11 février 2018

RGPD et JeValide

Bonjour,

Mercredi matin j'ai reçu un message du Directeur du DSI (Direction des Systèmes d'Information) m'indiquant qu'il allait emettre un avis défavorable à l'utilisation de JeValide. J'ai répondu a son message en indiquant que je pouvais modifier l'application pour me conformer à ses recommendations, et on m'a alors mis en contact avec un ingénieur en Sécurité et Gestion des cyber-risques de l'académie de Versaille.

L'AC-Versaille dans l'après midi de mercredi a publié l'article avec l'avis défavorable.

Beaucoup de directeurs d'écoles et d'enseignants on été affolés par cet article, j'ai essayé d'éteindre le feu en communiquant sur Twitter et FaceBook, et maintenant avec cet article.

JeValide

Le principal problème soulevé avec JeValide est que la fiche des élèves comprend des données qui ne sont pas utiles à l'application elle-même. Cela est lié au fait que la fiche élève est utilisée avec le partage de la base des élèves sur plusieurs applications. Ainsi la date de naissance de l'enfant est utile dans ABC-Calendrier pour afficher les anniverssaires, mais n'est pas utile dans JeValide.

J'ai donc créé une nouvelle option "conformité au RGPD" activé par défaut qui enlève (dans JeValide) tous les champs de la fiche élève à part le nom, le prénom, et les emails des contacts. Je discute actuellement avec mon contact sur la pertinance des emails (sachant qu'évidemment, l'envoi de mail pose des problèmes de sécurité des données).

Cette version de JeValide (la 2.44) est maintenant disponible. Si vous ne souhaitez pas cette conformité à la RGPD, vous pouvez désactiver l'option dans l'onglet Avancé de l'espace professeur de JeValide.

Il est évidemment possible que les modifications de cette version ne soit pas suffisantes, auquel cas je ferai des mises à jour jusqu'à ce que cet avis négatif soit levé.

Il est évident aussi, que je vais devoir mettre à jour toutes mes autres applications utilisant les fiches élèves afin de limiter celles-ci à l'essentiel. Ayant une trentaine d'applications utilisant les fiches élèves, ces mises à jour seront chronophages, tout en n'apportant aucune fonctionnalité...

RGPD

La protection des données personnelles semble de plus en plus inquiéter nos gouvernants. La Réglementation Générale sur la Protection des Données va être mise en place le 25 mai 2018 et va impacter toutes les entreprises, associations, et administration de l'Union Européenne. L'article I du RGPD dit :

    Article premier : Objet et objectifs
  1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
  2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
  3. La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

On le voit ici, le but de ce nouveau règlement est double. Premièrement, protéger les données des personnes physiques, deuxièmement, donner le cadre qui permettra la libre circulation de ces mêmes données entre les entreprises et entre les administrations des différents pays de l'union...

    Article 3 : Champ d'application territorial
  1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.

... et même des pays tiers. Le but est de permettre aux grandes entreprises étrangères de gérer des données personnelles de citoyens de l'union européenne. Il n'y aura donc plus de problème avec le lieu d'hébergement des données (qui devait être sur le terroitoire français jusque là). Google, Apple et FaceBook, si ils respectent ce règlement pourront donc en toute légalité faire des traitements sur vos données personnelles et même les échanger librement entre eux.

En réalité, mes applications ne sont que peu concernées par ce règlement. N'étant pas un service en réseau - je ne traite pas les données mais offre des outils hors ligne - toutes les problématiques concernant l'échange de données entre entités ne nous concernent pas directement. Cependant nous traitons effectivement de données personnelles, et le transfert de mail au parents est un trou de sécurité puisqu'il y a transfert de données sur Internet. Il est cependant difficile d'offrir quelque chose de plus sécurisé que ce que je vous offre. Toutes les sociétés offrant leur service en ligne ne proposent en réalité qu'une sécurité basée sur la confiance en elles, car les données sont forcément contenues sur leurs appareils et sont aussi forcément accessibles à au moins une partie de leur personnel. Les fuites des courriers diplomatiques ont montré à quel point cette sécurité est illusoire même avec des sécurités mises en place par des services étatiques.

De plus, il semblerait que je puisse être tenu responsable de l'étude de la protection des données avec mes applications.

    Article 24 : Responsabilité du responsable du traitement
  1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

Le fait que je sois ou non le responsable du traitement est sujet à cautions, mes applications sont en effet l'equivalent d'un logiciel comme Excel où vous remplissez ce que vous voulez. Je ne pense pas que Microsoft soit considéré comme le responsable des traitements, mais ce serait plutôt l'utilisateur du logiciel. Comme aucune donnée ne transite par mes appareils, je n'effectue en mon nom aucun traitement de données. Je n'ai même pas la liste de mes clients qui est gardée précieusement par Apple.

Cependant, je vais m'atteler à la tâche de faire un document décrivant l'ensemble des traitements effectués par mes applications, les formats de données utilisées afin de permettre une interropérabilité avec d'autres sociétés, et des conseils en sécurité concernant l'utilisation de mes applications dans le cadre de ce règlement. Vous comprendrez que ce ou plutôt ces trois documents prennent du temps à écrire, et je vais donc devoir prendre du temps sur les développements pour cela. C'est cependant l'occasion de faire un état des lieux intéressant et qui je pense sera utile.

Emmanuel CROMBEZ