Discussion :

[splifferwolf]

Bonjour,

Je suis développeur pour une entreprise de collecte d'encombrants à domicile, j'ai donc développer notre propre ERP mais avec la loi du GDPR j'aimerais me mettre en conformité.

Tout d'abord nous sommes une entreprise d’intérêts publique, c'est à dire que le citoyens nous téléphone pour que nous passions chercher ses encombrants et ce sont les communes qui nous paye en fonction d'un poids, nous devons aussi envoyés des statistiques régulièrement tant au niveau du nombre de citoyens qui nous à contacter que de nombre de collecte, nombre de passage par citoyens etc... pareil pour le SPW qui nous demande de fournir très régulièrement des chiffres pour tracé les déchets (provenances et destination)

J'ai une base de données qui contient les informations suivantes :
- Nom et prénom
- un ou plusieurs téléphones
- un ou plusieurs email
- Une ou plusieurs adresses de collecte
- Un suivit de plaintes
- Des remarques à ajouter à la demande du citoyens

Mon problème se situe dans l'encodage des données, ainsi que le droits à l'oubli.

Si je dois suivre les demande de la nouvelle loi GDPR, si un citoyen fait appel à son droits à l'oubli, je perds en terme de statistique, si je dois supprimer toute données d'un citoyens c'est toutes ces données qui ne seront pas inclus dans mes statistique au commune puisque le citoyen n'est plus identifiable et donc la facturation ne peux plus être ciblée et justifiée.

En suite si les données ne peuvent plus apparaître en clair dans la base de données, le traitement sera beaucoup plus long temps à l'enregistrement / modification qu'a la recherche.

Que devrais-je faire et appliquer pour me conformer au GDPR ?

J'avoue que je suis un peu perdu.

D'avance merci pour tout éclaircissement sur ce GDPR et l'application à mettre en place par rapport à notre entreprise à caractère publique.

Bien à vous
Spliffer

[SQLpro]

Bonjour,

Je suis développeur pour une entreprise de collecte d'encombrants à domicile, j'ai donc développer notre propre ERP mais avec la loi du GDPR j'aimerais me mettre en conformité.

Tout d'abord nous sommes une entreprise d’intérêts publique, c'est à dire que le citoyens nous téléphone pour que nous passions chercher ses encombrants et ce sont les communes qui nous paye en fonction d'un poids, nous devons aussi envoyés des statistiques régulièrement tant au niveau du nombre de citoyens qui nous à contacter que de nombre de collecte, nombre de passage par citoyens etc... pareil pour le SPW qui nous demande de fournir très régulièrement des chiffres pour tracé les déchets (provenances et destination)

J'ai une base de données qui contient les informations suivantes :
- Nom et prénom
- un ou plusieurs téléphones
- un ou plusieurs email
- Une ou plusieurs adresses de collecte
- Un suivit de plaintes
- Des remarques à ajouter à la demande du citoyens

Il y a sans doute beaucoup d'autres informations impactées. Par exemple un RV est une informations personnelles en ce sens qu'à un lieu et une heure il y aura certaines personnes.

Mon problème se situe dans l'encodage des données, ainsi que le droits à l'oubli.

La gestion de ces considérations n'est pas forcément physique. Elle peut être logique, par exemple en ayant à minima une information qui indique que cette données ne peut plus être visualisé dans son détails. Des outils d'anonymisation ou de pseudonymisation peuvent être ajoutées.

Si je dois suivre les demande de la nouvelle loi GDPR, si un citoyen fait appel à son droits à l'oubli, je perds en terme de statistique, si je dois supprimer toute données d'un citoyens c'est toutes ces données qui ne seront pas inclus dans mes statistique au commune puisque le citoyen n'est plus identifiable et donc la facturation ne peux plus être ciblée et justifiée.

Non, voir ma remarque ci-avant

En suite si les données ne peuvent plus apparaître en clair dans la base de données, le traitement sera beaucoup plus long temps à l'enregistrement / modification qu'a la recherche.

C'est juste un problème technique que les bons SGBDR comme SQL Server ou Oracle savent résoudre élégamment.... évidemment avec un outil gratuit vous en avez pour votre argent.. C'est à dire pas grand chose et donc il faudra tout faire à la main...

Que devrais-je faire et appliquer pour me conformer au GDPR ?

Mettre en place des processus de traçabilité, suivi, authentification, pseudonymisation, anonymisation, chiffrement... adéquat. Sachant qu'avec MySQL il n'existe presque rien en standard pour ce faire.... Et que même la version Enterprise d'Oracle MySQL est notablement insuffisante pour cela....

J'avoue que je suis un peu perdu.

D'avance merci pour tout éclaircissement sur ce GDPR et l'application à mettre en place par rapport à notre entreprise à caractère publique.

Bien à vous
Spliffer

Sachez que la plupart des gens dans votre situation ayant du PG ou du MySQL sont condamnés.... Il vaudrait mieux investir sur des systèmes qui intègrent ces fonctionnalités par défaut

A +

[Sebwar]

données ne peuvent plus apparaître en clair dans la base de données

je ne suis pas sur de moi, mais il me semblait que cela ne concernait que les données sensibles, non ?

[splifferwolf]

Merci beaucoup pour votre participation, je vais examiner tout ça afin de voir si nous changeons de SGDB ou si je fait des méthode maison

Bien à vous
Spliffer

[SQLpro]

je ne suis pas sur de moi, mais il me semblait que cela ne concernait que les données sensibles, non ?

