Bonjour,
avez-vous des solutions techniques pour une entreprise moyenne ?
Analyse des enjeux et établissement d'une feuille de route pour la DSI
Localisation de l'ensemble des données à caractère personnel
Analyse d'impact relative à la protection des données
Cartographie des risques - applications et données
Système pour déceler toute activité suspecte ou d'éventuelles anomalies
Création d'un registre des activités relatives aux traitements effectués sur les données
Mise en place d'un procédé garantissant la traçabilité des activités
Autres ? Précisez.
Pas d'avis
Aucune de ces exigences
Bonjour,
avez-vous des solutions techniques pour une entreprise moyenne ?
Bonjour,
est-ce que cette législation s'applique aussi à l'amateur qui bricole un fichier de gestion des adhérents pour son club ou son association ?
En général, 100% de ces individus (ah les voyous), ne font pas de déclaration à la CNIL... mails là, j'ai peur que tous ces bénévoles risquent leur peau !
Bonne continuation....
Moi, c'est la notion de "donnée à caractère personnel" que je trouve pour le moins floue.
Les fiches de salaire des employés sont à caractère personnel. Mais le journal comptable des virements aux fournisseurs, le procès verbal du Comité de Direction ou le courrier envoyé à tel service de la Mairie ?
Bref, c'est quoi le périmètre au juste ?
Et question subsidiaire (sic !) avec quels outils mettre ce chantier en œuvre ?
C'est toujours un problème d'être "petit" ou "moyen". On trouve des outils pour de très grosses structures qui peuvent consacrer de gros budgets mais rien pour les petites structures. Que représente 100 000 € pour de grosses boîtes comme EDF, ALSTHOM, SNCF, SG, moins que le salaire d'un chef de service, 1 000 € pour un indépendant ou une TPE, c'est une somme importante.
Il y a peu de solutions pour ces petites et moyennes structures qui subissent les mêmes règles que les gros.
Je développe seul et je je fait des développements entre 300 € et 2 000 €. Je pense faire aussi bien que les autres.
Mais qui est prêt à dépenser 300 € pour répondre à ces obligations, comme le disent certains, il y en a qui ne déclarent même pas leurs fichiers à la CNIL alors que c'est gratuit, c'est simplement remplir un formulaire et le mettre à la poste ou l'envoyer par le net. Réponse sous 15 jours.
Il y a PCI DSS pour les cartes bancaires et maintenant ça! Je pense que les petites entreprises sont foutus!
Dans le cas de PCI DSS, ils n'ont déjà pas pris le problème à ça source. => une refonte total des protocoles bancaires est nécessaire! Car est ce que vous trouvé normal que l'on puisse vous debité avec juste votre numéro de carte
Concernant les numéro de carte, PCI dit en gros qu il ne faut jamais stocker les numéros de cartes bancaire en clair, ce qui est bien
Et pourtant ce numéro est en clair au moins à deux endroits:
- sur la carte du client, qui se trouve rarement dans un lieu sécurisé (sans parler qu on la donne à un inconnu presque à chaque fois qu on paie.
- sur le ticket commerçants (qui fini j'imagine 9 fois sur 10 dans une poubelle )
=> mais peut être que cette réglementation ne s'applique pas au banque, car après tous ce sont ces mêmes qui écrivent ces réglementations
Et on fini avec des usines à gaz qui sont un enfer à sécuriser
Et pour des données comme le nom et le prénom, la plupart des gens se serait contenté du droit à l'oublie!
Après si ils veulent faire de la sécurité je trouve ça très bien, mais dans ce cas, c'est tous l'accès au système qu il faut sécuriser !!!!!
Gartner : Les entreprises ne sont pas encore prêtes pour la réforme européenne sur la protection des données,
qui va entrer en vigueur en 2018
Le but principal de la réforme dénommé GDPR (General Data Protection Regulation) ou RGPD en français (Règlement Général sur la Protection des Données) est de contraindre les entreprises à mettre en place des systèmes fiables permettant de garantir la sécurité de leur système d'information ainsi que leurs données. Cela devrait par conséquent permettre aux citoyens de contrôler leurs données personnelles.
