Discussion :

[Malick]

Europe : nouvelle réglementation générale sur la protection des données à respecter avant le 25 mai 2018,
vos applications seront-elles conformes à temps ?

Depuis quelques années, nous assistons à une prolifération des campagnes de piratages se traduisant souvent par le vol de données personnelles ; à cela s'ajoute également l'importante transformation digitale des entreprises et du monde actuel. Ces attaques et évolutions étant loin de se terminer, les utilisateurs en l'occurrence les personnes physiques et les personnes morales font face à une pléthore de risques relatifs à la cybercriminalité. C'est donc pour faire face à ces risques et minimiser les conséquences qu'ils peuvent engendrer en cas de cyberattaque que la Commission européenne a proposé, en janvier 2012, une réforme globale des règles en matière de protection des données personnelles au sein de l’Union européenne. Cette réforme, après quatre années de négociation avec le Parlement européen, a été adoptée définitivement le 14 avril 2016 et son application s'étendra aux États membres de l'Union européenne à partir du 25 mai 2018.

Il convient de préciser que le nouveau règlement va remplacer la Directive sur la protection des données personnelles actuellement en vigueur et adoptée en 1995.

Le but principal de cette réforme dénommé GDPR (General Data Protection Regulation) ou RGPD en français (Règlement Général sur la Protection des Données) est de contraindre les entreprises à mettre en place des systèmes fiables permettant de garantir la sécurité de leur système d'information ainsi que leurs données. Cela devrait par conséquent permettre aux citoyens de contrôler leurs données personnelles.

L'ensemble des structures européennes ou internationales qui manipulent des données personnelles appartenant à des ressortissants de la communauté européenne sont invitées à mettre en application, avant le 25 mai 2018, les nouvelles règles édictées par le nouveau standard législatif européen en matière de protection des données personnelles en l'occurrence le RGPD. Il convient de noter que les règles nouvellement mises en place par le RGPD s'articulent autour de sept points que nous vous présentons ci-dessous.

Nécessité pour chaque organisation de comprendre les enjeux de la réglementation et les traduire en feuille de route pour la DSI

Le nouveau cadre réglementaire européen stipule qu'il est indispensable pour chaque structure de comprendre les tenants et les aboutissants de la réglementation afin de pouvoir mettre en pratique cette dernière. Cette première étape passe nécessairement par l'identification des dispositions pour les adapter à la situation de l'entreprise en question et par la sensibilisation des intéressés en leur expliquant les sanctions prévues suite à un défaut de conformité.

Capacité à localiser l'ensemble des données à caractère personnel au sein de l'entreprise

La nouvelle réforme précise qu'au sein de chaque entreprise, l'ensemble des données à caractère personnel doivent pouvoir être facilement localisées. Toutefois, étant donné que les données se trouvent réparties dans les systèmes d'information métier (marketing, juridique, achats, ventes, ressources humaines, finances...), il s'avère nécessaire de sensibiliser les responsables métier pour mettre en place ce système de localisation. En effet, en impliquant ces derniers, il sera possible de savoir comment les données à caractère personnel sont gérées notamment le référentiel de base, le type d'applications utilisées et les systèmes documentaires et d'archivage existant.

Procéder à une analyse d'impact relative à la protection des données

Les entreprises sont obligées de faire une analyse d'impact relative à la protection des données. Cela a pour but de permettre la réalisation d'une cartographie des données, notamment en identifiant les endroits les plus critiques.

Procéder à une classification des données à caractère personnel via une cartographie des risques - applications et données

La nouvelle réforme précise qu'il est indispensable de faire la classification des données à caractère personnel, cela dans l'optique d'identifier les données nécessitant une protection. Pour faire cela, une cartographie des risques, des applications et des données est obligatoire.

La cartographie des risques permet également de mettre en place un référentiel pour l'entreprise concernée afin d'identifier les zones à risques et de se focaliser sur les parties les plus critiques.

