Réglement général sur la protection des données

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Réglement général sur la protection des données

    Bonjour, ce RGPD va s'appliquer en mai 2018. J'ai beau fouiller les forums, je ne trouve pas ,de réponse claire à cette question : doit on chiffrer les données personnelles ? Si oui, comment dans joomla ? Qui met ce chiffrement en ouvre ?
    Pour moi, la réponse est oui, à la lecture de la documentation existante. J'ai posée la question sur le forum crossrtec (breezing form et contentbuilder). Ci dessous la réponse

    "this is a broad misconception.
    You can still access the data as usual but you have to make sure that the transport is encrypted (SSL) and that the access to data (e.g. mysql on en encrypted filesystem, password and SSL for phpmyadmin, etc) is secured.
    You do NOT have to encrypt the data itself.
    This is not the task of the CMS you are using but for your hosting company or your admins.
    As for form-data itself: you are only allowed to collect data that you really need for the job, not more not less. So as long as you can argue you need need this or that particular piece of data for your business, it will be ok.
    Example: You collect data for a task that doesn't require a phone number, but you force the user to leave his phone number, then it would violate.
    We have this thing in German since almost 15 years and it was taken over 1:1 to this EU directive."

    Et là, je ne comprends plus: le rgpd dit "«pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;"

    Que doit on faire ?
    merci
    Dernière édition par blueberry38 à 26/02/2018, 20h07

  • #2
    Bonjour Blueberry,

    Je n'ai rien vu concernant le cryptage dans la RGPD.
    L'important est que toutes les informations que l'utilisateur n'aura pas accepté que le site garde en mémoire soit anonymisé. Ceci signifie qu'il ne faudra pas lié les données conservées à un élément permettant de savoir à quel utilisateur l'information fait référence.

    Ces éléments permettant de savoir à quel utilisateur l'information est liée peuvent être par exemple le nom de la personne, son adresse email, son adresse IP... ou tout ce qui permet de savoir à quelle personne nous faisons référence.

    Un exemple concret :
    Vous souhaitez absolument connaître la proportion d'hommes et de femmes inscrits sur votre site, pour cela vous obligez les membres à indiquer leur sexe lors de leur inscription.
    Vous devez dès lors leur demander s'il acceptent que vous conserviez cette donnée. Il doivent pouvoir accepter ou refuser. S'ils refusent vous pouvez garder l'information mais en l'anonymisant.

    Anonymiser ? Qu'est-ce que ça signifie ?
    Jusqu'à maintenant vous conserviez la donnée indiquant le sexe de vos utilisateurs dans la table utilisateur de votre base de données. Pour chaque utilisateur une colonne sexe devait enregistrer cette information.
    Toutefois la ligne de la table dans laquelle était enregistrée la donnée sexe contenait aussi la donnée IP, numéro de téléphone ou Email.
    Étant donné que ces informations permettent de savoir à quel utilisateur la donnée sexe est liée, elle n'est pas anonyme.
    Il faudra donc maintenant prévoir de créer une nouvelle table dans laquelle la donnée sexe pourra, ou non, être liée à un ID user. Une information qui ne sera pas liée à un ID user sera anonyme.

    NB : Je reviens sur le cryptage SSL, même s'il n'est pas rendu obligatoire par la réglementation (en tout cas à ma connaissance) il est toutefois très conseillé en termes de sécurité ainsi que pour améliorer le référencement. Le cryptage se fait seulement durant le transfert des données et ne change rien au niveau du développement de votre site Internet ou du stockage des données en BDD. C'est généralement votre hébergeur qui gère la mise en place du certificat SSL.
    manu93fr et lomart aiment ceci.
    Développeur Web | Service Création | Mon Linkedin

    Commentaire


    • #3
      Merci pour ces précisions, mais cela ne m'avance pas beaucoup. Visiblement, ce n'est pas l'approche de crosstec et je ne me vois pas hacker leurs programmes...Ni ceux de joomla ...

      Commentaire


      • #4
        Qu'est-ce que tu veux faire exactement ?