L'ensemble des structures européennes ou internationales qui manipulent des données personnelles appartenant à des ressortissants de la communauté européenne sont invitées à mettre en application, avant le 25 mai 2018, les nouvelles règles édictées par le nouveau standard législatif européen en matière de protection des données personnelles en l'occurrence le RGPD. Il convient de noter que les règles nouvellement mises en place par le RGPD s'articulent autour de sept points que sont :
la nécessité pour chaque organisation de comprendre les enjeux de la réglementation et les traduire en feuille de route pour la DSI ;
la capacité à localiser l'ensemble des données à caractère personnel au sein de l'entreprise ;
procéder à une analyse d'impact relative à la protection des données ;
procéder à une classification des données à caractère personnel via une cartographie des risques - applications et données ;
être en mesure de parcourir les données à tout moment pour déceler toute activité suspecte ou d'éventuelles anomalies
la capacité pour chaque organisation à tenir un registre des activités relatives aux traitements effectués sur les données ;
la coopération avec l’autorité de contrôle : garantir une traçabilité des opérations faites sur les données à caractère personnel.
Le règlement européen sur la protection générale des données (RGPD) aura un impact global lorsqu'il entrera en vigueur le 25 mai 2018, selon Gartner : le cabinet prévoit qu'à la fin de 2018, plus de 50 % des entreprises concernées par le RGPD ne seront pas pleinement conformes à ses exigences.
« Le RGPD affectera non seulement les organisations basées en UE, mais aussi plusieurs contrôleurs de données et processeurs en dehors de l'UE », a déclaré Bart Willemsen, directeur de recherche chez Gartner. « Les menaces d'amendes lourdes, ainsi que la position de plus en plus importante des personnes concernées, inclinent les arguments commerciaux pour la conformité et devraient inciter les décideurs à réévaluer les mesures pour traiter en toute sécurité les données personnelles » .
Le RGPD remplace la directive sur la protection des données 95/46 / CE et est conçu pour soutenir le marché unique, harmoniser les lois sur la confidentialité des données en Europe, protéger et responsabiliser la confidentialité des données des citoyens de l'Union européenne (UE) et réorganiser la manière dont les organisations abordent la confidentialité des données pour les citoyens de l'UE partout où ils travaillent dans le monde.
Gartner recommande aux entreprises d'agir maintenant pour s'assurer qu'elles sont conformes lorsque le règlement entre en vigueur. Elles devraient se concentrer sur cinq changements prioritaires pour les aider à se mettre au courant des exigences RGPD :
- Déterminer leur rôle sous le RGPD : toute entreprise qui décide pour quoi et comment les données personnelles sont traitées est essentiellement un « contrôleur de données ». Le RGPD s'applique non seulement aux entreprises de l'Union européenne, mais aussi à toutes les entreprises extérieures à l'UE qui traitent des données personnelles pour l'offre de biens et services à l'UE ou surveillent le comportement des personnes concernées au sein de l'UE. Ces entreprises devraient nommer un représentant pour agir comme un point de contact pour l'autorité de protection des données (DPA) et les personnes concernées ;
- Nommer un responsable de la protection des données : de nombreuses entreprises sont tenues de nommer un agent de protection des données (DPO). Ceci est particulièrement important lorsque l'organisation est un organisme public, est une opération de traitement nécessitant un suivi régulier et systématique ou qui a des activités de traitement à grande échelle. La « grande échelle » ne signifie pas forcément des centaines de milliers de personnes concernées ;
- Démontrer la responsabilisation dans toutes les activités de traitement : très peu d'entreprises ont identifié chaque processus dans lequel les données personnelles sont impliquées. L'introduction, la limitation des objectifs, la qualité des données et la pertinence des données devraient être décidées lors du démarrage d'une nouvelle activité de traitement, car cela contribuera à maintenir la conformité dans les futures activités de traitement des données personnelles. Les organisations doivent démontrer une posture de terrain responsable et une transparence dans toutes les décisions relatives aux activités de traitement des données personnelles. Les parties extérieures doivent également se conformer aux exigences pertinentes qui peuvent avoir une incidence sur la gestion de l'offre, la gestion du changement et les processus d'approvisionnement. Il est important de noter que la responsabilité dans le cadre du RGPD nécessite l'acquisition et l'enregistrement d'un consentement approprié. Les boîtes prévérifiées et le consentement implicite seront largement dans le passé. Une action claire et expresse est nécessaire qui exigera que les organisations mettent en œuvre des techniques simplifiées pour obtenir et documenter le consentement et le retrait du consentement ;
