​Le Règlement Général sur la Protection des Données (RGPD) entre en vigueur aujourd’hui

[Sgt.Pepper]

Pour le reste, l'équipe est bien consciente de la question et les administrateurs planchent dessus.

Texte définitivement adopté le 14 avril 2016, si je ne m'abuse. Il serait temps !

J'ai alerté tous mes clients voici plusieurs mois. Tous m'ont dit ce ce n'était pas une urgence.

Résultat, ils me sont tous tombés dessus il y a 1 mois.

[SartMatt]

Pas d'accord @Sartmatt

"Nous avons 176 679 membres inscrits"
Déja c pas anodin, ensuite chacun des membres a laissé au moins un email, un loggin, un mot de passe et une date d'anniversaire.

Non, ce n'est pas anodin. Mais ça ne change rien au fait que MacG est une entreprise avec des employés à plein temps, contrairement à Macbidouille. D'où ce que dit baron : le temps nécessaire pour tout mettre en place n'est pas le même.

Je n'ai pas dit que Macbidouille n'a pas a se mettre en conformité. Juste que c'est plus compliqué pour une structure basée sur le bénévolat que pour une entreprise, qui a plus d'employés que Macbidouille n'a de bénévole (si je me trompe pas, les admins sont trois, alors que MacG a au moins 9 employés) et qui a sans doute plus de moyens pour se payer des consultants externes (avocats, juristes...) pour s'assurer que tout est dans les clous.

C'est le gros problème du RGPD, la mise en conformité est vraiment compliquée pour une petite structure. Et je parle en connaissance de cause, parce que pour ma boîte, j'ai même pas encore eu le temps de me pencher sérieusement sur la question, donc pour l'instant j'y suis vraiment allé à minima (je pense être à peu près dans les clous au niveau du site web, mais je ne sais pas où j'en suis par exemple au niveau de ma base client, je ne sais même pas si elle est concernée ou non...).

Est-il écrit dans la charte que jamais nos données persos ne seront données/vendues à un tiers

Sur ce point, il n'y a aucune obligation de l'écrire, si ?
C'est si elles sont données/vendues qu'il faut l'écrire, et recueillir le consentement explicite.

et, bien sur, qu'on peut y avoir accès au moins sur demande?

Là je comprends pas le problème. L'accès à tes données personnelles, tu l'as déjà, dans ton profil. Il manque un document expliquant comment faire. Mais l'essentiel, c'est quand même avant tout d'avoir l'accès. Et l'effacement, sur demande, ça a toujours été possible, bien avant le RGPD (t'as jamais vu des messages écrits par Guest_* sur le forum ? ce sont les messages émanant de comptes qui ont été supprimés à la demande de l'utilisateur).

Ce message a été modifié par SartMatt - 25 May 2018, 17:06.

[Sgt.Pepper]

OK sur le fait que comparer la finalité, la structure, l'organisation de MacG et MB a peu de sens.

Je suis gêné toutefois par l'argument du temps à consacrer à cette mise en conformité, certains acteurs, et non des moindres, étant présents chaque jour. Et comme je l'ai dit plus haut, ça fait un moment qu'on est prévenus.

Je penche plutôt pour un désintérêt pour le sujet, sans doute conforté par un à priori : celui de ne pas se sentir vraiment concerné.

Je ne vise pas particulièrement MacBidouille. J'ai observé le phénomène chez mes clients... "Ouais, encore une grosse connerie de l'Europe... une énième tracasserie administrative... un truc à la con du genre Hadopi... on verra le moment venu (c.-à-d. le 24 mai 2018 au soir ! NDLR)...bref... tu prends un kawa ?"

Sauf que lorsque tu fouilles vraiment, ben t'as plutôt intérêt à lâcher un billet auprès d'un avocat.

MacBidouille n'est même pas en HTTPS. Comment assurer dans le même temps que tout est fait pour sécuriser les données ?

[raoulito]

Est-il écrit dans la charte que jamais nos données persos ne seront données/vendues à un tiers

Sur ce point, il n'y a aucune obligation de l'écrire, si ?
C'est si elles sont données/vendues qu'il faut l'écrire, et recueillir le consentement explicite.

et, bien sur, qu'on peut y avoir accès au moins sur demande?

