La GDPR est le nouveau règlement européen en matière de protection des données personnelles. Pas d’inquiétude, je ne vais pas faire de présentation complète du sujet! C’est indigeste et je ne suis pas coutumier des gros dossiers.

De plus, l’article sera très grandement inspiré de l’article anglophone de Bozho (n’hésitez pas à lire la version originale), ce dernier est très orienté pour les développeurs. Nous allons plutôt parler fonctionnalité et implémentation que règlement.

La GPDR en bref

Si vous avez déjà de bonnes notions sur le sujet de la GDPR et qu’un rafraichissement de mémoire n’est pas nécessaire passez ce chapitre.

La GDPR (pour General Data Protection Regulation) est un nouveau règlement européen applicable à la date du 25 mai 2018. Ce dernier redéfinit complètement les obligations des entreprises envers les données personnelles de leurs utilisateurs et clients.

La GDPR regroupe une centaine d’articles qui seront autant de lois dans chacun des pays de l’union européenne. Mais si je dois résumer en une dizaine de points importants :

• Il s’agit d’un règlement, avec des articles de loi et non une directive
• Des sanctions extrêmement lourdes, 20 M€ minimum ou 4% du chiffre d’affaires mondiales
• Déclaration contraignante de l’utilisation des données utilisateurs
• Obligation de sécurisation des données (chiffrement et anonymisation)
• Obligation de déclaration des fuites de données sous 72 heures après la découverte
• Ne pas collecter de données superflues
  
• Le traitement des données recueillis doit être justifié et transparent
• Proposer des mentions légales intelligibles (compréhensibles pour un humain non juriste)
• Respect du droit à la portabilité des données
• Droit a l’oubli
• Et bien d’autres ….

Je vous laisse découvrir ce très bon dossier (20 minutes de lecture environ) pour aller plus loin sur le sujet si vous êtes curieux.

Qui est concerné ? Toutes les entreprises européennes et toutes entreprises ayant des clients en Europe.

Il y a plein de changements dans la gestion des données en perspective. Aujourd’hui, cette gestion de données est souvent l’affaire des logiciels et par conséquent des développeurs.

Impact de la GDPR sur les développements

L’ensemble des obligations qui découle de la GDPR vont nous (les développeurs) obliger à revoir certaines fonctionnalités des logiciels gérant des données personnelles.

Commençons par une définition, qu’est-ce-que sont les données personnelles ? Ce sont l’ensemble des données qui permettent d’identifier directement ou indirectement (par recoupement par exemple) une personne.

Le droit à l’oubli

Chaque utilisateur ayant un droit à l’oubli, il est nécessaire de prévoir une fonction qui supprime l’ensemble des données personnelles de cet utilisateur.

Avoir une telle fonctionnalité est également intéressant en intégration pour tester, par exemple, différents uses cases.

Cependant, tout n’est pas si simple, de nombreuses données de votre application seront probablement liées (par des clefs étrangères, en base, le plus souvent) à l’utilisateur. Deux choix principaux s’offrent à vous : supprimer l’ensemble des données liées à cet utilisateur (cascade) ou vider la valeur des clefs étrangères.

Autre précision importante, il faut notifier l’ensemble des logiciels/API et autres services tiers (service cloud, réseaux sociaux) pour qu’ils suppriment l’ensemble des données personnelles de l’utilisateur.

Export de données

La GDPR prévoit que l’utilisateur puisse récupérer l’ensemble de ces données personnelles. Il est indispensable de prévoir une fonction qui permet à l’utilisateur d’exporter ces données. Les données à lui retourner sont celles que vous auriez effacées si ce dernier exerce son droit à l’oubli.

L’ensemble de ces données doit impérativement être dans un format standard pour respecter l’interopérabilité demandée par la GDPR. Cela peut simplement être un fichier XML ou JSON, en utilisant, par exemple, le formalisme défini par schema.org.

Quelques grosses entreprises comme Google, Facebook ou Twitter ont déjà implémentés cette fonctionnalité, je vous laisse tester par vous-même c’est assez effrayant de voir la taille des archives…

Donner à l’utilisateur le droit de modifier ces données

Ce point semble évident… mais l’utilisateur doit pouvoir modifier ces données personnelles. Un détail tout de même, il en est de même des informations que vous avez récupérées via des applications tierces, comme Facebook par exemple.

Rien n’oblige à avoir des formulaires éditables, cela peut passer par une demande de modification manuelle à un support. Mais un formulaire reste tout de même beaucoup moins cher à entretenir à terme!

Gestion du consentement utilisateur

La GDPR prévoit également que l’utilisateur autorise le traitement de ces données personnelles. Il peut également revenir à n’importe quel moment sur les droits qu’il a donné dans le passé. Une simple validation des conditions d’utilisation ne suffira plus. De plus, par défaut, les droits devront être désactivés.

Par conséquent, l’utilisateur doit pouvoir avoir une interface qui lui permette de gérer les autorisations qu’il donne à votre application/site web. On peut imaginer un ensemble de switch ou de checkboxs afin de gérer chacun des droits demandés. Ci-contre un exemple de ce que fait endroit pour chaque application aujourd’hui.

