Comprendre le GDPR / RGPD avec des emojis

Si vous travailliez dans l’informatique, vous avez déjà peut être entendu parler du GDPR (ou RGPD en français)

Vous devez savoir savoir qu’il s’agit du texte de référence européen en matière de protection des données personnelles pour les résidents de l’Union européenne.

Mais concrètement :

  • Qu’est ce que c’est?  
  • Quels vont être les impacts?
  • Qui sont les acteurs concernés?

Pour le savoir…

  • Soit, vous vous tapez tout le texte du règlement (disponible sur le site de la CNIL),
  • Soit, vous regardez cette vidéo où je vous fais une synthèse, le tout en quelques minutes et en emoji!

GDPR/RGPD, c’est quoi ?

GDPR veut dire General Data Protection Regulation ou RGPD pour Règlement général sur la protection des données.

Plus concrètement :

  • Il s’agit du texte de référence européen en matière de protection des données personnelles pour les résidents de l’Union européenne. 
  • En gros, le GDPR va harmoniser la gestion des données dans l’ensemble des pays de l’Union Européenne.
  • Et Il sera applicable à partir du 25 mai 2018. Bref, demain quoi!
Qui sont concernés par le GDPR ?

Le GDPR concerne tous les acteurs économiques et sociaux proposant des biens et services sur le marché de l’UE, dès lors que leur activités traitent des données à caractère personnel sur les résidents de l’UE :

  • Les entreprises,
  • Les associations,
  • Les organismes publics,
  • Les entreprises dont le siège est hors UE mais opérant dans l’UE Et sur des données des citoyens de l’UE
  • et les sous-traitants dont les activités rentrent dans ce cadre

Pour la suite je vais juste parler d’entreprise pour simplifier mais faut le comprendre comme englobant tous ces différents acteurs

Les objectifs et les enjeux

L’objectif est de donner aux citoyens de l’UE davantage de contrôle et de visibilité sur leurs données privées, notamment pour savoir quelles sont les données collectées, à quelle fin, et leur durée de conservation.

Le principal enjeu pour les entreprises est donc  de savoir à un instant t où sont les données et comment pouvoir, sur simple demande, les collecter et les transmettre à la personne concernée

Cela suppose qu’une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l’objectif de leur collecte et leur mode de gestion, de stockage, de transfert et d’effacement.

 

Sanctions prévus en cas de non conformité au GDPR

Celles-ci peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.  La somme la plus importante entre les 2 est retenue.

Et c’est également l’entreprise qui devra payer les Dommages et intérêts pour préjudice subi pour non respect du GDPR suite à un recours en justice au pénal

 

Les 5 principes clés du GDPR / RGPD

Voici les nouveaux principes à mettre en oeuvre dans le cadre du GDPR pour assurer une meilleure protection des données personnelles :

  • le concept d’accountability ;
  • la démarche de « Privacy by design »
  • la démarche de « Security by default »
  • la désignation d’un Data Protection Officer (DPO)
  • l’étude d’impact

 

La logique de responsabilisation ou « accountability »

Le GDPR introduit une logique de responsabilisation, c’est l’”Accountability”. C’est à dire que d’une part c’est à l’entreprise de prendre toutes les mesures pour garantir la conformité au GDPR.

Mais cela implique aussi que l’entreprise doit être capable de démontrer qu’elle a rempli ses obligations en matière de protection des données, ce qui sera notamment le cas lors de contrôle de la CNIL par exemple.

Cela peut aller de la tenue de la documentation, à la mise en œuvre des obligations en matière de sécurité en passant par la réalisation d’une étude d’impact.

 

Le respect de la protection des données dès la conception ou « Privacy by design »

« Privacy by Design » signifie que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service mais aussi d’un système d’information, d’une base de données ou d’une application.

 

La sécurité par défaut ou « Security by default »

Ce principe renforce le rôle de sécurité dans le système d’information et notamment dans son traitement des données,

En effet le SI doit être sécurisé a ses différents niveau, du physiques jusqu’au logique (contrôle d’accès ou un système dde prévention contre les failles de sécurité, etc.).

Mais l’entreprise doit être aussi d’être en mesure de déceler si l’intégrité du SI a été compromise et y remédier

 

La désignation obligatoire d’un Data Protection Officer (DPO)

Il s’agit d’un délégué à la protection des données quidoit être associé aux questions de protection des données à caractère personnel. Son rôle est de veiller à la conformité au GDPR et d’être le point de contact avec l’autorité de contrôle.

 

L’ étude d’impact

Le GDPR demande aux entreprise de réaliser une étude d’impact sur la protection des données personnelles avant à la mise en œuvre des nouveaux traitements de données qui pourraient présenter des risques d’atteintes aux droits et libertés individuelles.

Le cas échéant, l’étude d’impact devra aussi prévoir les mesures pour diminuer l’impact des dommages potentiels à la protection des données personnelles.

 

J’espère que cette post vous a plu et vous a aidé

N’hésitez pas à partager ce post ou ma vidéo, ça m’aiderait mais tellement!

Dis moi ce que vous en avez pense dans les commentaires!

 

Pour finir, sachez que la CNIL a publié un guide pratique et simple pour se préparer à une mise en conformité en six étapes (si vous souhaitez approfondir le sujet.

 

 

Le serveur informatique pour les nuls

Dans cette vidéo, je vais vous expliquer ce qu’est un serveur informatique et vous montrer son rôle dans l’informatique moderne et dans le fonctionnement d’Internet.

Un serveur, c’est quoi ?

Le rôle des serveurs informatique est de fournir des services autour des données.