- Vérifier les flux de données transfrontaliers : les transferts de données vers l'un des 28 États membres de l'UE sont toujours autorisés, ainsi qu'en Norvège, au Liechtenstein et en Islande. Les transferts à l'un des 11 autres pays sont également possibles pour la Commission européenne (CE). En dehors de ces zones, des garanties appropriées telles que les Règles d'entreprise obligatoires et les clauses contractuelles standard (c.-à-d., « Contrats modèles » de l'UE) devraient être utilisées. Les contrôleurs de données basés en UE devraient accorder une attention particulière aux nouveaux mécanismes dans le cadre du RGPD lors de la sélection ou de l'évaluation des processeurs de données en dehors de l'UE et s'assurer que des contrôles appropriés sont en place. En dehors de l'UE, les organisations qui traitent des données personnelles sur les résidents de l'UE devraient choisir le mécanisme approprié pour assurer la conformité avec le RGPD ;
- Se préparer au sujet de données qui exercent leurs droits : les titulaires de données ont des droits étendus dans le cadre du RGPD. Il s'agit notamment du droit d'être oublié, de la portabilité des données et d'être informé (par exemple, en cas de violation de données). Si une entreprise n'est pas encore prête à traiter adéquatement les incidents de violation de données et les sujets qui exercent leurs droits, il est maintenant temps de commencer à mettre en œuvre des contrôles supplémentaires.
Source : Gartner
Le G29 a publié un guideline :
http://ec.europa.eu/newsroom/just/it...?item_id=50083
Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, wp248: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137
L'Assemblée nationale adopte en nouvelle lecture le projet de loi RGPD,
après un échec de la commission mixte paritaire la semaine passée
L’Assemblée nationale a adopté hier, en nouvelle lecture, le projet de loi adaptant le droit français au Règlement européen sur la protection des données personnelles (RGPD), après l’échec de la commission mixte paritaire le 6 avril dernier.
Soulignant l’importance de ce projet, Mounir Mahjoubi, secrétaire d’État chargé du numérique, a rappelé « Qu’au moment où nous débattons, le scandale Cambridge Analytica a déjà fait beaucoup de bruit. Facebook est gravement mis en cause : son dirigeant a dû s’expliquer devant le Congrès des États-Unis ces deux derniers jours. Ce texte arrive donc à point nommé pour tracer, face aux enjeux, une voie française et européenne. En protégeant les données personnelles, nous affirmons notre conception de la démocratie. »
Il a vite fait d’être rejoint par Paula Forteza, rapporteure de la commission des lois constitutionnelles, qui a déclaré :
« Trop souvent, ceux qui parlent du numérique s’expriment au futur, comme s’il s’agissait d’un monde à venir, alors qu’il s’agit bien de notre présent. Il est donc urgent de relever collectivement les défis qui s’imposent en urgence à nous.
« En conséquence, nous ne pouvons que prendre toute la mesure du changement de paradigme que représente le RGPD, le règlement général sur la protection des données. Celui-ci vise à responsabiliser les acteurs et à renforcer les droits des personnes. Ce nouvel équilibre favorisera ceux qui s’engagent en faveur de la protection des données personnelles tout en pénalisant davantage ceux qui, au contraire, ne respectent pas les règles.
« Le plus important, c’est que cette nouvelle réglementation soit prise au niveau européen, car cela nous permettra de construire un écosystème favorable à l’émergence de nouvelles pratiques. Nombreux sont les pays extérieurs à l’Union européenne qui s’interrogent pour eux-mêmes sur les outils de régulation à mettre en place et observent attentivement les changements de réglementation en cours chez nous, je le souligne. »
Dispositions relatives à la Commission nationale de l’informatique et des libertés
Le texte prévoit qu’elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants.
