Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

RGPD - guide pratique pour les développeurs


Sujet :

Sécurité

  1. #1
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 728
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 728
    Points : 26 234
    Points
    26 234
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  2. #2
    Expert éminent sénior

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    avril 2002
    Messages
    2 103
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 59
    Localisation : Luxembourg

    Informations professionnelles :
    Activité : Directeur des systèmes d'information
    Secteur : Finance

    Informations forums :
    Inscription : avril 2002
    Messages : 2 103
    Points : 13 780
    Points
    13 780
    Par défaut
    Excellent article

    Il y a pas mal de retard dans beaucoup d'entreprises pour cette mise en place.
    Et je ne parles même pas des entreprises dont le modèle économique est basée sur la violation du RGPD, comme par exemple certaines sociétés de marketing et certaines régies publicitaires
    Que va devenir Critéo par exemple ?
    Ne prenez pas la vie au sérieux, vous n'en sortirez pas vivant ...

  3. #3
    Membre actif Avatar de steel-finger
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2013
    Messages
    125
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : janvier 2013
    Messages : 125
    Points : 217
    Points
    217
    Par défaut
    Mille merci.

    Excellent travail.

  4. #4
    Membre averti
    Homme Profil pro
    Développeur Web
    Inscrit en
    février 2003
    Messages
    305
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : février 2003
    Messages : 305
    Points : 369
    Points
    369
    Par défaut
    Super article !

    Merci

  5. #5
    Membre actif

    Homme Profil pro
    Inscrit en
    décembre 2003
    Messages
    32
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2003
    Messages : 32
    Points : 265
    Points
    265
    Par défaut Excellent article sur le RGPD
    Juste un point sur le titre du 4.1 : Chiffrement et non chiffrage (le dernier se dit pour calculer un montant).

  6. #6
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 728
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 728
    Points : 26 234
    Points
    26 234
    Par défaut
    Corrigé.

    Le chiffrage, ce sera pour la cotation de la mise au norme.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  7. #7
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    novembre 2002
    Messages
    7 469
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2002
    Messages : 7 469
    Points : 24 628
    Points
    24 628
    Par défaut
    j'ai un peu du mal à comprendre comment s'articule tout cela

    il faut garder trace de toute consultation des données personnelles, mais appliquer le droit à l'oublie...comment peut-on faire les deux en même temps ?

    les factures nominatives d'un logiciel de caisse dont les données doivent être inaltérables (LF2016) sont-elles des données nominatives qui peuvent faire l'objet d'un droit à l'oublie ?
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Le Store Excute Store

  8. #8
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 728
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 728
    Points : 26 234
    Points
    26 234
    Par défaut
    L’article 17 stipule :

    Lorsque ces données ne sont plus nécessaires, par rapport à la raison de leur collecte et traitement initial.
    La raison de leur collecte étant d'une part contractuelle, puis fiscale, ce sont ces délais qui comptent.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  9. #9
    Membre chevronné
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2009
    Messages
    1 028
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Finance

    Informations forums :
    Inscription : avril 2009
    Messages : 1 028
    Points : 2 162
    Points
    2 162
    Par défaut
    C'était bien pensé mais non tu vas pas pouvoir effacer ton casier judiciaire comme ça…

    Pour ça qu'il y a un certain travail à faire en amont, identifier les fichiers de données personnelles, les traitements associés, leur raison d'être, etc. avant de passer sur le volet d'implémentation technique tels que décrit ici.

  10. #10
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 728
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 728
    Points : 26 234
    Points
    26 234
    Par défaut
    Tout à fait. Cet article est un guide de mise en place pour les développeurs,

    Je vous recommandes les liens mis sur le premier post, et éventuellement ceux de a CNIL.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  11. #11
    Membre actif
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    octobre 2012
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Luxembourg

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : octobre 2012
    Messages : 155
    Points : 298
    Points
    298
    Par défaut
    Super résumé et explications claires.
    Très utile pour mes adaptations relatifs au RGPD.

  12. #12
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    578
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 578
    Points : 2 636
    Points
    2 636
    Par défaut
    Merci beaucoup pour cet article. J'ai quelques questions.

    Comment assurer le droit à l'oubli lorsqu'un système de sauvegarde/backup est en place? Si je demande à supprimer des informations d'une base, ces infos resteront dans les sauvegardes des jours/mois précédents. Est-ce qu'on compte sur le roulement des sauvegardes pour se dire que les données dites supprimées mais encore dans les sauvegardes finiront par disparaitre?

    Qui contrôle? Qui a des chances de se faire contrôler? J'ai du mal à comprendre le fait que certains services préfèrent fermer plutôt que de se conformer au RPGD. J'aurais penser que, cyniquement, ils auraient fait semblant de s'y conformer en se disant qu'ils passeraient sous le radar. Est-ce qu'il y avait un vrai risque de sanctions pour eux?