Être en mesure de parcourir les données à tout moment pour déceler toute activité suspecte ou d'éventuelles anomalies

Les entreprises se doivent de faire une cartographie précise de l'ensemble des accès à leurs ressources et actifs pour ne pas être en porte à faux avec la nouvelle réforme. Cela les expose également à des risques de fraudes et de pertes ou vols de données. Cette mesure permet de faire des activités d'audit et de revue afin de s'assurer que les accès recensés au niveau des applications et des données se soient faits de façon légitime.

Capacité pour chaque organisation à tenir un registre des activités relatives aux traitements effectués sur les données

La nouvelle réforme met aussi l'accent sur le fait que chaque entreprise doit mettre en place un système permettant de surveiller de façon permanente les différentes opérations effectuées sur les données à caractère personnel. Pour ce faire, il est demandé à chacune d'elles de disposer d'un registre des activités.

Coopération avec l’autorité de contrôle : garantir une traçabilité des opérations faites sur les données à caractère personnel

Lorsqu'un incident survient dans une organisation, cette dernière doit être en mesure de diligenter une mission d'audit en transmettant les preuves et indices aux différentes autorités de contrôles. Pour que cela puisse se dérouler normalement, la nouvelle norme oblige les différentes structures à mettre en place un système garantissant la traçabilité des activités qui sont perpétrées sur les données à caractère personnel.

Pour une meilleure compréhension de la nouvelle réforme, la définition de certains termes a été donnée.

Donnée à caractère personnel : « toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »

Notion de traitement : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. »

Violation de données à caractère personnel : « c'est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. »

Source : brainwavegrc

Et vous ?

Que pensez-vous de cette nouvelle réforme sur la protection des données à caractère personnel ?

Avez-vous mis en place des procédés au niveau de vos applications, ou au sein de vos lieux de travail afin d'être en conformité avec la nouvelle réforme ?

Est-ce que vous serez prêt dans la mise en œuvre des exigences de la RGPD afin d'être prêt avant la date butoir ?

Voir aussi

Réforme sur la protection des données : le Parlement approuve de nouvelles règles adaptées à l'ère numérique, qui entreront en vigueur en 2018

[Aurelien Plazzotta]

Si la France ne quitte pas rapidement l'Union Européenne (à ne pas confondre avec l'Europe), il va devenir illégal pour un citoyen d'exercer une quelconque activité personnelle ou professionnelle en dehors de son contrat de travail.

On est dans l'obscurantisme pur et simple.

[raphchar]

Si la France ne quitte pas rapidement l'Union Européenne (à ne pas confondre avec l'Europe), il va devenir illégal pour un citoyen d'exercer une quelconque activité personnelle ou professionnelle en dehors de son contrat de travail.

Je ne vois vraiment pas le rapport avec l'article. Quel lien entre une activité personnelle et le fait que les entreprises doivent respecter les lois ? Quel est le problème dans le fait qu'on respecte les lois dans une activité personnelle ?

À moi que tu sous entendes que ces nouvelles exigences européennes soient trop lourdes et inutiles ou dangereuses, mais je ne vois pas en quoi quitter l'UE empêcherai les politiciens français d'en mettre des similaires.

[Aurelien Plazzotta]

Oui, tu as raison. Mes propos sont plutôt obscurs pour le coup...
En fait, de ce que je dénonce, c'est la stratégie très très progressive pour mettre un terme à nos libertés. Tellement pernicieuse que la vigilance n'y est plus.

A-t-on récemment lu un article d'une quelconque instance de l'Union Européenne déclarant de nouvelles possibilités pour ses citoyens ?
De mon côté, je ne lis que des restrictions depuis maintenant plusieurs décennies.
C'est pour ça que j'ai peur.

[raphchar]

Certes. Mais je me demande aussi si ce n'est pas grâce à UE qu'il n'y ai pas déjà de loi "backdoor gouvernementaux à installer obligatoirement" en France pour lutter soi-disant comme le terrorisme.

[Aurelien Plazzotta]

Nous n'en savons strictement rien s'il n'y a pas de portes dérobées gouvernementales.