Elle prend en compte la situation des personnes dépourvues de compétences numériques. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel.
Dispositions relatives à certaines catégories de données
Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Obligations incombant aux autorités compétentes et aux responsables de traitement de données à caractère personnel
Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition.
Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations permettant à l’autorité compétente destinataire de juger de l’exactitude, de l’exhaustivité et de la fiabilité des données à caractère personnel et de leur niveau de mise à jour.
S’il s’avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l’article 70-20.
Sources : Assemblée Nationale, texte avec les amendements (au format PDF)
Et vous ?
Votre entreprise ou vos applications sont-elles déjà conformes ?
Voir aussi :
RGPD : Un guide pratique pour les développeurs
Europe : nouvelle réglementation générale sur la protection des données à respecter avant le 25 mai 2018, vos applications seront-elles conformes ?
Richard Stallman remet en cause l'efficacité du RGPD, il veut plutôt une loi qui empêche les systèmes de collecter des données personnelles
Mark Zuckerberg explique que Facebook n'a pas l'intention d'étendre le RGPD au reste du monde, mais promet de s'inspirer de cette loi européenne
Cette règlementation a fait l'objet d'une véritable paranoïa au sein de la société où je travaille.
En pratique, des scripts d'anonymisation ont été développés afin de randomizer certaines données "personnelles" dans les environnements de recette ; en gros : un 'update' sur certains champs de certaines tables.
J'ai dû un peu me battre pour que le projet RGPD ne supprime pas TOUTES les données des environnements de recette... ce qui était une solution plutôt confortables pour eux (éviter de devoir faire le tri entre les données perso ou pas) ; mais avec """certains""" impacts sur nos méthodes de recette !
Pour les environnements de production, des méthodes d'archivages des données ont été réalisés : lorsque la donnée n'est plus utile pour 'les traitements définis', alors elle n'est plus visible dans l'application. En gros, on ajoute un champ sur certaines tables [archivé ou pas], et de la visibilité en fonction de ça dans l'application.
Tout ça créé un bel ensemble théorique, mais qui n'est utile en rien.
Jamais nous ne recevrons de demande d'un utilisateur de supprimer ses données personnels (car ils ne savent pas que nous en disposons ; dans mon cas, il s'agit des données personnelles (leur TJM) de prestataires externes qui interviennent ponctuellement dans la boîte), et ils ne pourront jamais savoir si nous les avons finalement supprimé ou pas. Et quand bien même il s'en plaindrait auprès de la CNIL, les dommages sont tellement faibles que la CNIL ignorerait sa demande. (j'ai pour ma part déposer une plainte auprès de la CNIL pour une société qui retient mon RIB de façon abusive - ils m'ont clairement envoyé boulé avec un e-mail standard 'trop de demande, blabla').
La RGPD aurait dû se focaliser sur les seuls cas intéressants, à savoir :
- Les entreprises qui gèrent des données personnelles très sensible (uniquement santé, politique, justice) et lorsque ça concerne au moins 5000 utilisateurs.
Au moins, on aurait évité ces efforts ridicules.
51 % des entreprises estiment que le RGPD risque d’endommager leur réputation
67 % ne seraient pas prêtes pour le RGPD, d’après NetApp
La réforme GDPR (General Data Protection Regulation) ou RGPD en français (Règlement Général sur la Protection des Données) devrait obliger les entreprises à mettre en place des systèmes fiables qui seront plus à même de garantir la sécurité de leur système d’information ainsi que leurs données. En outre, elle devrait permettre aux citoyens de garder un meilleur contrôle sur leurs données personnelles.
