Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

RGPD - guide pratique pour les développeurs


Sujet :

Sécurité

  1. #1
    Responsable Systèmes

    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutor...s/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  2. #2
    Expert éminent sénior
    Excellent article

    Il y a pas mal de retard dans beaucoup d'entreprises pour cette mise en place.
    Et je ne parles même pas des entreprises dont le modèle économique est basée sur la violation du RGPD, comme par exemple certaines sociétés de marketing et certaines régies publicitaires
    Que va devenir Critéo par exemple ?
    Ne prenez pas la vie au sérieux, vous n'en sortirez pas vivant ...

  3. #3
    Membre actif
    Mille merci.

    Excellent travail.

  4. #4
    Membre averti
    Super article !

    Merci

  5. #5
    Membre actif
    Excellent article sur le RGPD
    Juste un point sur le titre du 4.1 : Chiffrement et non chiffrage (le dernier se dit pour calculer un montant).

  6. #6
    Responsable Systèmes

    Corrigé.

    Le chiffrage, ce sera pour la cotation de la mise au norme.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutor...s/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  7. #7
    Expert éminent sénior
    j'ai un peu du mal à comprendre comment s'articule tout cela

    il faut garder trace de toute consultation des données personnelles, mais appliquer le droit à l'oublie...comment peut-on faire les deux en même temps ?

    les factures nominatives d'un logiciel de caisse dont les données doivent être inaltérables (LF2016) sont-elles des données nominatives qui peuvent faire l'objet d'un droit à l'oublie ?
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Le Store Excute Store

  8. #8
    Responsable Systèmes

    L’article 17 stipule :

    Lorsque ces données ne sont plus nécessaires, par rapport à la raison de leur collecte et traitement initial.
    La raison de leur collecte étant d'une part contractuelle, puis fiscale, ce sont ces délais qui comptent.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutor...s/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  9. #9
    Membre chevronné
    C'était bien pensé mais non tu vas pas pouvoir effacer ton casier judiciaire comme ça…

    Pour ça qu'il y a un certain travail à faire en amont, identifier les fichiers de données personnelles, les traitements associés, leur raison d'être, etc. avant de passer sur le volet d'implémentation technique tels que décrit ici.

  10. #10
    Responsable Systèmes

    Tout à fait. Cet article est un guide de mise en place pour les développeurs,

    Je vous recommandes les liens mis sur le premier post, et éventuellement ceux de a CNIL.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutor...s/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  11. #11
    Membre actif
    Super résumé et explications claires.
    Très utile pour mes adaptations relatifs au RGPD.

  12. #12
    Membre extrêmement actif
    Merci beaucoup pour cet article. J'ai quelques questions.

    Comment assurer le droit à l'oubli lorsqu'un système de sauvegarde/backup est en place? Si je demande à supprimer des informations d'une base, ces infos resteront dans les sauvegardes des jours/mois précédents. Est-ce qu'on compte sur le roulement des sauvegardes pour se dire que les données dites supprimées mais encore dans les sauvegardes finiront par disparaitre?

    Qui contrôle? Qui a des chances de se faire contrôler? J'ai du mal à comprendre le fait que certains services préfèrent fermer plutôt que de se conformer au RPGD. J'aurais penser que, cyniquement, ils auraient fait semblant de s'y conformer en se disant qu'ils passeraient sous le radar. Est-ce qu'il y avait un vrai risque de sanctions pour eux?

    Concernant le consentement des utilisateurs, est-ce qu'on va enfin avoir le choix de n'utiliser qu'une partie d'un service? Ou est-ce qu'on va toujours rester sur un système de consentement binaire et donc forcé (soit on accepte tout, soit on désinstalle l'appli ou quitte le site web)

  13. #13
    Responsable Systèmes

    Comment assurer le droit à l'oubli lorsqu'un système de sauvegarde/backup est en place? Si je demande à supprimer des informations d'une base, ces infos resteront dans les sauvegardes des jours/mois précédents. Est-ce qu'on compte sur le roulement des sauvegardes pour se dire que les données dites supprimées mais encore dans les sauvegardes finiront par disparaitre?
    Si tu as des sauvegardes tournantes, l'oubli sera répercuté dans celle-ci. Par contre, cas qui peut se poser : Une personne te demande aujourd’hui le droit à l'oubli, tu t’exécutes. Le lendemain, tu es obligé de restaurer les données, il faut que tu puisses ré-oublier ce qui devait l'être.

    Qui contrôle? Qui a des chances de se faire contrôler?
    En france : La cnil. Tout le monde peut se faire contrôler. Et encore plus si quelqu'un se plaint.

    Est-ce qu'il y avait un vrai risque de sanctions pour eux?
    Oui.
    Concernant le consentement des utilisateurs, est-ce qu'on va enfin avoir le choix de n'utiliser qu'une partie d'un service?
    Peu probable.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutor...s/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  14. #14
    Membre à l'essai
    Demande de données ?
    Bonjour,

    Merci pour l'article.

    Étant développeur et RTA, ne connaissant pas très bien la politique de gestion des données personnelles de la société, je compte faire une demande officielle dans le cadre de cette loi pour savoir ce que m'a boîte possède sur moi et de quelle manière elle s'en sert.

    Ma question est la suivante: comment je peux m'assurer que ma société n'omet pas volontairement certaines données? Est-ce qu'il existe un format spécifique pour effectuer la demande?

    Merci

  15. #15
    Responsable Systèmes

    comment je peux m'assurer que ma société n'omet pas volontairement certaines données?
    Tu ne peux pas. Mais si ils le font, ils sont hors-la-loi.

    Est-ce qu'il existe un format spécifique pour effectuer la demande?
    Pas à connaissance, tu peux utiliser le courrier type de la CNIL.

    Cela concerne plutôt la loi informatique et libertés, que la transposition de la RGPD en droit français étend.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutor...s/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  16. #16
    Futur Membre du Club
    Hello à tous,

    Question bête, j'ai une bdd type mysql par exemple, dois-je garder une trace de chaque requête lancée sur le serveur pour savoir qui a eu accès à quoi ?

  17. #17
    Membre averti
    Pas au niveau de mysql que tu dois tracer mais plutôt au niveau de ton application ou des tes fichiers de logs web

  18. #18
    Futur Membre du Club
    Thanks,

    J'avoue qu'on m'a fait peur, l'activation du general_log sur MySQL tue les perfs et le fichier de log est énorme.

  19. #19
    Futur Membre du Club
    Bonjour,

    A priori il faut bien tout garder !

    En effet lors d'un éventuel audit, il faut bien prouver qui a fait quoi au niveau de la BDD.
    Donc log de toutes les requêtes à faire !

    Ca va être catastrophique pour l'espace disque et les perfs !

  20. #20
    Membre averti
    Mais non il ne faut pas faire ainsi

    Il faut que dans ton application tu crées un système de log avancé, quel user a fait quoi quand sur quel objet

    Mais je suis pas sur que le rgpd oblige ça

###raw>template_hook.ano_emploi###