[pmithrandir]

Donc, si je résume, L'UE met en place une reglementation de manière à lutter contre le piratage de données personnelles, donc de protéger les données des citoyens, et tu y vois une diminution de la liberté.

C'est ca ?

En quoi ca t'impacte negativement si on force les entrepris à mettre en oeuvre quelques bonnes pratiques de sécurité et de tracabilité ? Moi je toruve ca plutot positif qu'on impose aux sociétés de ne pas faire n'importe quoi avec nos données.

[TallyHo]

Donc, si je résume, L'UE met en place une reglementation de manière à lutter contre le piratage de données personnelles, donc de protéger les données des citoyens, et tu y vois une diminution de la liberté.

Je pense qu'il dénonce le faux antagonisme liberté-sécurité qu'on nous matraque pour justifier une politique sécuritaire... Après je ne pense pas que ça s'applique avec cette mesure qui me semble pas mal.

[nico84]

Je suis assez d'accord sur le fait que sous prétexte de protéger ses citoyens les administrations nous compliquent la vie à un point qui finalement nous pénalise plus qu'autre chose.

Ce genre de loi est un fourre-tout incompréhensible qui noie les petites sociétés dans des contraintes administratives et décourage d'entreprendre. Par exemple une société de 10 personnes qui a une GPAO où les salariés sont identifiés (nom - prénom - fonction - date de naissance) va faire comment pour garantir qu'un intérimaire ne vole pas les dates de naissance de ses collègues ? Et où serait le mal ???

Dans le sondage il manque "Aucune" qui aurait probablement 99% des voix

[MaPommeTao]

Mettre en place dans chaque logiciel qui manipule des données personnelles une tracabilité des opérations effectuées sur ces données n'est pas une mince affaire. Pas faisable en moins d'un an.
Je viens de mettre à jour une application de facturation pour la tracabilité des factures et encaissements (1er janvier 2018), il faut donc que je la reprenne pour ajouter une tracabilité des accès aux données des clients (création, modification, suppression).

On pourrait exiger aussi de coder avec des clefs ultra puissantes toutes les données des applications pour éviter leur piratage et leur divulgation.

On pourrait exiger aussi des fournisseurs Internet qu'ils fassent la chasse EFFICACEMENT en ce qui concerne les pirates, les spammeurs qui sont souvent les mêmes, les vendeurs de listes d'adresses, les générateurs de virus.

Je ne refute pas le fait qu'il faille protéger les données des utilisateurs, j'exige que ceux qui utilisent les miennes le fasse. Mais qu'on donne du temps aux petits éditeurs, tout le monde ne s'appelle pas SAP ou SAGE avec quelques centaines de développeurs.

[nico84]

Je viens de mettre à jour une application de facturation pour la tracabilité des factures et encaissements (1er janvier 2018)

Je dois en faire autant et suis preneur de toutes infos !!! Quelle a été ta démarche ?
Je suis surpris que ce sujet brûlant ne soit pas plus débattu sur les forums...

[MaPommeTao]

Je dois en faire autant et suis preneur de toutes infos !!! Quelle a été ta démarche ?
Je suis surpris que ce sujet brûlant ne soit pas plus débattu sur les forums...

Je développe mes solutions pour Indépendants, TPE, Bars et Restaurants sur bases FileMaker 14 et 15. J'ai ajouté des tables supplémentaires liées et trois ou 4 scripts pour calculer les signatures, restitutions et j'ai ajouté une table d'audit et les scripts qui vont avec. Il a fallu que je modifie certains scripts pour ajouter les appels aux scripts de calcul des rubriques.

Je suis aussi très étonné que TOUS les gens qui sont assujettis à la TVA ne soient pas au courant des nouvelles règles applicables dès le 1er janvier 2018.

