En mai prochain, finies les déclarations à la CNIL pour les fichiers de
personnes.
A la place, un énorme truc, le RGPD, directive européenne qui va
chambouler la manière dont les sites internet fonctionnent (et changer
aussi bien sûr tous les business de « data » et notamment le « big data »).
En résumé:
-
plus possible de récupérer des données personnes autres que celles
nécessaires à votre business -
toutes les entreprises qui « font des trucs » en europe sont concernées
-
demander à quelqu’un si on peut récupérer ses données personnelles
devra se faire à part du traitement normal et de manière claire (en gros
finies les cases précochées dans le flux formulaire d’un truc habituel) -
en cas de fuite de données, il faudra le signaler tout de suite
-
les gens pourront à tout moment demander l’effacement de leurs données
-
un refus par une personne d’enregistrer ses « données personnelles » ne
pourra pas lui interdire l’accès à un service -
« données personnelles » signifie tout un tas de trucs, y compris par
exemple l’adresse IP donc concrètement, si vous avez un outil de stats
ou des logs qui récupèrent les adresses ip des visiteurs, vs êtes
concernés ! -
TOUTE la chaine de collecte et traitement des données est concernée
donc VOS sous-traitants ou partenaires (par ex services d’hébergement)
sont co-responsables avec vous donc vous devez revoir vos contrats avec
eux (cf par exemple
https://www.cnil.fr/sites/default/files/typo/document/20111027_MOD_CLAUSE%20SOUS%20TRAITANT_VD.pdf
) -
ceci ne concerne par simplement le b2c mais aussi le b2b (donc par
exemple les fichiers de clients du moment qu’il y a des noms et
coordonnées ou mails par exemple) -
les sociétés de + de 250 personnes doivent avoir un DPO, à savoir une
personne responsable de ceci -
la CNIL devient un organe de contrôle
En bref, c’est un énorme truc qui pose plein de questions auxquelles
personne n’a de réponse: concrètement par exemple:
-
des sites comme societe dot com ne peuvent plus mentionner les noms des
gérants ou actionnaires sans autorisation de leur part -
tous les annuaires : idem
-
tous les sites qui proposent des simulations ou autres en échange des
données persos sont de fait KO (puisqu’on peut avoir accès au service
sans donner de coordonnées persos) -
"fuite de données " obligeant à une déclaration quasi publique, les
"méchants " n’ont même plus à inventer des ramsomwares ou autres mais
juste à faire croire qu’il y a fuite de données -
bien évidemment la cnil n’a pas les moyens de contrôler mais comptons
sur l’art et la tradition française de la dénonciation pour que les
concurrents dénoncent ceux et celles qui ne remplissent pas les
conditions de la loi -
a priori c’est la fin de pas mal de sociétés de « big data »
La question est maintenant de savoir SI vous allez vous préparer à cette
révolution ou si vous attendez que les autres le fassent (car faire des
efforts seul coûte cher).
A titre informatif (je ne prends pas les noms :-)), Est-ce que
certains d’entre vous se sont penchés sur la question ? Qu’en ont-ils
déduit , décidé ?
Lien intéressant: https://www.gdpr-expert.eu/#textesofficiels