Là je comprends pas le problème. L'accès à tes données personnelles, tu l'as déjà, dans ton profil. Il manque un document expliquant comment faire. Mais l'essentiel, c'est quand même avant tout d'avoir l'accès. Et l'effacement, sur demande, ça a toujours été possible, bien avant le RGPD (t'as jamais vu des messages écrits par Guest_* sur le forum ? ce sont les messages émanant de comptes qui ont été supprimés à la demande de l'utilisateur).

pour le premier effectivmeent si on ne fait rien alors ya peut-être pas besoin, pour le second honnêtement je ne sais pas. mais si dans le profil il y a 100% de ce que macbidouille "sait sur nous" alors oui ca devrait etre bon.

Sauf que lorsque tu fouilles vraiment, ben t'as plutôt intérêt à lâcher un billet auprès d'un avocat.
MacBidouille n'est même pas en HTTPS. Comment assurer dans le même temps que tout est fait pour sécuriser les données ?

MacG a d'ailleurs un avocat (pour une société c peut-être deja le cas depuis longtemps) alors le https, bonne question, est-ce que c'est obligatoire dans la nouvelle loi ??

[hellomorld]

et, bien sur, qu'on peut y avoir accès au moins sur demande?

Là je comprends pas le problème. L'accès à tes données personnelles, tu l'as déjà, dans ton profil. Il manque un document expliquant comment faire. Mais l'essentiel, c'est quand même avant tout d'avoir l'accès. Et l'effacement, sur demande, ça a toujours été possible, bien avant le RGPD (t'as jamais vu des messages écrits par Guest_* sur le forum ? ce sont les messages émanant de comptes qui ont été supprimés à la demande de l'utilisateur).

En fait, il faut pouvoir fournir les données dans un format "standard" permettant leur réutilisation par un autre service pour la portabilité.
Vu les données stockées par macbidouille, je doute que quelqu'un les demande.

[SartMatt]

Je suis gêné toutefois par l'argument du temps à consacrer à cette mise en conformité, certains acteurs, et non des moindres, étant présents chaque jour.

L'investissement n'est pas le même. On peut avoir le temps de passer quelques minutes x fois par jour pour lire et/ou poster des messages, sans pour autant avoir le temps de consacrer d'un coup quelques heures sur le sujet (et tu en conviendra, on ne peut pas traiter sérieusement ce sujet à coup de x fois quelques minutes...). Et d'ailleurs, les admins, on ne les voit pas si souvent que ça sur le forum.

[Mokona]

Et sinon, autre question : vous savez tous, je pense, que tout serveur web (en particulier apache) garde un journal des fichiers servis. Chaque image, chaque page accédée est notée avec l'heure et la date de la visite et l'adresse IP reçue à ce moment là. 99.9% des webmasters ne vont jamais regarder ces ENORMES logs à moins peut-être dans le cas de hack de serveur.

Mais si on considère que l'adresse IP est une donnée personnelle, est-ce à dire qu'on est amendable si on ne demande pas à l'hébergeur de désactiver ces journaux ??

[marc_os]

Vu de l'extérieur, MacBidouille et MacGeneration font la même chose

L'un est une entreprise, avec des employés qui travaillent à temps plein pour lui.
L'autre non.

L'un est transparent, et communique sur son statut.
L'autre non.

[SartMatt]

le https, bonne question, est-ce que c'est obligatoire dans la nouvelle loi ??

J'aurais tendance à penser que non. Mais sans certitude absolue.

Il y a un article (le 60) qui parle effectivement de chiffrement, mais il ne le site que comme exemple de mesure pour protéger les données, pas comme obligation : "Afin de préserver la sécurité et de prévenir tout traitement en violation de la présente directive, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, et tenir compte de l'état des connaissances, des coûts de mise en œuvre au regard des risques et de la nature des données à caractère personnel à protéger."

Le risque de vol des informations lors de leur transfert entre un utilisateur et le site me parait faible. Donc ne pas chiffrer n'est pas forcément dramatique à ce niveau.

D'un autre côté, le coût de mise en oeuvre du HTTPS est aujourd'hui très faible également, donc même un risque faible ne justifie pas forcément de s'en passer.

Bref, c'est une question d'interprétation...

Et j'avoue que je ne sais pas trop pourquoi Macbidouille n'est toujours pas passé au HTTPS.

Mais si on considère que l'adresse IP est une donnée personnelle, est-ce à dire qu'on est amendable si on ne demande pas à l'hébergeur de désactiver ces journaux ??