A quoi servent les comptables et les avocats encore une fois ?
Il faut savoir qu'à partir du 1er janvier 2018, si vous utilisez un logiciel non certifié pour gérer vos factures et encaissements, vous serez redevable 1) d'une amende forfaitaire non négociable de 7 500 €, 2) d'un contrôle fiscal dans les mois qui suivent, 3) de l'obligation de vous mettre dans le rang dans les 60 jours 4) de reprendre toutes vos opérations depuis le début de l'année.
PS la notice d'information chez INFOCERT coûte 720 € TTC, il y en a à qui ça profite.

[byrautor]

Cf nico 84 [Dans le sondage il manque "Aucune" qui aurait probablement 99% des voix ]
Tout à fait d'accord.
Mes pauvres enfants, c'est sur votre dos et votre travail que "travaillent" ces mouches du coche.
J'ai connu moultes commissions, et pas que dans le domaine de l'informatique, où de nombreuses personnes ont vécues toute leur vie, tranquilles comme Baptiste.
Vous savez c'est un endroit peinard, on ne risque rien (sauf si l'on n'a pas réussi à faire passer le brevet comme une norme, puis un règlement) , et encore. Il y a toujours un placard bien doré.
+ celles qui sont rétribuées pour avantager certaines entreprises contre leurs concurrents.
Enfin, encore une norme ou un règlement et l'on aime l'Europe.
Une parade :
Signature de la norme par tous les délibérants avec le nom de leur entreprise. Et encore, cela ne montrerait pas les entreprises écrans qui, avec le dispositif de la TVA récupérable, ne coûtent rien.
Bon courage les gars, mais c'est peut-être aussi votre gagne pain.
Alors je vous comprends.
GB

[Malick]

Bonjour,

Dans le sondage il manque "Aucune" qui aurait probablement 99% des voix

Cf nico 84 [Dans le sondage il manque "Aucune" qui aurait probablement 99% des voix ]
Tout à fait d'accord.

Merci pour vos retour, c'est ajouté au sondage.

[nico84]

Merci d'avoir répondu si vite. Pas de certification extérieure type NF 525 ni de recours à un tiers ?

Je suis aussi très étonné que TOUS les gens qui sont assujettis à la TVA ne soient pas au courant des nouvelles règles applicables dès le 1er janvier 2018.

A quoi servent les comptables et les avocats encore une fois ?

Les comptables commencent à informer leurs clients mais c'est un chantier qui vaut bien le passage à l'euro ou l'an 2000 à mon avis si on applique à la lettre le texte de loi, particulièrement flou au demeurant...

Par ailleurs ceux qui ne sont pas informatisés semblent dispensés donc cela laisse encore de beaux jours aux restaurants, boulangers et autres artisants non équipés qui grâce à cette loi sont vaccinés contre toute envie de le faire, ce qui est contraire à l'esprit de la loi !

Après, on peut aussi parier sur le fait que le prochain gouvernement annule la loi ou au minimum donne un délai

@Malik : A voté

[lerombasien]

Bonjour a tous
a la lecture de cet article, je pense que ceci est totalement irréalisable car si on va au bout de la démarche, cela peut remettre en cause le parc installé d'une entreprise pour pouvoir traiter et stocker toutes ces données sans perte de performance. d'autant plus que rien ne dit que tout cela ne s'appliquera pas au traitement manuel des données. exemple : comment tracer tout ceux qui vont consulter le dossier médical papier d'un patient, dossier qui existe dans tous les hôpitaux et cliniques

[MaPommeTao]

Merci d'avoir répondu si vite. Pas de certification extérieure type NF 525 ni de recours à un tiers ?

Les comptables commencent à informer leurs clients mais c'est un chantier qui vaut bien le passage à l'euro ou l'an 2000 à mon avis si on applique à la lettre le texte de loi, particulièrement flou au demeurant...

Par ailleurs ceux qui ne sont pas informatisés semblent dispensés donc cela laisse encore de beaux jours aux restaurants, boulangers et autres artisants non équipés qui grâce à cette loi sont vaccinés contre toute envie de le faire, ce qui est contraire à l'esprit de la loi !