Selon les résultats d’une étude de mai 2017 publiée par le cabinet Gartner, plus de 50 % des entreprises concernées par le RGPD ne seront pas pleinement conformes à ses exigences à la fin de 2018. Plus récemment, c’est le cabinet NetApp qui est revenu à la charge avec une nouvelle analyse du marché pour déterminer la part des entreprises qui sont fin prêtes à accueillir le RGPD et celles qui ne le sont toujours pas. Les conclusions de cette nouvelle étude mettent en lumière le nombre encore trop important de sociétés qui peinent à s’arrimer aux exigences de la future directive ou qui scrutent avec appréhension le moment de son entrée en application.
Il convient de noter que l’ensemble des structures européennes ou internationales qui manipulent des données personnelles appartenant à des ressortissants de la communauté européenne sont invitées à mettre en application, avant le 25 mai 2018, les nouvelles règles édictées par le nouveau standard législatif européen en matière de protection des données personnelles en l’occurrence le RGPD.
Dans le cadre de son étude, NetApp a conduit un sondage en mars 2018 auprès de sociétés localisées aux États-Unis, au Royaume-Uni, en Allemagne et en France disposant de plus de 100 employés. En se basant sur les conclusions de NetApp, il apparait que 67 % des entreprises estiment ne pas encore être prêtes à accueillir le RGPD. 51 % d’entre elles pensent que le RGPD risque de porter atteinte à leur réputation, alors que 35 % des sondés ont avoué craindre pour leur économie et les retombées financières résultant de leur non-conformité.
Suite à cette publication, Alexandre Wallner, vice-président chez NetApp, à rappeler l’importance de la responsabilisation de l’ensemble des acteurs de l’industrie en soulignant : « les questions de mise en conformité des données et de vie privée vont à n’en point douter affecter les entreprises qui exploitent les données des citoyens de l’UE. Il y a de bonnes nouvelles cependant, malgré l’approche de l’échéance : tout l’écosystème répond aux exigences du RGPD, des revendeurs […] aux fabricants. »
La CNIL devrait très bientôt présenter un guide pratique de sensibilisation au RGPD afin de faciliter les procédures de mise en conformité. Il sera destiné aux sociétés qui à l’instar des PME continuent d’avoir de l’appréhension vis-à-vis de la future directive.
Source : Rapport NetApp (PDF)
Et vous ?
Qu’en pensez-vous ?
Votre entreprise ou vos applications sont-elles déjà conformes ?
Voir aussi
L'Assemblée nationale adopte en nouvelle lecture le projet de loi RGPD, après un échec de la commission mixte paritaire la semaine passée
Richard Stallman remet en cause l'efficacité du RGPD, il veut plutôt une loi qui empêche les systèmes de collecter des données personnelles
Dans notre cas c’est pas qu’on pense que la non-conformité vas nous nuire. Pour être conforme avec la RGPD nous avons dû faire une croix sur du business dans certains pays.
Nous avons une société trop petite pour pouvoir déployer notre architecture là ou il le faudrait et comme il le faudrait.
On se bat pour y arriver mais cela nous ralentie.
51% n'ont jamais entendu parle du RGPD
67% auront de toute facon la fleme de securiser tout ca
Moi j'en parlais avant et les gens se foutaient de ma gueule. Mais de toute façon je suis sûre que tout le monde s'en branle. Ceux qui ont du code legacy, toutes les entreprises étrangère de taille moyenne ou petit s'en branle complètement.
Puisque j'ai la chance de refaire le stack de mon entreprise, je vais faire ma job.
De toute facçon, comme dans un restaurant, il vaut mieux pas savoir s'il y a derrière. Ceux qui vont se faire attrapper par les associations vont prendre cher.
Combien de boîtes enregistrent des données personnelles sans l'avoir déclaré à la CNIL et en s'en contrefichant, ne s'estimant pas concernées par un truc dont ils ne seront jamais contrôlés ?
La RGPD, un énième bricolage, mal ficelé, à destination des multinationales informatiques américaines, et qui ne sera dans la réalité jamais appliquée, parce que trop contraignant pour les PME.
