|
|
|
|
|
- Présentation
- Règlement européen
- Données personnelles
- Que demande concrètement ce règlement ?
- Premier principe : Consentement de l'utilisateur
- Deuxième principe : Un but du traitement déterminé et explicite.
- Troisième principe : des données limitées et pertinentes pour le traitement.
- Quatrième principe : des données exactes et tenues à jour si nécessaire.
- Cinquième principe : une durée de vie des données limitée à la durée du traitement.
- Sixième principe : garantir la sécurité du traitement et des données
- Des obligations envers les utilisateurs et l'organisme de contrôle
- Des obligations envers les utilisateurs
- Des obligations envers l'organisme de contrôle
- Ce que proposent WINDEV/WEBDEV et WINDEV Mobile pour vous aider
- Un audit RGPD dans WINDEV
- Anonymisation et pseudonymisation
RGPD : Des solutions concrètes
RGPD : Règlement Général sur la Protection des Données Ce règlement européen est entré en vigueur le 25 mai 2018 et nécessite d'être pris en compte sur les applications existantes, les développements en cours et futurs ! Voici un résumé rapide des obligations issues de ce règlement et des outils que WINDEV, WEBDEV et WINDEV Mobile mettent à votre disposition pour simplifier la mise en oeuvre de cette réglementation. Règlement européen Un Règlement Européen est une loi qui s'applique directement dans les pays de l'UE, sans avoir besoin de loi locale. Cette loi réglemente l'accès, l'utilisation et la distribution des données personnelles des citoyens Européens. Dès qu'une entreprise manipule des données personnelles, de citoyens européens, elle est concernée ! Données personnelles Au sens RGPD, une donnée personnelle est toute donnée permettant d'identifier directement ou indirectement une personne : nom, prénom, date de naissance, adresse, email, etc. Que demande concrètement ce règlement ? Premier principe : Consentement de l'utilisateur L'utilisateur doit avoir donné explicitement son consentement pour le traitement. Un consentement explicite Dans le cas d'un site, voici 3 obligations à respecter : - La case à cocher ne doit pas être pré-cochée, il faut une action utilisateur.
- Il faut que la suppression du consentement soit aussi facile que son acceptation. Si le consentement correspond à une case à cocher, il faut pas avoir à envoyer un fax en 3 exemplaires pour retirer ce consentement.
- Il faut que vous puissiez prouver que l'utilisateur a bien donné son consentement.
Un consentement implicite Le consentement n'est pas obligatoire si l'utilisation des données personnelles est nécessaire à la réalisation d'un contrat ou d'une obligation légale. Par exemple, si le client effectue une commande, il faut générer une facture et lui envoyer ses produits, ... il faut donc bien manipuler les données personnelles (nom, prénom, etc.) Il y a 3 cas dans lesquels il n'est pas nécessaire d'obtenir le consentement : - Si le consentement est nécessaire à l'exécution du contrat ou du service. C'est typiquement le cas d'une commande, sans les coordonnées, la commande ne peut être expédiée.
- Si le consentement est nécessaire au respect d'une obligation légale. C'est le cas des factures par exemple : elles doivent être conservées pendant 10 ans. Pour respecter cette obligation, il faut conserver les données pendant 10 ans.
- Si le consentement est nécessaire à des fins d'intérêts légitimes. C'est le cas par exemple des données de santé.