Si l'hébergeur a la main sur les journaux (ce qui est le cas en mutualisé, pas en dédié ou VM), c'est lui qui en est responsable.

Et je ne sais pas ce qu'il en est maintenant avec le RGPD, mais en tout cas, avant ça, la Cnil autorisait la collecte des IP dans les journaux sans qu'il soit nécessaire de demander le consentement de l'utilisateur, à condition que la durée de conservation n'excède pas 13 mois (donc pour le client de l'hébergeur, pas besoin de recueillir le consentement du visiteur). Il fallait par contre déclarer à la Cnil qu'on procède à cette collecte (mais donc, en mutualisé, c'est l'hébergeur qui devait se déclarer, pas le client qui fait héberger son site).

À priori, c'est pareil avec le RGPD : il autorise à collecter des données sans le consentement de la personne concerné quand c'est nécessaire pour des raisons légales (article 6 c, ce qui correspond par exemple au cas d'un forum qui garde l'IP d'origine des messages), ou quand c'est nécessaire "aux fins des intérêts légitimes poursuivis par le responsable du traitement" (article 6 f, et pour moi les logs du serveur web sont dans ce cas, car ils sont nécessaires notamment pour détecter et contrer certaines attaques).

Vu de l'extérieur, MacBidouille et MacGeneration font la même chose

L'un est une entreprise, avec des employés qui travaillent à temps plein pour lui.
L'autre non.

L'un est transparent, et communique sur son statut.
L'autre non.

Fait pas semblant de pas savoir que les admin de Macbidouille font ça sur leur temps libre et ont un boulot à côté, tu le sais très bien, et tu connais même la profession d'au moins l'un d'eux.

Ce message a été modifié par SartMatt - 25 May 2018, 18:25.

[Mokona]

Mais si on considère que l'adresse IP est une donnée personnelle, est-ce à dire qu'on est amendable si on ne demande pas à l'hébergeur de désactiver ces journaux ??

Si l'hébergeur a la main sur les journaux (ce qui est le cas en mutualisé, pas en dédié ou VM), c'est lui qui en est responsable.

Et je ne sais pas ce qu'il en est maintenant avec le RGPD, mais en tout cas, avant ça, la Cnil autorisait la collecte des IP dans les journaux sans qu'il soit nécessaire de demander le consentement de l'utilisateur, à condition que la durée de conservation n'excède pas 13 mois (donc pour le client de l'hébergeur, pas besoin de recueillir le consentement du visiteur). Il fallait par contre déclarer à la Cnil qu'on procède à cette collecte (mais donc, en mutualisé, c'est l'hébergeur qui devait se déclarer, pas le client qui fait héberger son site).

À priori, c'est pareil avec le RGPD : il autorise à collecter des données sans le consentement de la personne concerné quand c'est nécessaire pour des raisons légales (article 6 c, ce qui correspond par exemple au cas d'un forum qui garde l'IP d'origine des messages), ou quand c'est nécessaire "aux fins des intérêts légitimes poursuivis par le responsable du traitement" (article 6 f, et pour moi les logs du serveur web sont dans ce cas, car ils sont nécessaires notamment pour détecter et contrer certaines attaques).

ok, merci pour ces infos !

[iAPX]

Et sinon, autre question : vous savez tous, je pense, que tout serveur web (en particulier apache) garde un journal des fichiers servis. Chaque image, chaque page accédée est notée avec l'heure et la date de la visite et l'adresse IP reçue à ce moment là. 99.9% des webmasters ne vont jamais regarder ces ENORMES logs à moins peut-être dans le cas de hack de serveur.

Mais si on considère que l'adresse IP est une donnée personnelle, est-ce à dire qu'on est amendable si on ne demande pas à l'hébergeur de désactiver ces journaux ??

Ça fait parti des exceptions prévues par le GDPR

[Sgt.Pepper]

Et j'avoue que je ne sais pas trop pourquoi Macbidouille n'est toujours pas passé au HTTPS.

Quitte à disposer d'un certificat, autant qu'il soit EV, et ça c'est dans les 100 balles/an. Pour un site non commercial, c'est tout de même une dépense sans valeur ajoutée (voire même du zèle pour certains). Je ne sais pas trop quoi en penser, sauf à me dire que pour un site du domaine informatique, ça craint un peu. Mais bon...

