RGPD - guide pratique pour les développeurs

**chrtophe** · 13/04/2018, 08h22

Chers membres du Club,

J'ai le plaisir de vous présenter :

RGPD : un guide pratique pour les développeurs

Article de Bozhidar Bozhanov

Cet article expose l'aspect pratique pour les développeurs de la RGPD (GPDR en anglais) : Réglementation Générale sur la Protection des Données, entrant en vigueur le 25 mai 2018.

A lire aussi sur ce sujet :

GDPR : votre entreprise est-elle bien préparée au nouveau règlement européen sur la protection des données ?

Europe : RGPD, la nouvelle réglementation générale sur la protection des données à respecter avant le 25 mai 2018

Réforme sur la protection des données : le Parlement approuve de nouvelles règles adaptées à l'ère numérique, qui entreront en vigueur en 2018

Richard Stallman remet en cause l'efficacité du RGPD, il veut plutôt une loi qui empêche les systèmes de collecter des données personnelles

Bonne lecture.

**Pierre Louis Chevalier** · 13/04/2018, 14h02

Excellent article

Il y a pas mal de retard dans beaucoup d'entreprises pour cette mise en place.
Et je ne parles même pas des entreprises dont le modèle économique est basée sur la violation du RGPD, comme par exemple certaines sociétés de marketing et certaines régies publicitaires

Que va devenir Critéo par exemple ?

**steel-finger** · 13/04/2018, 18h58

Mille merci.

Excellent travail.

**jfsenechal** · 16/04/2018, 16h33

Super article !

Merci

**cryptonyx** · 20/04/2018, 14h44

Juste un point sur le titre du 4.1 : Chiffrement et non chiffrage (le dernier se dit pour calculer un montant).

**chrtophe** · 20/04/2018, 15h12

Corrigé.

Le chiffrage, ce sera pour la cotation de la mise au norme.

**Paul TOTH** · 11/05/2018, 19h43

j'ai un peu du mal à comprendre comment s'articule tout cela

il faut garder trace de toute consultation des données personnelles, mais appliquer le droit à l'oublie...comment peut-on faire les deux en même temps ?

les factures nominatives d'un logiciel de caisse dont les données doivent être inaltérables (LF2016) sont-elles des données nominatives qui peuvent faire l'objet d'un droit à l'oublie ?

**chrtophe** · 11/05/2018, 20h39

L’article 17 stipule :

Lorsque ces données ne sont plus nécessaires, par rapport à la raison de leur collecte et traitement initial.

La raison de leur collecte étant d'une part contractuelle, puis fiscale, ce sont ces délais qui comptent.

**sinople** · 19/05/2018, 02h05

C'était bien pensé mais non tu vas pas pouvoir effacer ton casier judiciaire comme ça…

Pour ça qu'il y a un certain travail à faire en amont, identifier les fichiers de données personnelles, les traitements associés, leur raison d'être, etc. avant de passer sur le volet d'implémentation technique tels que décrit ici.

**chrtophe** · 19/05/2018, 07h51

Tout à fait. Cet article est un guide de mise en place pour les développeurs,

Je vous recommandes les liens mis sur le premier post, et éventuellement ceux de a CNIL.

**PointCarreJo** · 25/05/2018, 11h14

Super résumé et explications claires.
Très utile pour mes adaptations relatifs au RGPD.

**benjani13** · 25/05/2018, 15h43

Merci beaucoup pour cet article. J'ai quelques questions.

Comment assurer le droit à l'oubli lorsqu'un système de sauvegarde/backup est en place? Si je demande à supprimer des informations d'une base, ces infos resteront dans les sauvegardes des jours/mois précédents. Est-ce qu'on compte sur le roulement des sauvegardes pour se dire que les données dites supprimées mais encore dans les sauvegardes finiront par disparaitre?

