis pas le genre d’info qu’ils demandent: minorité ethnique ou non, des trucs comme ça entre autres infos plus classiques…).
Ces données, on doit les garder 5 ans minimum. Mais avec la RGPD une personne peut venir n’importe quand et nous demander d’effacer toute trace de son passage (ce que je trouve normal dans le principe)… Mais si on fait ça, alors on ne peut plus renvoyer d’info à la région.
On leur a posé la question (à la région), qui nous a répondu texto: “Faut suivre la RGDP… mais pouvoir nous redonner des infos 5 ans après quand même… <img data-src=" />


J’ai pas encore lu la loi . Mais ça pose effectivement problème pour des systèmes d’archivage par exemple. Si une archive contient des données perso et doit être conservé 10 ans il n’est pas possible de modifier cette archive pendant la période. C’est la philosophie du truc …
&nbsp;&nbsp; Mais pour ton cas &nbsp; est-ce que ces 5 ans de rétentions sont réclamer légalement ? Est-ce que GDPR efface cette obligation ? Il ne me semble pas qu’un utilisateur puisse être en droit de réclamer modification/suppression si la rétention est du à une contrainte légale. Je me souviens que dans CIL il y’a une petite liste d’exception au droit de modification/suppression.

En tout cas pour moi GDPR en ce moment c’est juste une sorte de mine d’or pour consultant et autre vendeur de boite <img data-src=" />



FINGOLIN37
Le 14/12/2017 à 07h25

Dans les présentations que j’ai eu de la RGPD, nous avons aussi demandé “que faire des données personnelles qui doivent être garder avec une durée légale déjà définie ?”. Les éditeurs nous ont répondu qu’elles devaient continuer à être conservées et l’utilisateur ne peut pas demander la suppression car elles sont conservées dans un contexte précis et légal.
L’important, de ce que j’ai réussi à comprendre de cette RGPD complexe, c’est d’avoir une “cartographie” bien détaillé de quelles données personnelles nous disposons, de comment elles sont gérées (accès, …),protégées et supprimer lorsqu’elles doivent l’être. Et il faut bien sûr avoir aussi définit un “référent RGPD” pour garantir la MAJ régulière de cette “cartographie”.
Nous n’avons pas encore trop creusé au final car nous sommes très peu concernés, nous avons des données personnelles basiques :&nbsp; données salariés dont la plupart sont aussi concernées par une conservation légale. On doit encore rencontrer quelques prestataires spécialisées pour faire un audit en bonne et due forme pour être conforme à cette RGPD.


PercevalIO
Le 14/12/2017 à 07h27

Bon faut que je me réveille, j’ai cru lire dans le tweet @Moundir, j’ai pas compris 🤣
Moi j’avais retenu d’un ancien collègue que la loi nous obligerait à verrouiller tout poste informatique avec des données comptables (mot de passe de session à changer régulièrement + cryptage des données), qu’en est-il ?


yvan Abonné
Le 14/12/2017 à 08h56

Ca consiste juste à prendre en compte les évolutions de l’informatique. De plus en plus de choses sont automatisées il faut donc gérer les garanties sur la vie privée dès la conception des logiciels (auto archivage, consentement cnil electronique, durée d’utilité administrative des infos nominatives etc.).
On n’est pas du tout dans une nouvelle législation dans l’esprit, juste une adaptation à un monde de plus en plus géré par des robots, si ça ne venait de l’europe ça viendrait probablement de la CNIL elle même.

Je ne suis pas fan de l’Europe sur l’aspect casse sociale et démocratie fantoche mais sur le respect des droits de l’homme l’Europe a fait considérablement avancer les choses en France donc il n’y a pas de passif sur le sujet qui doive faire craindre une législation européenne sur les données personnelles selon moi.


B3n Abonné
Le 14/12/2017 à 08h59
yvan Abonné
Le 14/12/2017 à 09h02

Je ne connais pas la série désolé…

Les informations servent probablement à planifier les tournées de bus/tram/métros et leur fréquence fonction de la fréquentation.

Il serait effectivement bien (ne serai-ce que pour la liberté des proches des gens qui gèrent les fichiers de transport) qu’elles soient anonymes/anonymisées effectivement.


yvan Abonné
Le 14/12/2017 à 09h04

C’est pour ça qu’il faut un correspondant données personnelles dans les entreprises et prévoir de faire évoluer la gestion des données dans les années à venir. Rien de bien compliqué non plus.


yvan Abonné
Le 14/12/2017 à 09h05

Si le gosse en question doit coder en assembleur un client facebook, il aura largement 16 ans quand il pourra envoyer des pokes <img data-src=" />


2show7
Le 14/12/2017 à 09h44






yvan a écrit :