Par exemple, le serveur peut :

Du cpup tout les services auquel vous accéder en ligne, comme vos musiques via Spotify, vos mails via Gmail, cette vidéo que vous regardez sur Youtube ou vos photos sur Instagram… Tout ça c’est géré et hébergé sur des serveurs

 

La relation « client-serveur »

Et tous ces services sont accessibles via des requêtes que font des clients. On parle alors de relation “client-serveur”. Il faut comprendre par là, “client du service” et “serveur ou fournisseur du service”.

Mais attention : les clients peuvent être soit des utilisateurs, soit d’autres serveurs. Rien n’empêche un serveur d’être le client du service d’un autre serveur: par exemple  un serveur web peut demander à un serveur base de données les informations à afficher sur ses pages web au client.

 

Serveur et datacenter

Concrètement, un serveur c’est un peu un super ordinateur qui possède des composants similaires à ceux d’un ordinateur comme des ventilos, des barrettes de mémoires RAM, des processeurs, mais tout ça en beaucoup beaucoup plus performant. Parce que ce sont des machines qui traitent énormément de données de manière automatique et simultanée et qui en plus tournent 24h/24 7j/7

Juste une petite remarque : rien n’empêche d’utiliser un ordinateur comme serveur mais c’est clairement pas le même niveau de performance 

Les serveurs sont hébergés dans des datacenters quand il s’agit de grandes entreprises. En résumé, un datacenter c’est un site sécurisé qui va héberger plein de serveurs et leur fournir des services pour garantir un fonctionnement optimal et continu (comme équipements réseau, infrastructure de sécurité incendie, de refroidissement des serveurs, etc).

Comprendre les dangers d’une backdoor (et les combattre)

Dans cette vidéo, je vous explique l’essentiel à savoir sur les backdoors :

  • Savez-vous ce qu’est une backdoor ?
  • Pourquoi est ce que c’est important de savoir ce que c’est?
  • Quelles sont les menaces qu’elle apporte?
  • Et enfin comment les éviter?

C’est quoi une backdoor ?

La backdoor est une fonctionnalité qui donne un accès secret au logiciel et par extension à l’ordinateur sur laquelle elle est installée. Pour cette raison, la backdoor doit demeurer inconnue de l’utilisateur.

Mais une backdoor ne veut pas forcément dire piratage malvaillant. En effet, elle peut être incluse nativement dans le logiciel par le développeur du logiciel, pour faire de la maintenance ou de l’assistance à distance par exemple

Mais évidemment c’est un usage qui est détournée par des cybercriminels. Cette porte dérobée leur permet de faire plein de trucs pas cool.

Voici les risques les plus importants :

  • Tout d’abord, il y a le vol de vos données personnelles (et donc accès à toutes votre vie privée) et des données ayant une valeur (mots de passe, coordonnées bancaires, etc ) ;
  • Il y a aussi la possibilité d’espionnage par le cybercriminel et donc de surveillance de l’utilisateur (comme l’enregistrement des frappes ou la capture d’écran…),
  • Enfin, la possibilité de prendre le contrôle d’un ordinateur pour mener des actions malveillantes (envoi de mails de phishing, installation d’autres virus attaque de déni de service);

Remarque : là je parle de PC mais cela peut toucher votre smartphone et potentiellement tout les objects connecté

Comment se protéger contre les Backdoor?

Les Backdoors nécessitent des actions de l’utilisateur (d’un simple clic jusqu’à une installation compléte). Mais évidemment pour ne pas que l’utilisateur ne s’en rende compte, les cybercriminels utilisent des moyens détournés pour faire installer ces backdoors à l’utilisateur.

Voici 4 bonnes pratiques qui vous éviteront de choper des backdoors :

  • Utiliser un antivirus efficace
  • Installer les mises à jour de tous vos logiciels dès qu’elles sont disponibles.
  • Télécharger depuis les sites officiels (et non depuis des plateformes de téléchargement intermédiaires)
  • Ne jamais cliquer sur un lien suspect (sur un site Internet ou dans un mail)

Le middleware expliqué simplement

Dans cette vidéo, je vous explique le concept du middleware.

J’ai remarqué que cette notion de middleware est en général assez abstraite, alors je vais lever le brouillard pour que vous sachiez tout sur le middleware.

Un middleware, c’est quoi ?

Le Middleware est une couche technique qui se positionne entre l’OS (le système d’xploitation) et la couche applicative.

Mais concretement, le middleware est aussi un logiciel qui tourne sur un OS. Sauf que on le met en dessous des applications parce que son rôle c’est d’aider les autres logiciels ou applications à interagir ensemble.

Donc en fait quand on parle du couche intermédiaire c’est à la fois entre l’OS et la couche applicative  mais aussi une couche intermédiaire entre les différentes applicatons.

L’idée principale à retenir sur le rôle des middleware c’est qu’il fournit donc des services récurrents aux applications sans que cela n’ait été prévu dans le développement de l’application

Un middleware, pour quoi faire ?

Le but est de permettre au developpeur de se concentrer sur le “métier de l’application” lors de sa construction sans penser à toutes ces contraintes extérieures.

C’est donc au midleware de faire de sorte de faire communiquer des applications hétérogène qui n’ont pas été prévus pour intéragir ensemble en natif.

4 points importants à souligner :

  • Le middleware peut se situer « au milieu de » plusieurs sites physiques et c’est le middleware justement qui permet aux données de transiter d’un site à l’autre.
  • Ensuite un middleware permet de réaliser des échanges « asynchrones », c’est à dire que les deux applications n’ont pas besoin d’être démarré simultanément pour se parler.
  • Le middleware propose aussi des fonctions de sécurité, de répartition de charge, et bien d’autres. tout dépend évidemment du type middleware que vous utilisez et de la technologie employée (MOM, serveur web, serveur d’application…)

L'architecture technique en cookies