NB : Les données nécessaires à des obligations légales (facture, fiche de paie etc…) seront soumis à une régime particulier et ne nécessiteront pas d’autorisation si l’utilisation de ces dernières est exclusif aux obligations légales.

Vérification de l’âge

Une autre évolution apportée par la GDPR est l’ajout d’un âge de consentement parental. Si un utilisateur de moins de 16 ans s’inscrit sur une plateforme, il est nécessaire de demander le consentement des parents. Ici difficile de donner des recommandations, on sait à quel point les systèmes de vérification pour les sites pour adultes sont efficaces…

Un piste est de demander un email parental, mais les petits malins auront vite fait de demander à un ami ou de créer une seconde adresse email afin de s’auto-valider.

Ne gardez pas les données plus longtemps que nécessaire

Là encore, la GDPR change les règles, une fois que vous avez utilisé une donnée, cette dernière doit être supprimée ou anonymisée. La loi ne permettra plus de conserver une donnée pour un traitement ultérieur non-défini.

Pour ce cas, partons d’un exemple, pour un site de e-commerce, cela veut dire qu’une fois que la livraison est effectuée (produit arrivé chez le client) les données liées cette commande comme les données bancaires, l’adresse ou les noms doivent être supprimées.

La solution technique résidera probablement dans un script s’exécutant à intervalles réguliers qui vérifiera si la condition de suppression des données (dans notre exemple, la validation de la livraison) est remplie et qui les effacera si c’est le cas.

Protection des données dans la GDPR

La GDPR formalise aussi certaines bonnes pratiques liées à la sécurité des données :

• Chiffrer les communications entre machine (over HTTP avec TLS par exemple)
• Chiffrer les bases de données ou les disques machines où les données utilisateurs sont stockées (par exemple avec LUKS)
• Chiffrer vos backups
• Anonymiser/pseudonimiser les données en tests, de même pour les algorithmes de machine learning (hash + salt les données par exemple)
• Tenir un journal des modifications de données personnelles, cela sera très utile pour la mise en place des permissions à demander par exemple…
• Logger les accès aux données privées, attention toutefois à ne pas écrire dans les logs de données personnelles

Ce qu’il ne faut surtout pas faire

Il faut absolument respecter certaines règles pour être conforme aux règles de la GDPR:

• Ne jamais utiliser de données utilisateurs sans demander d’autorisation explicite quel que soit l’objectif final (machine learning, publicité, exposition des données via API)
• Ne pas mettre de données personnelles dans les logs de votre application
• Ne récupérer les données que si elles sont nécessaires dans vos formulaires (inscription, commande …)
• Vérifier que les parties tierces respectent également la GDPR, l’application principale est responsable des données transmises à ces tierces parties
• Être ISO XXXXX ne veut pas dire respecter la GPDR, certes le gros du travail est déjà fait, mais cela n’est pas suffisant

Les sous-traitants ne sont pas responsable de la bonne application de la GDPR

Une action en justice de la CNIL contre Darty à déboucher sur une décision qui fera probablement jurisprudence.

Pour faire simple, Darty passe par un sous-traitant pour la réalisation de son site web, il se trouve que, dans un formulaire de contact, il y a faille de sécurité béante.

La CNIL dépose plainte et Darty rejette toutes les responsabilités sur son sous-traitant. La justice n’est pas de cet avis et déclare Darty responsable avec en prime une amande de 100 000€.

D’une manière générale, une entreprise est responsable de l’ensemble de ces outils informatiques même si ces derniers sont développés et maintenus par un tiers!

Pour finir

Avoir connaissance des grandes lignes de cette nouvelle régulation est important, à plusieurs égards.

Premièrement, vous pourrez en parler à votre responsable et/ou votre client afin de savoir s’il a conscience des changements de régulation à venir et éviter une amende potentielle de plusieurs millions.

Deuxièmement, les obligations de la GPDR vous donnent les grandes lignes pour une mise en place d’une gestion de données sensibles, chose que beaucoup de petites sociétés sont souvent incapables de faire, par manque de compétence, au sein de l’entreprise.

Et enfin pour les utilisateurs, cette réglementation va obliger les entreprises à plus de transparence sous peine de se voir lourdement sanctionnées. Cette transparence permettra à l’utilisateur de reprendre, un peu, le contrôle de ces données. Comme utilisateur, j’ai hâte de voir les effets d’ici quelques mois de cette régulation sur les entreprises qui basent leurs modèles économiques sur l’exploitation des données personnelles (google, facebook et consorts).

Si vous avez apprécié l’article, vous pouvez le partager pour mon plus grand plaisir ;). Et laissez moi un retour sur cet article en attribuant une note (système d’étoiles en dessous de l’article) ou en laissant un commentaire.

Sources :

• [EN] L’article anglophone de Bozho dont je me suis largement inspiré
• [FR] Dossier GDPR plus complet
• [FR] article wikipedia

The post GDPR : impact sur l’ensemble de vos développements appeared first on Wodric.

Original post of Wodric.Votez pour ce billet sur Planet Libre.