Vous avez parfaitement raison. Seules certaines données doivent être chiffrées. Notamment en matière de santé, de moyens de paiement, de données religieuses politiques, syndicales ou sexuelles notamment....

Mais ça fait déjà beaucoup et dans quelques années, je pense que TOUTES les données relatives à une personne devront être chiffrées tellement il existe de vastes pillages....

A +

[splifferwolf]

Je reviens vers vous pour une dernière question.

Selon le GDPR nous ne pouvons plus transmettre de données à caractères privées qui permettrait d'identifié une personne sans sont accords explicite.

Dans le cadre de notre activité, nous avons une communes en particulier qui nous demande de lui transmettre ce genre d'informations afin de pouvoir faire une vérification. Le rapport que nous transmettons à cette commune récupère les informations de notre base de données (nom, prénom, adresses, téléphones) qui sont donc des données à caractères privées et qui permettent d'identifier une personne, si je suis le GDPR je devrais demander à chaque personne venant de cette commune et voulant faire appel à nos services si je peux transmettre ou non ses informations ? juste.

Nous avons aussi le service de police qui nous demande ces informations afin de ne pas pénaliser les gens faisant appel à nos services en les verbalisant inutilement pour dépôt sauvage sur la voie publique.

Ces rapport ne font pas partie d'un contrat mais sont bien une demande de ces services.

Donc :
Je suis obliger de demander l'autorisation de transmettre ses informations, si je ne le fait pas ou si le citoyen refuse je ne peux le joindre au rapport
ou dois-je simplement signaler à cette commune qu'elle recevra dorénavant des données anonymes ? ou encore si elle me fournie une attestation de confidentialités à-t-elle droits à ces informations sans l’accord du citoyen ?

Avant de lancer cela, n'existe t-il pas une exception justement pour les communes et service de police qui sont de notoriété publique et qui aurait besoin de ses informations pour vérifier que le citoyen est bien domicilié sur son territoire et qu'il n'y à pas de détournement de déchets pour lesquelles elle se retrouve à payer ?

J'avoue que en terme de communication ça compliquerai peut-être un peu les choses.

D'avance merci pour cette précision.

Bien à vous
Spliffer

[SQLpro]

Je reviens vers vous pour une dernière question.

Selon le GDPR nous ne pouvons plus transmettre de données à caractères privées qui permettrait d'identifié une personne sans sont accords explicite.

Dans le cadre de notre activité, nous avons une communes en particulier qui nous demande de lui transmettre ce genre d'informations afin de pouvoir faire une vérification. Le rapport que nous transmettons à cette commune récupère les informations de notre base de données (nom, prénom, adresses, téléphones) qui sont donc des données à caractères privées et qui permettent d'identifier une personne, si je suis le GDPR je devrais demander à chaque personne venant de cette commune et voulant faire appel à nos services si je peux transmettre ou non ses informations ? juste.

À moins qu'une Loi contraire ne spécifie l'obligation de communiquer ces données, vous ne pouvez pas !

Nous avons aussi le service de police qui nous demande ces informations afin de ne pas pénaliser les gens faisant appel à nos services en les verbalisant inutilement pour dépôt sauvage sur la voie publique.

Ces rapport ne font pas partie d'un contrat mais sont bien une demande de ces services.

Donc :
Je suis obliger de demander l'autorisation de transmettre ses informations, si je ne le fait pas ou si le citoyen refuse je ne peux le joindre au rapport ou dois-je simplement signaler à cette commune qu'elle recevra dorénavant des données anonymes ? ou encore si elle me fournie une attestation de confidentialités à-t-elle droits à ces informations sans l’accord du citoyen ?

Vous pouvez transmettre ces informations si les personnes ont explicitement donner leur accord. Vous ne pouvez pas détourner les données prévue pas un usage pour un autre usage. Si vous êtes une commune, les données personnelles sont la liste électorale et le cadastre et elle ne doivent servir que ce pour ce qu'elle ont fait l'objet au départ, c'est à dire les élections pour l'une et la publicité foncière pour l'autre. L'usage abusif de communication de ces données à d'autres services fussent-ils de police, des pompiers ou de la gendarmerie, doit faire l'objet d'une demande de communication particulière directement auprès des intéressé. La police ayant d'ailleurs ses propres fichiers et systèmes...
Il n'y a pas d'exception pour les collectivités locales et cela ne concerne pas uniquement les fichiers informatiques, mais toutes les données, mêmes de simples liste sous forme papier...

Avant de lancer cela, n'existe t-il pas une exception justement pour les communes et service de police qui sont de notoriété publique et qui aurait besoin de ses informations pour vérifier que le citoyen est bien domicilié sur son territoire et qu'il n'y à pas de détournement de déchets pour lesquelles elle se retrouve à payer ?

J'avoue que en terme de communication ça compliquerai peut-être un peu les choses.

D'avance merci pour cette précision.

Bien à vous
Spliffer

Je vous rappelle qu'en cette matière (RGPD, vous avez l'obligation d'avoir un délégué à la protection des données qui doit s'occuper de toutes ces choses, mais ce dernier peut être à mi temps ou mutualisé avec d'autres communes, voire aidé par le département, la région...
https://blog.landot-avocats.net/2018...ation-du-rgpd/
En particulier (estrait de Loi :

« Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, après lui avoir adressé un avertissement ou une mise en demeure si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :
(…)
« 7° À l’exception des cas où le traitement est mis en œuvre par l’État, par une collectivité territoriale ou par un groupement de collectivités territoriales, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ».

D'où l'importance de budgétiser cela !

A +