France : le Conseil constitutionnel se prononce sur l'arrivée du RGPD,
estimant qu'il est conforme à la Constitution française
Le règlement général de l'Union européenne sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Son but est de donner aux Européens, le contrôle sur leurs données en lignes et de rendre public, la manière dont les entreprises les utilisent. Et depuis son entrée en vigueur, c'est la panique totale sur le net. Certaines entreprises ont décidé de suspendre leur activité. C'est le cas de l'opérateur de l'application de messagerie Monal qui s'est retiré de l'UE, estimant ne pas avoir les ressources pour se conformer au règlement. D'autres envoient des mails tous azimuts à leurs utilisateurs. Même au niveau des géants de l'informatique comme Google, Facebook et Microsoft, il y a eu du mouvement aussi. Par exemple, Microsoft a présenté ses solutions de conformité au RGPD afin d'aider les entreprises à réduire les risques en matière de conformité.
L’avènement du RGPD a fait bouger tous les pays de l'Europe qui ont essayé de conformer leur législation au RGPD. En France par exemple, un projet de loi relative à la protection des données personnelles a été adopté par l'Assemblée nationale le 14 mai 2018. Ce projet de loi a pour objet d’adapter au droit de l’Union européenne, la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Il transpose le nouveau cadre juridique européen qui est entré en vigueur en mai 2018 et porte sur les différents points suivants :
- chapitre I : dispositions relatives à la Commission nationale de l’informatique et des libertés ;
- chapitre II : dispositions relatives à certaines catégories de données ;
- chapitre III : obligations incombant aux responsables de traitement et à leurs sous-traitants ;
- chapitre IV : dispositions relatives à certaines catégories particulières de traitements :
- chapitre V : dispositions particulières relatives aux droits des personnes concernées ;
- chapitre VI : Voies de recours.
Cette loi a donc été adoptée. Cependant, certains élus contestent quelques points de cette loi et saisissent le Conseil constitutionnel. Ils dénoncent son inintelligibilité, son accessibilité et contestent la constitutionnalité de certaines dispositions de ses articles 1er, 4, 5, 7, 13, 16, 20, 21, 30 et 36. Mais le Conseil a écarté ces reproches et observe que si « le législateur a fait le choix de modifier les dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés en y introduisant des dispositions dont certaines sont formellement différentes de celles du règlement, il n’en résulte pas une inintelligibilité de la loi ».
Toutefois, le Conseil indique que la loi qui lui a été déférée stipule que le gouvernement est autorisé pour « réécrire l’ensemble de la loi du 6 janvier 1978 afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le droit de l’Union européenne ».
Les sénateurs ont également soulevé le problème de la majorité numérique (l'âge à partir duquel le mineur peut de lui-même donner son accord pour le traitement de ses données personnelles). Pour eux, le traitement des données personnelles d'un mineur n'est licite que si celui-ci et le titulaire de l’autorité parentale donnent leur accord. Cela semble nécessiter donc un double consentement quand le mineur a moins de 15 ans (seuil de la majorité numérique). Mais cette interprétation a été contestée par le Conseil constitutionnel qui fait remarquer que le RGPD permet plutôt aux États membres de l'UE de prévoir deux possibilités : « soit le consentement doit être donné pour le mineur par le titulaire de l’autorité parentale, soit le mineur est autorisé à consentir par le titulaire de l’autorité parentale, ce qui suppose alors le double consentement ».
Quant à l'emploi d'algorithmes par l’administration, le Conseil a établi une jurisprudence constitutionnelle. Il indique que « le responsable du traitement doit s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. Il en résulte que ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement ». L’administration n’a donc pas le droit d’employer des algorithmes auto-apprenants.
D'autres points contestés par les sénateurs ont été rejetés par le Conseil notamment les données de santé, les dispositions pénales, etc. Le mardi passé donc, le Conseil a rendu son verdict et a conclu que la loi relative à la protection des données personnelles respecte bel et bien, la constitution française.
Projet de loi relatif à la protection des données personnelles
Source : Conseil constitutionnel
Et vous ?
Que pensez-vous de cette loi ?
Comment peut-elle être respectée pour ne pas constituer un frein au développement des start-ups ?
Depuis le 25 mai, quels changements avez-vous remarqués dans le monde de l'informatique ?