Après, on peut aussi parier sur le fait que le prochain gouvernement annule la loi ou au minimum donne un délai

@Malik : A voté

Il s'agit effectivement de la norme NF 525, c'est elle qui définit et garantit quand on veut bien payer la redevance à AFNOR/INFOCERT (1 500 € par version de logiciel) le respect des règles.
Il y a plus de 100 agents du fisc qui sont d'ores et déjà formés pour répondre à ce besoin et ils ont consigne d'agir dès le 2 janvier. C'est une affaire qui dure depuis quelques années, et comme il y a de moins en moins à réccupérer du côté des gros industriels déjà contrôlés maintes et maintes fois, les petits vont être passés à la moulinette.
Je ne suis pas sur que ceux qui ne sont pas équipés ne soient pas obligés de le faire. Rien de ce qui est manuel ne garantit l'authenticité des opérations.
Excel et Word, c'est fini pour faire ses factures.

Pour répondre aussi à byrautor, c'est notre gagne-pain et pendant qu'on s'occupe de répondre sans cesse à ces incessantes normes, on peut rien faire d'autre de passionnant. Je suis moi-même au point de dire m... à tout ça et prêt à aller planter mes carottes dans mon potager.

A voté aussi

[lerombasien]

Merci d'avoir répondu si vite. Pas de certification extérieure type NF 525 ni de recours à un tiers ?

Les comptables commencent à informer leurs clients mais c'est un chantier qui vaut bien le passage à l'euro ou l'an 2000 à mon avis si on applique à la lettre le texte de loi, particulièrement flou au demeurant...

Par ailleurs ceux qui ne sont pas informatisés semblent dispensés donc cela laisse encore de beaux jours aux restaurants, boulangers et autres artisants non équipés qui grâce à cette loi sont vaccinés contre toute envie de le faire, ce qui est contraire à l'esprit de la loi !

Après, on peut aussi parier sur le fait que le prochain gouvernement annule la loi ou au minimum donne un délai

@Malik : A voté

dans la rubrique de l'article intitulé " notion de traitement " ils est clairement dit automatisé ou non. donc tout traitement manuel est concerné ... bonjour la masse de cahiers et de registre a tenir pout tracer tout ce que l'on fait

[MaPommeTao]

Bonjour a tous
a la lecture de cet article, je pense que ceci est totalement irréalisable car si on va au bout de la démarche, cela peut remettre en cause le parc installé d'une entreprise pour pouvoir traiter et stocker toutes ces données sans perte de performance. d'autant plus que rien ne dit que tout cela ne s'appliquera pas au traitement manuel des données. exemple : comment tracer tout ceux qui vont consulter le dossier médical papier d'un patient, dossier qui existe dans tous les hôpitaux et cliniques

De plus en plus les documents sont dématérialisés, même dans les hôpitaux, les tablettes fleurissent comme les microbes.

[nico84]

Il s'agit effectivement de la norme NF 525, c'est elle qui définit et garantit quand on veut bien payer la redevance à AFNOR/INFOCERT (1 500 € par version de logiciel) le respect des règles.

Donc il "suffit" que je rajoute des clés de controle et que je paie 1500€ à infocert ? Désolé d'insister mais ce boulot risque de me pourrir le reste de 2017 qui commence à peine

Je ne suis pas sur que ceux qui ne sont pas équipés ne soient pas obligés de le faire. Rien de ce qui est manuel ne garantit l'authenticité des opérations.
Excel et Word, c'est fini pour faire ses factures.

Mais le carnet autocopiant à pages numérotées et rempli au stylo bic est encore accepté, pour l'administration c'est aussi fiable que la gravure sur marbre !
J'envisage donc de dire à mes clients (petites sociétés industrielles) d'utiliser mon logiciel pour sa GPAO et de faire les factures avec "Ciel devis factures" (89.5€ HT)

prêt à aller planter mes carottes dans mon potager.

J'ai déjà le jardin, manque plus que les graines. Ceci dit, la terre est basse et c'est ingrat aussi