[broitman]

Une vraie passoire

[yponomeute]

Plusieurs sites de médias US ont tout simplement bloqués l'accès aux ressortissants de l'UE.

We recognise you are attempting to access this website from a country belonging to the European Economic Area (EEA) including the EU which enforces the General Data Protection Regulation (GDPR) and therefore cannot grant you access at this time.

https://azdailysun.com/

Ce message a été modifié par yponomeute - 26 May 2018, 07:50.

[Sgt.Pepper]

"Sans la liberté d'exploiter des données, il n'est point de presse rentable."
Beaumarchais

[yponomeute]

"Sans la liberté d'exploiter des données, il n'est point de presse rentable."
Beaumarchais

Excellent, tu mérites un éloge flatteur

[Sgt.Pepper]

"Sans la liberté d'exploiter des données, il n'est point de presse rentable."
Beaumarchais

Excellent, tu mérites un éloge flatteur

Hum... Tout flatteur vit aux dépens de celui qui l'écoute... méfiance !

[DefKing]

Vous avez reçu depuis plusieurs semaines des avalanches de mails pour des mises à jour de CGV/CGU, des demandes de confirmation d’inscription à des mailing lists, et tout cela en préparation du jour J qui marque l’entrée en vigueur du RGPD.

[…]

Ça commence bien. On fait comment pour la recevoir cette avalanche de mails. Cette nuit, c'était un gros orage de pluie.

[zebigbug]

Autre problème :

Pas mal d'entreprises se précipitent pour envoyer un mail invitant le "client" à son consentement explicite pour être maintenu dans leur base de données.

Or, soit elles disposaient de ces données préalable en toute légalite (auquel cas cette démarche est au mieux inutile), soit ce n'était pas le cas, auquel cas il est marrant de considérer qu'une entreprise dans l'illégalité (ayant obtenu votre adresse sans votre consentement), vous sollicite... pour avoir votre consentement !

Exact! De plus, le mass mailing utilisant ces adresses pour demander le consentement est considéré comme une opération marketing et donc interdit... sans le consentement des clients. On peut s'en sortir à partir du moment où on a (par exemple) un contrat de service et que, dans le cadre de ce contrat, on a besoin d'avoir des données personnelles pour communiquer avec les clients (par ex pour envoyer des factures, des enquêtes...) Mais bon, ce n'est qu'une toute petite partie de l'iceberg. La mise en place des DPO, la mise en conformité, la gestion des risques sont des problématiques plus complexes à mettre en oeuvre, surtout pour les PME/TPE.

Dois je comprendre que c'est un début de la fin du spam ?

[johnstone]

le https, bonne question, est-ce que c'est obligatoire dans la nouvelle loi ??

J'aurais tendance à penser que non. Mais sans certitude absolue.

Il y a un article (le 60) qui parle effectivement de chiffrement, mais il ne le site que comme exemple de mesure pour protéger les données, pas comme obligation : "Afin de préserver la sécurité et de prévenir tout traitement en violation de la présente directive, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, et tenir compte de l'état des connaissances, des coûts de mise en œuvre au regard des risques et de la nature des données à caractère personnel à protéger."

Le risque de vol des informations lors de leur transfert entre un utilisateur et le site me parait faible. Donc ne pas chiffrer n'est pas forcément dramatique à ce niveau.

D'un autre côté, le coût de mise en oeuvre du HTTPS est aujourd'hui très faible également, donc même un risque faible ne justifie pas forcément de s'en passer.

Bref, c'est une question d'interprétation...

Et j'avoue que je ne sais pas trop pourquoi Macbidouille n'est toujours pas passé au HTTPS.

Ah bon? et la sécurisation du mot de passe, elle se fait comment actuellement?

[yponomeute]

Dois je comprendre que c'est un début de la fin du spam ?

Non, le spam était déjà illégal, et ce n'est pas une loi de plus ou de moins qui va empêcher d'utiliser des PC zombies ou autres serveur piratés pour balancer du spam en masse.

[iAPX]

Dois je comprendre que c'est un début de la fin du spam ?

Non, le spam était déjà illégal, et ce n'est pas une loi de plus ou de moins qui va empêcher d'utiliser des PC zombies ou autres serveur piratés pour balancer du spam en masse.

Les conséquences seront bien plus coûteuses, voilà tout, mais c'est un très bon début je trouve!