RGPD - Règlement général sur la protection des données

Pas de panique, cette nouvelle loi ne fait qu'appliquer au niveau national un règlement européen qui lui-même ne fait que rassembler des lois parsemées mais existantes en droit français :
http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679

Rien de vraiment nouveau en réalité, sauf que peu d'entreprises ne respectaient les lois déjà en vigueur : la menace des sanctions plus lourdes est surtout une piqûre de rappel pour les récalcitrants.
Il existe cependant des vrais renforcements et des obligations nouvelles mais qui concernent essentiellement les gros utilisateurs de base de données comme les banques, les assurances, les télécoms, etc.

Concernant les outils développés par Ogam, j'ai toujours veillé à ce que la gestion des données respectent les lois et l'éthique, et soient parfaitement sécurisées, même parfois... en désaccord avec mes clients (il faut dire que les chefs d'entreprises français font le burn-out des règlements et des normes imposés par les consommateurs français qui eux-mêmes n'achètent pas ce qui est produit en France)....
C'est aussi une des raisons pour lesquels je ne travaille pas avec des outils comme WordPress ou Prestashop.

Concernant le cryptage des données... Il n'est nul question de cryptage des données dans cette directive, ce qui d'ailleurs n'a pas de sens, mais de sécurisation des données. La loi insiste bien sur la sécurisation et l'impossibilité pour un tiers de récupérer des données qui ne le concerne pas. Point barre, à vous de faire le nécessaire quelqu'en soient les moyens.

La grande nouveauté réside dans la désignation d'un « responsable du traitement » qui est une personne interne à l'entreprise choisie pour être l'interlocuteur central pour toutes les questions du stockage et du traitement des données par l'entreprise. Cette fonction ne nécessite pas la création d'un nouveau poste, le chef d'entreprise peut-être lui-même ce responsable. Cette fonction ne nécessite pas de diplôme particulier, il faut cependant être en mesure de comprendre le cheminement des données dans l'entreprise, de connaître les outils mis en œuvre et d'avoir un minimum lu et compris la loi. Ces trois axes de connaissance doivent permettre au responsable du traitement de contrôler la conformité du système d'information de l'entreprise et d'en assurer son bon fonctionnement.

Voici les points importants qui peuvent concerner les sites Web (appli, boutique,...) que cette loi remet en exergue :

# Les données personnelles doivent être consultables par les personnes concernées.
→ Il n'est pas autorisé de cacher à quelqu'un des données que l'on possède sur lui.

# Ces personnes doivent pouvoir les modifier, les supprimer.
→ Vous devez accéder à toutes demandes de modification ou de suppression, soit en offrant à la personne concernée les moyens de les effectuer elle-même, soit en les exécutants dans les meilleurs délais.

# Les données ne devraient pas avoir été stockées sans le consentement des personnes concernées.
→ La création volontaire d'un compte utilisateur qui entraîne l'enregistrement de certaines données renseignées par l'utilisateur lui-même est un consentement, mais la constitution de fichiers de prospection ou de statistiques doit être soumis à l'approbation des personnes concernées. Dans les faits, vous devez permettre à la personne de supprimer ou de modifier les données que vous possédez sur elle dés le premier contact.

# Il doit être possible de supprimer un compte… mais dans la limite des besoins du droits commercial.
→ Vous avez acheté un produit à un commerçant qui est dans l'obligation de vous fournir une facture,... vous ne pouvez pas exiger la suppression de la-dite facture. Le commerçant est juridiquement tenu de conserver certaines informations personnelles sur ses clients.

# Les données ne doivent pas être accessible par un tiers.
→ La consultation du compte, des commandes, des factures, etc. doit être sécurisée.
→ Vous ne devriez pas transmettre ces informations à un de vos partenaires sans le consentement explicite des personnes concernées.

# Les données appartiennent aux personnes concernées, elles peuvent exiger à les obtenir sous un format structuré, compréhensible et lisible par une machine (format CSV par exemple) et à les transférer à un autre « responsable du traitement ».
→ Assurez-vous toujours d'avoir un outil (même rudimentaire) qui permet d'exporter vos données sous un format simple (.csv) ou répandu (.xls).

Le règlement des signatures électroniques est également renforcé, en effet de nombreuses sociétés font signer leurs clients via des outils informatiques sans avoir de système conforme à la loi, ce qui rend la signature totalement sans valeur mais ne les empêchent pas de l'opposer aux clients. Avec cette loi, les fournisseurs de matériel utilisant la signature électronique sont amenés à remettre considérablement en cause les solutions proposées.

Qu'est-ce qui change alors ?
Pas grand-chose en réalité, sauf le montant des amendes et des peines encourues...
L'avantage de cette loi réside plutôt dans son expression, elle synthétise l'existant et le rend plus compréhensible.
Les petits éditeurs de logiciels, fortement impliqués dans l'innovation, sont souvent à la pointe dans le respect des lois et de l'éthique en matière de numérique. Ce n'est pas vraiment le cas des grandes entreprises que la faiblesse des pénalités faisaient doucement rigoler. J'espère que les grandes sociétés comme les réseaux sociaux, les fournisseurs d'accès, les banques ou encore les assurances vont elles, un jour, se mettre en règle… mais vu le chemin à parcourir, je suis peut-être un doux rêveur...

Gildas