Notre plan de bataille pour la conformité au RGPD

February 14, 2018
par joost
Cette image est probablement la seule chose dans le article que vous pourrez parcourir en diagonale
Cette image est probablement la seule chose dans le article que vous pourrez parcourir en diagonale

Cet article de blog traite du Règlement Général sur la Protection de Données (RGPD) de l’Union Européenne (EU). Bien que je couvre les bases du RGPD, l’accent est mis sur la façon dont il impacte freesewing.org et ce que nous prévoyons de faire dans les 100 jours qui viennent avant l’entrée en vigueur du RGPD.

Tout cela représente une sacré lecture, donc voici donc une table des matières :

Pensées sur le RGPD de l’UE

J’ai une relation d’amour/haine avec l’Union européenne. J’adore ce qu’ils font et ce qu’ils défendent, je déteste la façon dont ils le font.

Je comprends totalement ce gars

Le RGPD ne fait pas exception. C’est un acte législatif important qui met la barre faute en matière de confidentialité en ligne ; ce qui est formidable. Mais alors qu’avançais dans la lecture à ce sujet, j’ai failli tout laisser tomber de rage car c’est un sacré boulot de bureaucrate !

Permettez-moi de m’expliquer.

La vie privée a besoin d’être protégée

Pour le meilleur ou pour le pire (je pense pour le pire) Internet s’est installé dans un mode opératoire où vous payez pour des choses gratuites avec vos données personnelles. Certains appellent ça la culture des personnes, et je pense que c’est un bon terme.

Les GAFAM (Google/Apple/Facebook/Microsoft/Amazon) aspirent de plus en plus d’informations de nos vies personnelles. A part ne jamais se connecter sur Internet, il semble que nous ne puissions pas faire grand-chose à ce sujet.

Pourquoi l’Union Européenne est la meilleure

Ce problème est trop important pour que chacun d’entre nous s’y colle. Qui pourrait résister à la puissance combinée des géants technologiques ?

Eh bien, voici un quelques chiffres :

  • Facebook a reçu une amende de 110 millions d’euros pour des déclarations trompeuses à propos de leur achats WhatsApp
  • Amazon a été condamné à payer 250 millions d’euros de taxes supplémentaires au Luxembourg
  • Google a reçu une amende de 2,4 milliards d’euros pour avoir abusé de sa position dominante dans les moteurs de recherche
  • Apple a été condamné à payer 13 milliards d’euros de taxes supplémentaires en Irlande

Nous sommes l'UE, garce

En ce qui concerne les géants du numérique, l’Union Européenne n’utilise que le bâton ; pas la carotte.

Le Règlement Général sur la Protection des Données applique des politiques de confidentialité qui respectent les droits des utilisateurs. Elle s’applique à tous les citoyens de l’UE, à tout moment, partout.

Peu importe que vous soyez une poids lourd de la “silicon valley”, que vous respectiez les droits des citoyens de l’UE ou que vous soyez confronté à la colère de l’eurocratie :

Les organisations qui violent le RGPD peuvent être condamnées à une amende allant jusqu’à 4 % de leur chiffre d’affaires mondial annuel ou 20 millions d’euros (selon le plus élevé des deux)

Quatre pour cent du chiffre d’affaires global est un très gros bâton.

Pourquoi l’UE est la pire

Ce que j'imagine à quoi ressemble un groupe de travail sur l'article 29

L’UE étant l’UE, le règlement est un mélange d’objectifs et d’idéaux élevés, avec une pression des lobbies, est en plus complexifié par le compromis nécessaire pour rallier 28 États membres.

Les intentions sont nobles, c’est une super idée, mais ils le vendent très mal --- comme d’habitude.

La mise en œuvre pratique est entre les mains du fameux Groupe de travail de l’Article 29 qui est actuellement occupé à concevoir des icônes (je n’invente rien) Elle changera son nom en Bureau Européen de Protection des Données le 25 mai prochain, car qui ne voudrait pas être bien plus à l’aise avec tout ce jargon maintenant, n’est-ce- pas ?

Le RGPD en pratique

Si vous cherchez des conseils d’experts sur la conformité au RGPD, ce n’est pas l’endroit idéal pour vous.

Mais si vous êtes curieux à propos du RGPD et de ce qu’il faut pour qu’un site comme freesewing.org soit conforme, vous pouvez lire ce qui suit.

Lectures additionnelles

Si vous voulez vraiment savoir ce qu’est le RGPD, la meilleure chose que vous pouvez faire est de lire ce sacré morceau. Ce n’est pas sorcier.

Si des textes législatifs vous font prendre vos jambes à votre cou, l’ICO du Royaume-Uni a clairement l’un des meilleurs guides sur le RGPD.

