Le 25 Mai 2018, la réglementation européenne sur la protection des données personnelles (RGPD pour Règlement général de protection des données, ou GDPR pour General Data Protection Regulation) est entrée en vigueur.
3 mois après, on constatait déjà une explosion des plaintes à la CNIL (+56% en 100 jours !).
Bien que s’agissant de données personnelles, toutes les entreprises ou établissements sont concernés. Il suffit par exemple d’utiliser une application de facturation qui fait référence à des données telles que nom, prénom, adresse, mail…. Ou bien encore un fichier de coordonnées de parents d’élèves.
Les produits de sécurité et de traçabilité qui enregistrent des informations permettant d’identifier directement ou indirectement un utilisateur, par exemple l’adresse Mac d’un poste, doivent être en conformité avec cette nouvelle réglementation.
Consentement
Des données concernant des personnes peuvent être collectées à la condition essentielle qu’elles aient été informées de cette opération .
Tracer uniquement ce qui est utile.
Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées .
Concernant la traçabilité des accès Internet, les données utiles sont celles que la législation impose, c’est-à-dire celles se rapportant uniquement aux données de trafic. Les données portant sur le contenu des correspondances échangées ou des informations consultées (URLs) ne sont pas autorisés à le faire (article L. 34‑1 VI du CPCE).
En d’autres termes, il est parfaitement légal de tracer les demandes d’accès au site www.lemonde.fr, mais il est illégal de tracer les URLs de navigation car cela permettrait de connaitre les articles consultés (une entreprise a le droit de savoir quels sont les numéros de téléphone appelés par un salarié, mais n’a pas le droit d’enregistrer les communications).
Le droit à l’oubli et effacement des données
Les données nécessaires pour répondre à une obligation légale ou réglementaire peuvent être archivées le temps nécessaire à l’accomplissement de l’obligation en cause. Les données archivées doivent être supprimées lorsque le motif justifiant leur archivage n’a plus raison d’être.
Les données de trafic doivent être conservées pendant 1 an à compter du jour de leur enregistrement (Article R. 10-13 du Code des postes et des communications électroniques).
Le droit à l’accès des données personnelles
Toute personne peut accéder à l’ensemble des informations la concernant, et en obtenir la copie. Les éléments communiqués doivent être aisément compréhensibles.
Le droit à la portabilité des données personnelles
Le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par une machine.
Consentement
Les boitiers Frogi-Secure offrent plusieurs possibilités d’informer et d’obtenir le consentement des utilisateurs. La solution la plus simple est d’afficher la charte d’utilisation et demander à l’utilisateur de la valider.
Tracer uniquement ce qui est utile
Frogi-Secure conserve uniquement les métadonnées d’une session utilisateur. Si entre deux pages il s’écoule moins de 3 minutes, on considère qu’il s’agit de la même session, sinon il s’agit d’une nouvelle session.
Seules les données de trafic sont enregistrées dans la base de traçabilité.
Le droit à l’oubli et effacement des données
Conformément à la législation, les données de traçabilité sont conservées 1 an dans la base de traçabilité, les données de plus d’un an sont supprimées automatiquement.
Le droit à l’accès des données personnelles
A partir de l’interface d’administration, vous pouvez consulter et extraire tout ou une partie de la base de traçabilité.
Le droit à la portabilité des données personnelles
Les données que vous pouvez extraire de la base de traçabilité sont au format csv et parfaitement lisibles et compréhensibles pour un usager.