Qui contrôle? Qui a des chances de se faire contrôler? J'ai du mal à comprendre le fait que certains services préfèrent fermer plutôt que de se conformer au RPGD. J'aurais penser que, cyniquement, ils auraient fait semblant de s'y conformer en se disant qu'ils passeraient sous le radar. Est-ce qu'il y avait un vrai risque de sanctions pour eux?

Concernant le consentement des utilisateurs, est-ce qu'on va enfin avoir le choix de n'utiliser qu'une partie d'un service? Ou est-ce qu'on va toujours rester sur un système de consentement binaire et donc forcé (soit on accepte tout, soit on désinstalle l'appli ou quitte le site web)

**chrtophe** · 25/05/2018, 16h14

Comment assurer le droit à l'oubli lorsqu'un système de sauvegarde/backup est en place? Si je demande à supprimer des informations d'une base, ces infos resteront dans les sauvegardes des jours/mois précédents. Est-ce qu'on compte sur le roulement des sauvegardes pour se dire que les données dites supprimées mais encore dans les sauvegardes finiront par disparaitre?

Si tu as des sauvegardes tournantes, l'oubli sera répercuté dans celle-ci. Par contre, cas qui peut se poser : Une personne te demande aujourd’hui le droit à l'oubli, tu t’exécutes. Le lendemain, tu es obligé de restaurer les données, il faut que tu puisses ré-oublier ce qui devait l'être.

Qui contrôle? Qui a des chances de se faire contrôler?

En france : La cnil. Tout le monde peut se faire contrôler. Et encore plus si quelqu'un se plaint.

Est-ce qu'il y avait un vrai risque de sanctions pour eux?

Oui.

Concernant le consentement des utilisateurs, est-ce qu'on va enfin avoir le choix de n'utiliser qu'une partie d'un service?

Peu probable.

**MiniDevZ** · 25/05/2018, 19h00

Bonjour,

Merci pour l'article.

Étant développeur et RTA, ne connaissant pas très bien la politique de gestion des données personnelles de la société, je compte faire une demande officielle dans le cadre de cette loi pour savoir ce que m'a boîte possède sur moi et de quelle manière elle s'en sert.

Ma question est la suivante: comment je peux m'assurer que ma société n'omet pas volontairement certaines données? Est-ce qu'il existe un format spécifique pour effectuer la demande?

Merci

**chrtophe** · 25/05/2018, 19h22

comment je peux m'assurer que ma société n'omet pas volontairement certaines données?

Tu ne peux pas. Mais si ils le font, ils sont hors-la-loi.

Est-ce qu'il existe un format spécifique pour effectuer la demande?

Pas à connaissance, tu peux utiliser le courrier type de la CNIL.

Cela concerne plutôt la loi informatique et libertés, que la transposition de la RGPD en droit français étend.

**Twix92** · 31/05/2018, 16h10

Hello à tous,

Question bête, j'ai une bdd type mysql par exemple, dois-je garder une trace de chaque requête lancée sur le serveur pour savoir qui a eu accès à quoi ?

**jfsenechal** · 31/05/2018, 16h15

Pas au niveau de mysql que tu dois tracer mais plutôt au niveau de ton application ou des tes fichiers de logs web

**Twix92** · 31/05/2018, 16h32

Thanks,

J'avoue qu'on m'a fait peur, l'activation du general_log sur MySQL tue les perfs et le fichier de log est énorme.

**Twix92** · 05/06/2018, 12h01

Bonjour,

A priori il faut bien tout garder !

En effet lors d'un éventuel audit, il faut bien prouver qui a fait quoi au niveau de la BDD.
Donc log de toutes les requêtes à faire !

Ca va être catastrophique pour l'espace disque et les perfs !

**jfsenechal** · 05/06/2018, 13h34

Mais non il ne faut pas faire ainsi

Il faut que dans ton application tu crées un système de log avancé, quel user a fait quoi quand sur quel objet

Mais je suis pas sur que le rgpd oblige ça

RGPD - guide pratique pour les développeurs

Sécurité

Discussions similaires

Partager

Partager