Bon à savoir

Quelques petites choses que vous devriez savoir avant de plonger dans le RGPD :

Il reste 100 jours

Le GDPR a été adopté en 2016, mais ses dents n’auront pas poussées avant le 25 mai 2018.

Jusqu’à ce jour, vous obtenez un laissez-passer. Après ce jour, ce sera réel. Ce qui signifie qu’il nous reste 100 jours pour remettre de l’ordre dans notre maison.

Il y a des exemptions pour les PME

Les organisations employant moins de 250 personnes sont exemptées de certains des aspects les plus bureaucratiques du RGPD, comme notamment tout un tas d’exigences documentaires.

Dans l’essentiel, même si vous devez quand même faire les choses bien, il y a beaucoup moins de paperasse à remplir.

Freesewing emploie zéro personnes, nous sommes donc tirés d’affaire.

Il y a des dispositions supplémentaires pour les données sensibles

Les mensurations seules ne sont pas des données sensibles en soi

Le RGPD a des dispositions supplémentaires pour données sensibles telles que les données biométriques, le profilage, et un tas d’autres choses.

C’est ce qui est à l’origine de nos préoccupations car nous collectons des mensurations, et une de nos questions était de savoir si celles-ci sont qualifiées de données biométriques.

Il s’avère que ce n’est pas le cas. Les données biométriques sont celles que vous pouvez utiliser pour identifier une personne, comme une empreinte digitale ou un scan d’iris. Les mensurations seules ne sont pas des données sensibles en soi.

Collecte de données par consentement

Pour collecter des données, vous avez besoin d’une fameuse base légale pour le traitement des données. Il existe différents types, mais celui qui s’applique à nous (et à la plupart des services en ligne) est le consentement.

Dans ce scénario, votre base légale pour le traitement des données est que vous avez demandé à la personne de récupérer ses données et qu’elle vous les a données librement.

C’est direct et cela a du sens. Mais le RGPD est très sérieux pour s’assurer que ce consentement est donné librement et qu’il n’est pas obtenu à contre cœur.

Pour empêcher les entreprises de dresser un grand mur juridique contre lequel les gens se heurteraient, le RGPD décrit un certain nombre de de principes auxquels ce consentement devrait adhérer. Voici une liste non exhaustive :

  • les gens devraient avoir un vrai choix et un vrai contrôle
  • le consentement requiert une action positive en ce sens, des cases pré-cochées ou quoique ce soit dans ce genre, ce n’est pas autorisé
  • il devrait y avoir une déclaration très claire expliquant ce que les gens acceptent
  • ces demandes de consentement doivent être distinctes de tout autres termes & conditions
  • le consentement doit être granulaire, vous avez besoin d’un consentement individuel pour différentes choses, et ne pouvez pas demander un consentement général
  • il doit être facile pour les gens de retracer leur consentement
  • le consentement au traitement des données ne doit pas être une condition préalable à un service

En regardant cette liste, Je ne peux m’empêcher de penser que la législation serait beaucoup plus simple si les législateurs pouvaient juste écrire ne faites pas le con et s’en tenir à ça.

Granularité du consentement

Rappelez-vous que nous ne pouvons pas seulement obtenir un consentement global. Nous devons obtenir le consentement de chaque type de traitement de données que nous faisons.

Pour freesewing.org, nous avons identifié trois types différents de traitement de données:

  • Données de profil
  • Données de modèle
  • Données de mécène

Pour chacun d’entre eux, nous devrons obtenir le consentement de l’utilisateur, en s’assurant que c’est un consentement réel comme prévu dans le RGPD.

Voici une maquette de ce à quoi cela pourrait ressembler à chaque type de données :

Ces maquettes ne sont plus disponibles

Veuillez noter que les maquettes initialement incluses dans ce message ne sont plus disponibles. A la place, cette fonctionnalité a été directement implémentée dans le site Web.

Temps du consentement

Le RGPD indique que vous devez demander votre consentement lors de la collecte des données.

Avec nos trois types de traitement des données, cela signifie que le consentement doit être demandé à des moments différents :

  • Données de profil: lors de l’inscription sur le site
  • Données de modèle: lors de la création du premier modèle
  • Données de mécène: En devenant un mécène

Cela nécessitera (également) un travail supplémentaire pour intégrer ceci dans le site.

Respecter des droits fondamentaux lors du traitement des données

L’UE garantit à ses citoyens des droits fondamentaux qui doivent être respectés lors du traitement des données.

Examinons chacun de ces droits et leur impact sur freesewing.org.