Voir aussi
Le RGPD sème la panique sur le web : certaines entreprises envoient des courriels inutiles ou illégaux des sites bloquent les Européens
RGPD : les développeurs Android auraient suspendu les annonces publicitaires Google, jusqu'à la sortie du nouveau SDK de Google
RGPD : l'opérateur de l'application de messagerie Monal se retire de l'UE estimant ne pas avoir les ressources pour se conformer au règlement
Microsoft présente ses solutions de conformité au RGPD afin d'aider les entreprises à réduire les risques en matière de conformité
L'Assemblée nationale adopte en nouvelle lecture le projet de loi RGPD après un échec de la commission mixte paritaire la semaine passée
Bloctel ne m'a rien envoyer il me semble... Ni la CAF ou la CPAM ou DMP. ça devrait pas tarder... ()
Même la gendarmerie peut m'envoyer un courrier à l'adresse stipulé sur le permis de conduire vue que je n'ai pas de voiture à mon nom (pas de carte grise puisque je ne suis pas propriétaire d'une voiture).
Il y va de même des agences de locations d'immeubles et des télécoms.
HADOPI pourrait mais ne peut malheureusement pas.
Dernière modification par MikeRowSoft ; 14/06/2018 à 10h32.
France : publication dans le Journal officiel de la loi sur la protection des données personnelles
qui adapte le RGPD au droit français
Près d'un mois après l'arrivée du RGPD, la loi française relative à la protection des données personnelles entre officiellement en vigueur. Le texte, qui adapte au droit français le Règlement général européen sur la protection des données, vient en effet d’être publié au Journal officiel ce jeudi 21 juin 2018. La loi relative à la protection des données personnelles ou loi RGPD a donc reçu la bénédiction du Président français après un vote de l'Assemblée nationale au mois d'avril et la décision rendue par le Conseil constitutionnel le 12 juin. Précisons également qu'il y a eu au préalable des discussions entre les deux Chambres du Parlement avant le début du processus d'adoption du projet de loi.
De manière générale, le RGPD vise à donner aux Européens plus de contrôle sur leurs informations et la manière dont les entreprises les utilisent, tout en prévoyant des pénalités en cas de manquement des entreprises. Il oblige donc les groupes d'Internet, entre autres entreprises qui recueillent une grande quantité de données sur leurs clients, à aménager leurs conditions d'utilisation pour les Européens.
Dans sa version française qu'est la loi relative à la protection des données personnelles, le RGPD vous confère, entre autres, les droits suivants :
- si vous avez donné votre accord pour recevoir des offres personnalisées, vous pouvez y renoncer sans difficulté et à tout moment ;
- vous pouvez faire valoir votre droit à l'oubli. Autrement dit, lorsque des personnes ou des médias publient des textes, des propos ou des images sur Internet, il est possible, après un certain temps, d’obtenir leur effacement du web. Ce droit à l’oubli prend plusieurs formes, à savoir le droit d’opposition, le droit à l’effacement et le droit au déréférencement. En cas de refus ou si rien n’est fait, vous pouvez porter plainte auprès de la CNIL ;
- la majorité numérique - et l’accord des parents n’est plus nécessaire - est fixée à 16 ans par le RGPD, mais les États membres de l’Union européenne sont libres d’abaisser ce seuil jusqu’à 13 ans. En France, elle est fixée à 15 ans ;
- vous devez être informé en cas de piratage de vos données personnelles et les entreprises qui détiennent les données en question doivent notifier la violation de sécurité à la CNIL ;
- en cas d’utilisation non conforme de vos données ou de non-respect de la loi relative à la protection des données personnelles, vous avez la possibilité de lancer une action de groupe par le biais d’une association ou un organisme actifs dans le domaine de la protection des données. Rappelons à propos que la Quadrature du Net et 12 000 internautes ont porté plainte auprès de la CNIL, pour attaquer les GAFAM en recours collectif ;
- vous bénéficiez également du droit de portabilité de vos données, par exemple en cas de changement d’e-mail. Pour information, le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. Elles peuvent ainsi les stocker ou les transmettre facilement d’un système d’information à un autre, en vue de leur réutilisation à des fins personnelles ;
- la loi interdit toute utilisation des données personnelles relatives à l’origine ethnique, aux opinions politiques, syndicales, aux convictions religieuses, aux données de santé, orientation sexuelle, entre autres.