Si le gosse en question doit coder en assembleur un client facebook, il aura largement 16 ans quand il pourra envoyer des pokes <img data-src=" />



J’ai sans doute exagéré en disant 8 ans, mais même s’il commence à cet age à fouiné dans les bases du langage informatique je ne vois ce qu’une interdiction à avoir. Les parents évitent que leur enfant sorte des gros mots, mais il les connaît. Et on ne va leur interdire d’apprendre le français jusqu’à seize ans parce qu’ils y a des mots tabous <img data-src=" /> C’est l’utilisation de programme non bridant en efficacité qui pose problème



MeowMeow
Le 14/12/2017 à 10h23

“Les informations servent probablement à planifier les tournées de
bus/tram/métros et leur fréquence fonction de la fréquentation.”

Peut être que oui. Mais, depuis que je prend les transports en commun, je suis plus dégouté que autres choses.
Serrer comme des citrons tout le temps. C’est bien de prendre des informations mais si cela sert à rien…

Sa serait bien d’enquêter sur ces données.
&nbsp;


yvan Abonné
Le 14/12/2017 à 11h27

Il s’agit de l’age pour la collecte des données personnelles en ligne sans autorisation parentale, rien à voir avec l’age auquel tu as le droit de surfer ou coder si j’ai bien compris.


yvan Abonné
Le 14/12/2017 à 11h28

Ils optimisent le remplissage justement <img data-src=" />


MeowMeow
Le 14/12/2017 à 11h40

Non mais sérieux. Je me lève, je prend le bus. Déjà, je bip + vidéo surveillance dans le bus. Metéo idem. Gare : caméra. Le train, tu bip.&nbsp; Tu sorts du train : nouvelle gare donc caméra.

Retour idem.&nbsp; A part que quand tu rentres, tu repasse par la gare, tu es fatigué de ta journée, tu as les yeux explosé par les écrans, bah tu te fais contrôler par les keufs. Pour la menace terroriste? Bien sûre que non, juste pour te demander si tu as de la drogue, du coup, tu es obligé de vidé ton sac, poche etc.&nbsp;&nbsp; C’est beau.

&nbsp;


2show7
Le 14/12/2017 à 11h42






yvan a écrit :

Il s’agit de l’age pour la collecte des données personnelles en ligne sans autorisation parentale, rien à voir avec l’age auquel tu as le droit de surfer ou coder si j’ai bien compris.



Je vois ce que tu veux dire, mais ce qui m’ennuyait, c’était de parler du monde numérique limité que pour une seule chose (l’accès des enfants aux moyens de communication)



ben5757 Abonné
Le 14/12/2017 à 12h47






FINGOLIN37 a écrit :

Dans les présentations que j’ai eu de la RGPD, nous avons aussi demandé “que faire des données personnelles qui doivent être garder avec une durée légale déjà définie ?”. Les éditeurs nous ont répondu qu’elles devaient continuer à être conservées et l’utilisateur ne peut pas demander la suppression car elles sont conservées dans un contexte précis et légal.
L’important, de ce que j’ai réussi à comprendre de cette RGPD complexe, c’est d’avoir une “cartographie” bien détaillé de quelles données personnelles nous disposons, de comment elles sont gérées (accès, …),protégées et supprimer lorsqu’elles doivent l’être. Et il faut bien sûr avoir aussi définit un “référent RGPD” pour garantir la MAJ régulière de cette “cartographie”.
Nous n’avons pas encore trop creusé au final car nous sommes très peu concernés, nous avons des données personnelles basiques :&nbsp; données salariés dont la plupart sont aussi concernées par une conservation légale. On doit encore rencontrer quelques prestataires spécialisées pour faire un audit en bonne et due forme pour être conforme à cette RGPD.



Merci pour ces précisions …. Mais du coup comment choisissez vous votre prestataire d’audit ? parce que comme je disais certains vont surement en profiter pour faire des reco disproportionnée pour faire acheter en boite de la presta de mise en conformité …



Furax
Le 15/12/2017 à 13h47

C’est certain, on n’a pratiquement jamais autant été démarché qu’aujourd’hui. <img data-src=" />
Concernant l’aspect légal qui prend le dessus, pour le moment on n’a aucune info dessus.
Les fameux consultants nous parlent de “pseudonimisation”, on n’efface plus la personne mais au lieu de M Dupont, ça devient m. Trucmuche, avec une adresse fantaisiste et j’en passe.
Bref, on a des données, mais inexploitables, et on est incapable de ressortir des infos géographiques comme ça nous est demandé.
Beaucoup, beaucoup (trop) de flou pour le moment…

