Actualités

RGPD : la CNIL expulse la seconde version de son guide à destination des développeurs ou équipes de développement ! (la v2…)

Pavé en information massive, le guide RGPD s’agrémente de nouvelles informations ou fiches pratiques avec des cas ou mises en situation concrètes (dont extrait de codes) pour mieux cerner les contours du Règlement Général sur la Protection des Données.

 

 

Initié le 27 Avril 2016, le Règlement (UE) 2016/679 du Parlement et du Conseil Européen, appliqué dès le 23 Mai 2018, voit son guide-développeur s’estampiller d’une seconde version : reprenant les axes directeurs du premier opus, cette seconde mouture intègre deux nouvelles fiches et des conseils-cas pratiques qui seront sans aucun doute plus évocateurs ou parlants dans le cœur des équipes de développement. Cela concerne (nouveautés) :

 

  • [Fiche numéro 16] Les trackers (traceurs) sur les sites Web ou sites d’application mobile : le consentement doit être acquis en toute clarté ou transparence, selon les contours européens relatifs à la directive ePrivacy. Dans le creux technique, cookies mais, aussi, LSO (cookies Flash ou Local Shared Objects) voire le local storage (sous HTML v5) en passant par tout ce qui permet d’impulser ce consentement (connexion par empreinte digitale sur un smartphone, par exemple) doit obligatoirement comprendre un consentement préalable éclairé en la matière et avant le dépôt de ces traceurs. Les publicités (personnalisée ou non-ciblée) sont essentiellement concernées ainsi que les partages vers les réseaux sociaux. Hormis certaines exceptions (notamment les styles, scripts, certaines cookies spécifiques sous conditions), il faut veiller à bloquer toute tentative de collecte sans consentement (HTTP) et, surtout, mettre en place une pop-in pour recueillir le consentement de l’utilisation avec un “tout accepter”, “tout refuser” et les options ou types de collecte, par ligne, activable au besoin. A noter que tout comme la publicité sur un site Web, cette option de personnalisation (pour SOSOrdi.net, le petit rouage bleuté tout en bas-droit du site) n’est pas visible si un bloquer de publicités est actif dans le navigateur ;

  • [Fiche numéro 18] Les cyber-attaques : pour le cas des ransomwares, la CNIL recommande de mettre à jour, bien sûr, ses “systèmes et logiciels” ainsi que les règles évidentes (comme le non-usage d’un compte administrateur pour un profil membre simple au sein d’une équipe, entre-autres…). Autant que cela soit possible, éviter les injections SQL(i) en “neutralisant” les pages-erreur type 403 (en masquant l’erreur, côté utilisateur lamda) ou les vulnérabilités XSS (Cross-Site-Scripting) en effectuant mises à jour et veille-audit sécuritaires qui s’imposent. Du côté de l’utilisateur, la CNIL préconise d’émettre des recommandations de mots de passe pour bloquer ceux qui seraient trop faciles (en bloquant les saisie de type password ou 123456 par exemple) voire de mettre à disposition la double-authentification, en passant par la communication autour de la répétition d’un mot de passe pour plusieurs comptes (totalement déconseillé : un site Web égal un mot de passe unique, différent !). Des contraintes à tenir (temps, blocage temporel) pour mettre en joug les botnets potentiels (cyber-attaque par force brute) ou envoyer des mails à l’utilisateur, en cas de connexion depuis un terminal différent de celui habituellement utilisé, sont également émises dans ce guide actualisé.

 

Ces deux nouvelles fiches rejoignent les 16 autres existantes : des heures de réflexions et d’études pour les développeurs ou équipes de développement qui remercieront, sans aucun doute, la CNIL, pour ce cadeau de fin d’année. En notant que la plupart des mesures impulsées par la RGPD originelles ont, normalement, dues être appliquées sur la plupart des sites Web ou mobiles… A suivre !

 

 

Source : CNIL – 13 Décembre 2021 – RGPD : guide-développeurs, v2.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.12.0