Cela dit, les Européens et les Français en particulier qui le désiraient ont aujourd'hui l'opportunité de faire valoir leurs droits à la vie privée auprès des entreprises qui traitent de grandes quantités de données personnelles. À propos, une récente étude menée par Veritas Technologies, spécialiste de la gestion des données multicloud, a révélé que bon nombre d'entreprises vont être inondées de demandes venant des consommateurs français concernant leurs informations personnelles. Environ 40 % des consommateurs français seraient en effet prêts à faire valoir leurs droits concernant la confidentialité des données dans les six mois suivant l’entrée en vigueur du Règlement général sur la protection des données. Et parmi eux, deux tiers (61 %) planifient de demander l’accès aux données personnelles qu’une entreprise détient sur eux, alors que la majorité (77 %) a l’intention d’exercer son droit à l’oubli.
Les entreprises qui seront les plus ciblées sont les entreprises de médias sociaux, de services financiers et du retail. Les employeurs (anciens et actuels) ainsi que les sites de rencontre en ligne ne seront pas non plus épargnés.
Sources : Publication au Journal officiel, Protections en vertu du RGPD (Humanité.fr)
Et vous ?
Qu'en pensez-vous ?
Envisagez-vous de faire valoir vos droits à la vie privée en vertu du RGPD ? Lesquels ? Quelles entreprises ciblez-vous ?
Voir aussi :
RGPD : Twitter décide de bloquer les adolescents en Europe qui ont indiqué avoir moins de 16 ans, le consentement d'un parent est requis
RGPD : la Quadrature du Net et 12 000 internautes déposent des plaintes à la CNIL pour attaquer les GAFAM en recours collectif
L'ICANN dépose une plainte en Allemagne pour préserver les données WHOIS qui sont, selon elle, menacées par une interprétation du RGPD
RGPD : USA Today, un des plus importants quotidiens nationaux redirige ses lecteurs de l'UE vers un site Web dédié sans scripts de suivi ni pub
RGPD : les achats programmatiques de publicités en Europe chutent de 25 à 40 % dans certains cas, quelques heures après l'entrée en vigueur de la loi
Bonjour,
Puisqu'un règlement fait office de loi immédiate, pour tous les pays européen (contrairement à une directive nécessitant une adaptation à la loi de chaque pays), il n'y a donc pas d'adaptation au droit français nécessaire ou même possible. Les seuls éléments possibles sont : de renforcer (mais en aucun cas amoindrir) certains articles dans la loi nationale, et indiquer les institutions faisant office d'autorité de contrôle (CNIL en France).
Un règlement est "obligatoire dans tous ses éléments dès son entrée en vigueur [...]. Il ne peut donc s'appliquer de manière incomplète ou sélective.", par conséquent le RGPD est applicable depuis le 25 mai 2018, sans besoin de validation ou adaptation pas les états.
https://fr.wikipedia.org/wiki/R%C3%A...urop%C3%A9enne
Le texte dont il est question (que je n'ai pas encore lu en détail) semble être une adaptation de la loi informatique et libertés (loi nationale) au RGPD, et non l'inverse comme le laisse supposer l'article. Cette loi nationale ne pouvant se substituer au RGPD, mais seulement le compléter. Certains articles de l'ancienne loi informatique et libertés sont donc abrogés, d'autres modifiés ou créés, afin de mettre en conformité loi nationale avec le RGPD.
Remarque : l'expression "loi RGPD" est redondante (un règlement faisant office de loi)
Bonjour,
Le règlement est en effet d'application immédiate mais laisse aux états une marge sur certains points comme par exemple la licéité du traitement (art. 6-2) ou l'âge de la "majorité numérique" (art 8-1). Voir aussi cette analyse d'un cabinet juridique sur la question.
Bonne journée à tous,
Partager