@yvan&gt; Le truc c’est que auras beau avoir quelqu’un de “dédié” à ça, tout pendant qu’on reçoit des infos contradictoires il ne pourra pas faire grand chose malheureusement.
Faire évoluer le traitement des données personnelles c’est une bonne chose, mais encore faut-il que le donneur d’ordre sache ce qu’il veuille. ;)


ben5757 Abonné
Le 17/12/2017 à 12h35






Furax a écrit :

C’est certain, on n’a pratiquement jamais autant été démarché qu’aujourd’hui. <img data-src=" />
Concernant l’aspect légal qui prend le dessus, pour le moment on n’a aucune info dessus.
Les fameux consultants nous parlent de “pseudonimisation”, on n’efface plus la personne mais au lieu de M Dupont, ça devient m. Trucmuche, avec une adresse fantaisiste et j’en passe.
Bref, on a des données, mais inexploitables, et on est incapable de ressortir des infos géographiques comme ça nous est demandé.
Beaucoup, beaucoup (trop) de flou pour le moment…

@yvan&gt; Le truc c’est que auras beau avoir quelqu’un de “dédié” à ça, tout pendant qu’on reçoit des infos contradictoires il ne pourra pas faire grand chose malheureusement.
Faire évoluer le traitement des données personnelles c’est une bonne chose, mais encore faut-il que le donneur d’ordre sache ce qu’il veuille. ;)



J’ai pas lu la loi mais juste des articles et quelques write-up. La pseudominisation comme tu la décris me semble inutile. Je te donne ma compréhension de la chose ça vaut ce que ça vaut. Déjà tu ne dois manipuler des données personnelles qui sont utile&nbsp; pour une finalité bien défini. Par exemple pas question pour une boutique en ligne de manipuler et de stocker le numéro de sécurité sociale.

Concernant la pseudonimisation en faite l’objectif est à mon sens d’améliorer la centralisation et l’inventaire de donner. Le soucis à l’heure actuelle c’est que les données perso sont éparpillé dans les caches des applications , les journaux d’activités des applications, des proxy , sur les postes des admins , dans les environnements de test.

L’idée de la pseudonimasation est à mon avis de centraliser les données autant que possible et utilisé un sorte d’ID dans les journaux d’acrivitié &nbsp; pour faire références à l’utilisateur sans pour autant pouvoir l’identifié.

Par exemple au lieu d’avoir dans ta base de données quelque chose comme ça

| Monsieur tartanpion| Marié | 15 rue trifouillouies des oies|

Tu aurais

| UserID1| Monsieur Tartanpion | Marié |15&nbsp; rue trifouilles des oies |

Et tu utiliserais UserID1&nbsp; dans les journaux d’activités ou les caches d’application comme&nbsp; identifiant pour récupérer les données . C’est pas mal car cet identifiant permet de retrouver les informations personnels&nbsp; dans la base de données mais ne permet pas d’identifer une personne en cas de fuite.

J’ai aussi entendu parlé de cette histoire de changer les informations personnels mais je trouve que c’est complètement con …. C’est utile seulement pour faire des jeux de test pour tester les applications avant mise en prod à mon avis.

Ptain la branlette de consultant quoi <img data-src=" />



Furax
Le 17/12/2017 à 13h34

Totalement d’accord avec ton commentaire concernant les consultants, qui vont s’en donner à cœur joie.
Il faudra être très vigilant car les charlatans vont aussi être de la partie. :)

Concernant la&nbsp;pseudonimasation, je pense qu’il faudra attendre quelque chose de clair dans la loi, car entre “effacer les traces d’un utilisateur”, ou juste ajouter un pseudo en plus concernant son enregistrement dans une BDD, y’a un monde on va dire.Perso quand je demande à être “effacé” d’une base, je demande à être effacer, pas qu’on mette un booléen à true dans mon enregistrement. <img data-src=" />


ben5757 Abonné
Le 17/12/2017 à 19h04






Furax a écrit :

Totalement d’accord avec ton commentaire concernant les consultants, qui vont s’en donner à cœur joie.
Il faudra être très vigilant car les charlatans vont aussi être de la partie. :)

Concernant la&nbsp;pseudonimasation, je pense qu’il faudra attendre quelque chose de clair dans la loi, car entre “effacer les traces d’un utilisateur”, ou juste ajouter un pseudo en plus concernant son enregistrement dans une BDD, y’a un monde on va dire.Perso quand je demande à être “effacé” d’une base, je demande à être effacer, pas qu’on mette un booléen à true dans mon enregistrement. <img data-src=" />



Je pense que pour des explications claire dans la loi tu peux aller te brosser :) ce sera flou pour etre applicable .

Après l’effacement des données perso est plus facile si toutes les données sont dans une base centralisée et si les applis manipule un&nbsp; “pseudo” qui fait référence à un utilisateur plutot que d’utiliser des identifiant nominatifs directement&nbsp;

On verra :)