        Je pense effectivement que ton interlocuteur sur le forum Crossrtec n'a pas bien compris la réglementation, mais il en a cerné l'esprit...
        Développeur Web | Service Création | Mon Linkedin

        Commentaire


        • #5
          Bonsoir,
          Merci pour ces précisions, mais cela ne m'avance pas beaucoup.
          Pourtant si ... nossibe te donne un exemple très concret là

          Visiblement, ce n'est pas l'approche de crosstec
          Tout depend de ce que tu lui as poser comme question ...

          je ne me vois pas hacker leurs programmes...Ni ceux de joomla ...
          si ton idée de depart est de TOUT chiffrer, je ne pense pas que cela sera possible ... dans Joomla ou ailleurs

          Anonymiser ne veut pas spécialement dire chiffrer pour moi ... ça reste mon point de vue ... on aura surement d'autres précision au fur et a mesure du temps

          Joomla! a formé un groupe de volontaire pour appliquer cette loi sur le GRPD ... je ne me rappele plus le lien, mais si ça te dit, tu peux surement postuler ... qui sait !
          Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
          Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

          Commentaire


          • #6
            Non; l'idée n'est pas de tout chiffrer ou de tout anonymiser mais d'avoir une approche ciblée sur les données concernées par le RGPD, savoir ce que vont proposer joomla et les programmeurs d'extensions pour avoir une démarche cohérente et sécurisée.
            Merci

            Commentaire


            • #7
              Envoyé par blueberry38 Voir le message
              Non; l'idée n'est pas de tout chiffrer ou de tout anonymiser mais d'avoir une approche ciblée sur les données concernées par le RGPD, savoir ce que vont proposer joomla et les programmeurs d'extensions pour avoir une démarche cohérente et sécurisée.
              Merci
              Je suis sur a 100% qu'ils feront ce qu'ils faut ... comme je te le disais, ils y travaillent deja
              Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
              Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

              Commentaire


              • #8
                Il y aura surement des extensions qui ne respecteront pas les règles au début, mais c'est aussi au responsable du site de savoir prendre les bons outils.

                Par exemple, Google Analytics, ne respecte pas les réglementations sur l'utilisation des données, et ceci depuis des années. Vas tu continuer à utiliser cet outil ou en choisir un autre qui suit les règles ? Maintenant que la RGPD va entrer en action, les propriétaires de sites vont surement être un peu plus regardant sur tout ceci. De fait, les développeurs d'applications seront forcés de faire des efforts pour ne pas perdre leurs parts de marcher.

                Joomla lui même ne collecte pas énormément de données utilisateur, il va surement falloir réorganiser les BDD mais ça ne devrait pas être bien long avant que tout soit dans les clous.

                Sache aussi que cette réglementation vise les grosses entreprises en priorité, ils ne vont pas s'en prendre aux petites structures dès le début, et en plus il y aura des avertissements préalablement aux amandes, il sera donc possible de rectifier le tir avant d'être sanctionné. Il faut donc faire les modifications afin de respecter la RGPD mais il ne faut pas s'affoler pour autant.
                Five_Phil aime ceci.
                Développeur Web | Service Création | Mon Linkedin

                Commentaire


                • #9
                  En fait le RGPD, bien que assez restrictif, ouvre certaines portes qui étaient autrefois fermées avec la CNIL, en effet, pour les sociétés qui stockent des informations en base relatives aux personnes, il n'est plus nécessaire de chiffrer systématiquement les données avant d'en avoir acquis un certains nombres. Les services de la CNIl étaient débordées par les pseudos demandes de sites avec 4 entrées en base qui demandaient des autorisations pour stocker les données, alors que cela n'étaient pas nécessaire.

                  Pour le coup, j'ai créer un sitede ecommerce courant du mois de mars , et je n'ai pas eu à chiffrer mes données en base car mon traffic est pour le moment assez faible.

                  Les grandes sociétés elles, en effet doivent obligatoirement faire le nécessaire pour se mettre en conformité, car le risque d'un leak est réel, et les données qui transitent sont très souvent asse critique.
                  Dernière édition par cavo789 à 03/06/2019, 11h59 Raison: URL vers le site non nécessaire

                  Commentaire

                  Annonce

                  Réduire
                  Aucune annonce pour le moment.

                  Partenaire de l'association

                  Réduire

                  Hébergeur Web PlanetHoster
                  Travaille ...
                  X