Un mot sur la RGPD
Amis du jour, bonjour !
En ce vendredi 25 mai 2018, nous voyons l'application de la RGPD, ou Règlement Général sur la Protection des Données. Ce n'est pas nouveau, loin de là : dans le merveilleux monde du développement en relation avec l'utilisation de données client (ouf !), cela fait près de deux ans que c'est dans les cartons. Je vous ai mis en source un article expliquant de manière simple mais suffisamment complète le pourquoi ce cette chose. Je vous invite à la lire, en particulier si vous gérez un site Internet.
Bien entendu, si vous êtes une petite structure, vous aurez comme tout bon développeur humain qui se respecte les yeux ronds face à ce que l'on nous demande pour être en conformité. Alors voici une petite news-tuto à destination de tout le monde, développeur ou non.
Dis papa, c'est quoi une donnée personnelle ?
C'est le nouveau groupe nominal à la mode, mais ça existe depuis longtemps. En clair, c'est tout ce qui permet de plus ou moins directement ou non d'identifier une personne. Par exemple, l'adresse email est une donnée personnelle. Ou encore, si vous mêlez l'adresse physique d'une personne avec sa pointure de chaussure, cela peut constituer un couple de données personnelles d'après la CNIL (Commission Nationale de l'Informatique et des Libertés).
Par conséquent, nous, les gens derrière des sites ou tout autre service de collecte de données personnelles, on se doit de les sécuriser. Et alors là chacun y va de sa petite définition. La RGPD fait en effet écho aux derniers scandales survenus, notamment avec la Cambridge Analytica, où en entendait beaucoup d'informations fuser dans tout azimut, si bien que "sécuriser" est devenu un terme très relatif.
Très bien, mais "sécuriser" c'est quoi ?
En tant que prestataire pas payant qui collectons des données personnelles (ooouh les vilains ), on ne doit pas les laisser traîner n'importe où vos données. Elles sont là, bien au chaud sur le serveur, en attente d'utilisation. Elles sont chiffrées pour empêcher n'importe qui de les lire, et vos mots de passe sont hashés, c'est-à-dire transformés en une chaîne unique indéchiffrable, aujourd'hui à l'aide d'un algorithme de type Blowfish.
Ainsi, si malencontreusement nous nous faisons piquer des données, elles seront inutilisables par les pirates. Et entre nous, hormis vous spammer votre boite email, ils n'en feraient pas grand-chose. De plus, "sécuriser", c'est aussi s'assurer qu'aucun filou ne vende vos données sans vous en avertir, bref : c'est s'assurer que tout cela reste là où on l'a mis, et que vous êtes au courant. Le RGPD uniformise un petit peu tous les règlements et lois au niveau européen. Vous pourrez trouver en source une carte intéressante à ce sujet.
Cela signifie que nous allons devoir mettre bien plus de cases à cocher vous demandant si vous acceptez que nous utilisions vos données.
Et Eternia fait quoi avec mes données ?
On les vend au marché noir !
Non. Hormis transmettre les informations personnelles physiques (nom, prénom, adresse) aux prestataires des concours que nous organisons en partenariat avec des entreprises de communication (et encore, uniquement les gagnants), vos données ne nous servent pas.
Nous faisons également partie de ces sites qui n'exploitons pas vos données à des fins statistiques (hormis pour les concours !). Non, Google Analytics recense de manière anonyme (à nos yeux) nos utilisateurs. En revanche, Google étant champion de collecte de données, il utilise son "réseau Analytics" pour créer des profils utilisateur, dont nous nous fichons éperdument. La seule info """privée""" qui nous intéresse est le navigateur que vous utilisez.
De plus, nous n'envoyons plus de newsletter. La v10 a déjà été mise à jour avec tout ça, et la v11 à paraitre prochainement le sera particulièrement.
En clair, que permet la RGPD pour un utilisateur ?
En quelques points :
- Comme avant, vous avez un droit d'accès, de rectification, modification, suppression de vos données personnelles. En clair, un droit de voir ce que l'on a sur vous. L'avantage est que vous n'aurez plus à retrouver le texte de loi en rapport avec cela. Vous pourrez activer la carte magique "RGPD".
- Si on se fait pirater, on doit vous en avertir, en particulier si on a des données en clair.
- Les utilisateurs peuvent maintenant mener des actions collectives contre des organismes, s'ils estiment qu'il y a un abus. C'était déjà le cas avant, mais la RGPD renforce cela.
- Il y a aussi un droit à la portabilité des données. Par exemple si vous souhaitez passer d'un service email à un autre, vous devriez pouvoir transférer vos emails chez un autre. Un peu comme lorsque vous souhaitez changer d'opérateur téléphonique mais pas de numéro (et ce dernier point crée un sacré boxon technique).