Deuxième principe : Un but du traitement déterminé et explicite. Il faut prévenir l'utilisateur de ce qui va être fait avec ses données. Par exemple, si vous avez obtenu le consentement de l'utilisateur pour lui envoyer des informations commerciales, vous n'avez pas le droit d'utiliser ces données dans un but statistique. Troisième principe : des données limitées et pertinentes pour le traitement. Il ne faut collecter que le strict nécessaire pour le traitement. Il n'est pas nécessaire de demander la date de naissance d'un client pour traiter une commande. Donc, demander la date de naissance pendant une commande n'est pas légal. Attention : tout cela est également vrai pour les métadonnées. Une métadonnée, c'est par exemple l'adresse IP avec laquelle l'utilisateur s'est connecté, ou les entêtes des emails reçus. De même, si vous devez fournir des données à un prestataire pour effectuer un traitement, il ne faut lui fournir que ce dont il a besoin. Quatrième principe : des données exactes et tenues à jour si nécessaire. Les données doivent pouvoir être mises à jour et ne pas être conservées inutilement : si une adresse email n'est plus valide, il faut soit la supprimer, soit la mettre à jour. Cinquième principe : une durée de vie des données limitée à la durée du traitement. Une fois le traitement terminé, les données fournies pour ce traitement ne doivent pas être conservées. Sixième principe : garantir la sécurité du traitement et des données Pour garantir la sécurité des données, il y a un grand principe : c'est le privacy By Design. Mais il y a aussi tous les "basiques" de la sécurité : - Chiffrer les données (sur les bases de données HFSQL, il suffit de l'indiquer dans l'éditeur d'analyses).
- Protéger les bases de données par des identifiants : utilisateurs / mots de passe depuis le Centre de Contrôle HFSQL.
- Protéger l'ouverture des fichiers de données par un mot de passe (fonction HPasse sur les bases HFSQL).
- Chiffrer les communications (HFSQL permet de restreindre l'ouverture des connexions aux connexions chiffrées) et utiliser SSL (https).
- etc.
Des obligations envers les utilisateurs et l'organisme de contrôle Des obligations envers les utilisateurs La RGPD ne s'arrête pas là bien entendu, il y a aussi des obligations envers les utilisateurs. Il y a le consentement de l'utilisateur mais aussi : - le droit à l'oubli : l'utilisateur doit pouvoir demander à être supprimé des bases de données.
- le droit à la portabilité : l'utilisateur peut demander à obtenir ses données personnelles (dans WINDEV, il existe pour cela de nombreuses fonctionnalités d'export : Excel, XML, la fonction HVersFichier, la sérialisation JSON, etc.).
Des obligations envers l'organisme de contrôle Bien entendu, il existe des obligations envers les organismes de contrôle. En France, c'est la CNIL qui aura ce rôle. Par exemple, pour les entreprises de plus de 250 employés, il est nécessaire de nommer un DPO. Le DPO (Data Protection Officer) doit vérifier que toutes les règles relatives à la RGPD sont respectées dans l'entreprise. En cas de fuite de données, accidentelle ou illicite, il est nécessaire de prévenir l'organisme de contrôle dans les 72 heures après la découverte de la fuite. Il est également nécessaire pour les entreprises de tenir à jour un registre des traitements. Ce registre contient la liste de tous les traitements de l'entreprise qui utilisent, stockent ou manipulent des données personnelles. Ce que proposent WINDEV/WEBDEV et WINDEV Mobile pour vous aider Un audit RGPD dans WINDEV WINDEV, WEBDEV et WINDEV Mobile proposent déjà différentes options permettant de garantir la sécurité des données. Pour simplifier l'identification et le suivi des données personnelles dans une application WINDEV, WEBDEV ou WINDEV Mobile, un nouvel audit RGPD est disponible en version 23. Pour cela, il suffit d'indiquer dans l'éditeur d'analyses, quelles sont les rubriques contenant des données concernées par le RGPD. Ensuite, le lancement de l'audit RGPD permet de relever un ensemble de conseils mais aussi la localisation de l'utilisation des données. Il est même possible de générer la base du document "Registre des traitements" préconisé par la CNIL. Anonymisation et pseudonymisation L'idéal étant de ne pas manipuler de données personnelles, les données anonymes ne sont pas impactées par le RGPD. Pour tous les autres usages, la CNIL préconise l'utilisation de la "pseudonymisation", c'est-à -dire de ne pas manipuler des données personnelles mais des données pseudonymisées (par un identifiant type GUID par exemple).
Documentation également disponible pour…
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|