Le droit d’être informé

Vous devez être transparent quant à la façon dont vous utilisez les données personnelles. Pourquoi vous le collectez, comment vous les utilisez, etc.

nous travaillons encore sur l’information des utilisateurs. En tout cas, cet article de blog participe à cet effort.

Nous devrons concevoir la Politique de Confidentialité individuelle, mais aussi une politique de confidentialité plus générale tout en veillant à ce que les utilisateurs soient informés de tous leurs droits.

Bien que cela demande un peu de travail, je ne m’attends pas à ce qu’il y ait des problèmes ici.

Le droit d’accès

Les personnes ont le droit de savoir si leurs données sont traitées, et de pouvoir y accéder.

Nous sommes déjà conformes, puisque toutes les données que les utilisateurs saisissent sur le site sont également accessibles par eux.

Le droit de rectification

Les personnes ont le droit de corriger leurs données si elles ne sont pas correctes.

Nous sommes déjà conformes, car toutes les données que les utilisateurs saisissent sur le site peuvent également être modifiées par eux.

Le droit à l’effacement

Les personnes ont le droit de supprimer/effacer leurs données.

Nous sommes déjà conformes, car les utilisateurs peuvent supprimer leurs modèles, ou tout le compte à tout moment.

Le droit à la limitation du traitement

Ce droit signifie que les utilisateurs doivent être en mesure de mettre une limitation sur tout traitement de données, sans aller jusqu’à supprimer leurs données.

Pour le moment, nous n’offrons pas cette possibilité, et nous devrons ajouter cette fonctionnalité au site.

Le droit à la portabilité des données

Les personnes n’ont pas seulement le droit d’exporter toutes leurs données, mais cette exportation doit également être dans un format qui leur permet de les utiliser ailleurs.

Nous sommes déjà conformes, car nous permettons aux utilisateurs d’exporter toutes leurs données, et de les rendre disponibles dans différents formats standards (YAML et JSON).

Le droit d’opposition

Le droit d’opposition s’applique spécifiquement à :

  • traitement pour des intérêts publics ou par les autorités officielles
  • traitement du marketing direct
  • traitement des statistiques/recherches scientifiques/historiques

Dans ces cas, les personnes peuvent s’opposer à ce traitement spécifique.

Cela s’appliquera à nous lorsque nous commencerons à publier des données de modèles anonymisés ; chose qui est sur notre feuille de route.

La raison pour laquelle nous publions ces données est que nous voulons mettre à disposition un jeu de données de mensurations réelles, plutôt que des mensurations standards qui sont généralement utilisées dans l’industrie.

C’est quelque chose que sur quoi écrirons davantage à une date ultérieure, mais globalement ça tombe dans la catégorie recherche/statistiques scientifique. Et même si les données sont anonymisées, nous devons toujours respecter le droit des utilisateurs de s’opposer à ce traitement.

À ce titre, nous devrions ajouter la possibilité de nous opposer à cette utilisation spécifique des données.

Droits relatifs à l’automatisation de prise de décision et de profilage

Les gens ont des droits supplémentaires en matière de profilage ou de décisions prises par des IA ou des algorithmes sans implication humaine.

Cela n’est pas pertinent dans notre situation.

Respect de la vie privée dès la conception

L’UE ne se contente pas de poser quelques questions de consentement et de respect les droits des personnes sur le traitement des données. Elle veut aussi s’assurer que votre vie privée est (mieux) protégée lorsque les choses tournent mal.

C’est pourquoi il préconise le respect de la vie privée dès la conception. Bien que ce concept soit difficile à mettre en place dans la législation, le but est clair : ils veulent que tout le monde prenne en considération le respect de la vie privée dès le début de leur projet/produit/entreprise, et pas comme une réflexion a posteriori.

Des choses telles que le chiffrement (tant en transit que pour les données en sommeil), les pseudonymes, et l’expiration des données, sont suggérées comme à garder à l’esprit dès la conception.

Évidemment, l’UE ne va pas venir vérifier votre code pour voir si vous avez pris à cœur le respect de la vie privée dès la conception. Mais elle peut (et elle aura sûrement) avoir une influence si les choses tournent mal.

Imaginez deux entreprises qui ont une fuite de données, l’une d’entre elles n’a pas fait grand chose pour protéger la vie privée de leurs utilisateurs, alors que l’autre a pris des mesures pour le respect de la vie privée dès la conception afin d’atténuer les dégâts.

Il semble évident que l’UE va se montrer plus sévère à l’égard de la société qui n’a pas fait d’effort.

Ce que nous faisons déjà

Nous faisons déjà un certain nombre de choses qui sont animées par une approche de respect de la vie privée dès la conception. Par exemple :

  • Nous utilisons des pseudonymes pour les comptes utilisateurs
  • Nous ne partageons aucune donnée avec un tiers
  • Nous n’incluons pas de code de suivi, ou d’analyse
  • Nous n’utilisons pas de cookies
  • Nous n’avons pas de connexions sociales, comme des boutons de “j’aime”, ou autres choses de ce genre
  • Nous ne diffusons pas de publicités
  • Nous n’exécutons aucun code JavaScript tiers
  • Nous utilisons le chiffrement pour tous les tranferts

Il y a plus d’informations à ce sujet dans cet article du blog : Les choix que j’ai faits pour protéger votre vie privée. Ou pourquoi vous n’aurez pas de cookies.

Ceci forme déjà une très bonne base pour un site web soucieux de la protection de la vie privée. Mais comme nous aurons besoin de faire des changements pour le RGPD de toute façon, nous envisageons d’autres options pour élever davantage le niveau de confidentialité. Plus précisément, ce que nous pouvons faire pour limiter les dégâts causés à nos utilisateurs en cas de fuite de données.

Limiter la conservation des données

Parmi les des données les plus sensibles que nous enregistrons aujourd’hui il y a l’adresse et l’anniversaire de nos plus mécènes de niveau supérieur.

Toutefois, le site n’a pas besoin de ces informations pour fonctionner. Nous n’en avons besoin qu’à des fins administratives ; envoi de cadeaux et de cartes d’anniversaire à nos mécènes.

Il n’y a donc aucun besoin réel de conserver ces données dans la base de données freesewing. Nous pourrions aussi bien écrire ces informations dans un carnet que nous garderions sur notre table basse.

Donc, dans le cadre de nos changements pour le RGPD, nous supprimerons ces informations de la base de données et les stockerons hors ligne.

Chiffrement des données stockées

Nous cryptons déjà toutes les données en transit. Mais nous envisageons actuellement d’ajouter le chiffrement des données stockées.

L’idée est de chiffrer toutes les données qui pourraient potentiellement identifier un utilisateur. Telles que :

  • Adresse E-mail
  • Nom d’utilisateur
  • Noms de modèle
  • Notes de modèle

Cela ajouterait une couche supplémentaire de défense de la vie privée de nos utilisateurs au cas où notre base de données serait détruite.

Bien que ce changement risque d’être difficile à mettre en œuvre et assorti d’une perte de performance, je pense que ça vaut la peine d’y travailler.

Conclusion

Bien que nous ayons encore du pain sur la planche, nous sommes déjà en conformité avec une grande partie du RGPD, en particulier quand il s’agit de respecter les droits des utilisateurs :

  • Le droit d’être informé
  • Le droit d’accès
  • Le droit de rectification
  • Le droit à l’effacement
  • Le droit à la limitation du traitement
  • Le droit à la portabilité des données
  • Le droit d’opposition
  • Droits relatifs à l’automatisation de prise de décision et de profilage

Nous travaillons actuellement sur le droit à l’information et avons un plan pour les changements requis afin de respecter le droit de restreindre le traitement et le droit de contester.

Sur le site de collecte de données, nous devons préciser les détails de nos avis de confidentialité. Nous allons également écrire une politique de confidentialité détaillée qui inclut toutes les informations des différentes avis.

Nous devrons ajouter des modifications lors de la prise en main de l’utilisateur pour nous assurer que les avis sont présentés au bon moment. Sans oublier que nous devrons garder trace de qui a donné son consentement et pour quoi.

Points d’action

  • Brouillon des avis de confidentialité pour les données du profil/modèle/patron
  • Intégrer le consentement au démarrage, à la création de modèles et à l’inscription des mécènes
  • Rendre la fonctionnalité du site dépendante du consentement
  • Fournir un rapport de confidentialité centralisé où les personnes peuvent consulter leurs paramètres de confidentialité / consentement
  • Ajouter des notifications par email chaque fois que le consentement est modifié
  • Permettre aux personnes de geler leur compte
  • Permettre aux personnes de s’opposer à l’utilisation de leurs données de modèle pour la recherche et les statistiques
  • Écrire et publier une politique de confidentialité globale
  • Chiffrer les données sensibles dans la base de données

Il semble que nous ayons beaucoup de travail devant nous.

Avis

Je pense personnellement que le RGPD est une bonne chose. Mais je veux entendre vos avis à propos des changements décrits dans ce billet de blog.

Donc s’il vous plaît faites-nous part de vos commentaires et avis. Après tout, ce sont vos données dont nous parlons.

Freesewing est fait par une communauté de contributeurs
avec le soutien financier de nos Mécènes

v2.10.5