    Concernant le consentement des utilisateurs, est-ce qu'on va enfin avoir le choix de n'utiliser qu'une partie d'un service? Ou est-ce qu'on va toujours rester sur un système de consentement binaire et donc forcé (soit on accepte tout, soit on désinstalle l'appli ou quitte le site web)

  13. #13
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 728
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 728
    Points : 26 234
    Points
    26 234
    Par défaut
    Comment assurer le droit à l'oubli lorsqu'un système de sauvegarde/backup est en place? Si je demande à supprimer des informations d'une base, ces infos resteront dans les sauvegardes des jours/mois précédents. Est-ce qu'on compte sur le roulement des sauvegardes pour se dire que les données dites supprimées mais encore dans les sauvegardes finiront par disparaitre?
    Si tu as des sauvegardes tournantes, l'oubli sera répercuté dans celle-ci. Par contre, cas qui peut se poser : Une personne te demande aujourd’hui le droit à l'oubli, tu t’exécutes. Le lendemain, tu es obligé de restaurer les données, il faut que tu puisses ré-oublier ce qui devait l'être.

    Qui contrôle? Qui a des chances de se faire contrôler?
    En france : La cnil. Tout le monde peut se faire contrôler. Et encore plus si quelqu'un se plaint.

    Est-ce qu'il y avait un vrai risque de sanctions pour eux?
    Oui.
    Concernant le consentement des utilisateurs, est-ce qu'on va enfin avoir le choix de n'utiliser qu'une partie d'un service?
    Peu probable.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  14. #14
    Membre à l'essai
    Homme Profil pro
    Étudiant
    Inscrit en
    février 2012
    Messages
    20
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2012
    Messages : 20
    Points : 13
    Points
    13
    Par défaut Demande de données ?
    Bonjour,

    Merci pour l'article.

    Étant développeur et RTA, ne connaissant pas très bien la politique de gestion des données personnelles de la société, je compte faire une demande officielle dans le cadre de cette loi pour savoir ce que m'a boîte possède sur moi et de quelle manière elle s'en sert.

    Ma question est la suivante: comment je peux m'assurer que ma société n'omet pas volontairement certaines données? Est-ce qu'il existe un format spécifique pour effectuer la demande?

    Merci

  15. #15
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 728
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 728
    Points : 26 234
    Points
    26 234
    Par défaut
    comment je peux m'assurer que ma société n'omet pas volontairement certaines données?
    Tu ne peux pas. Mais si ils le font, ils sont hors-la-loi.

    Est-ce qu'il existe un format spécifique pour effectuer la demande?
    Pas à connaissance, tu peux utiliser le courrier type de la CNIL.

    Cela concerne plutôt la loi informatique et libertés, que la transposition de la RGPD en droit français étend.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  16. #16
    Futur Membre du Club
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    septembre 2015
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2015
    Messages : 7
    Points : 7
    Points
    7
    Par défaut
    Hello à tous,

    Question bête, j'ai une bdd type mysql par exemple, dois-je garder une trace de chaque requête lancée sur le serveur pour savoir qui a eu accès à quoi ?

  17. #17
    Membre averti
    Homme Profil pro
    Développeur Web
    Inscrit en
    février 2003
    Messages
    305
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : février 2003
    Messages : 305
    Points : 369
    Points
    369
    Par défaut
    Pas au niveau de mysql que tu dois tracer mais plutôt au niveau de ton application ou des tes fichiers de logs web

  18. #18
    Futur Membre du Club
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    septembre 2015
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2015
    Messages : 7
    Points : 7
    Points
    7
    Par défaut
    Thanks,

    J'avoue qu'on m'a fait peur, l'activation du general_log sur MySQL tue les perfs et le fichier de log est énorme.

  19. #19
    Futur Membre du Club
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    septembre 2015
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2015
    Messages : 7
    Points : 7
    Points
    7
    Par défaut
    Bonjour,

    A priori il faut bien tout garder !

    En effet lors d'un éventuel audit, il faut bien prouver qui a fait quoi au niveau de la BDD.
    Donc log de toutes les requêtes à faire !

    Ca va être catastrophique pour l'espace disque et les perfs !

  20. #20
    Membre averti
    Homme Profil pro
    Développeur Web
    Inscrit en
    février 2003
    Messages
    305
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : février 2003
    Messages : 305
    Points : 369
    Points
    369
    Par défaut
    Mais non il ne faut pas faire ainsi

    Il faut que dans ton application tu crées un système de log avancé, quel user a fait quoi quand sur quel objet

    Mais je suis pas sur que le rgpd oblige ça

Discussions similaires

  1. Réponses: 1
    Dernier message: 23/02/2018, 08h02
  2. Valve publie un guide pour les développeurs sur les manettes Knuckles
    Par LittleWhite dans le forum Développement 2D, 3D et Jeux
    Réponses: 0
    Dernier message: 25/06/2017, 12h18
  3. Réponses: 2
    Dernier message: 04/02/2014, 09h52
  4. Sortie française, prix pour les développeurs
    Par storm_2000 dans le forum Windows Vista
    Réponses: 4
    Dernier message: 17/11/2006, 10h37

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo