lincnil / guide-rgpd-du-developpeur Goto Github PK
View Code? Open in Web Editor NEWLa CNIL publie un guide RGPD pour les développeurs
Home Page: https://lincnil.github.io/Guide-RGPD-du-developpeur/
License: GNU General Public License v3.0
La CNIL publie un guide RGPD pour les développeurs
Home Page: https://lincnil.github.io/Guide-RGPD-du-developpeur/
License: GNU General Public License v3.0
Nowadays major systems forsee an event driven architecture. This can imply unique privacy by design issue.
Anybody can help?
Bonjour,
sauf erreur, il semble qu'il y ait eu un force-push sur la branche master publique qui a réécrit son historique ? ( https://github.com/LINCnil/Guide-RGPD-du-developpeur/compare/3c01855862864870fa5a7f32a1a46324be9092ee..c3e4394117c0ad5983d8e432a4f465af7284fea0 ).
Du coup, tous les PR sont fermés (ça semble lié) et les forks desynchronisés. Enfin c'est ce que je constate de mon côté impossible de rapatrier le uspstream dans mon dépôt, d'ailleurs sur le dépôt LINCnil actuel il n'y a visiblement plus qu'un commit dans l'historique à la date d'aujourd'hui (4/02).
Bon, la bonne nouvelle, c'est que la dernière modif apparaissant dans le lien ci-dessus répond à ma question #4 Merci.
Mais sinon pour la resynchro des clones distants et les PR, il semble y avoir un souci?
Merci d'avance pour votre retour
Bonjour,
La fiche 16, pour la mesure d'audience dans le cadre du bénéfice de l'exemption de consentement, préconise de tronquer le dernier octet de l'IP. Je comprends qu'il s'agit d'IPv4
Quelle est la recommandation de la CNIL pour transposer d'un point de vue pratique les lignes directrices pour de l'IPv6? Serait-il possible de l'ajouter à la fiche?
Merci
Fiche "Fiche n°0 : Développer en conformité avec le RGPD" point N°5, la phrase
(même si celui-ci plus octroyé par la CNIL depuis l’entrée en application du RGPD)
n'est pas clair du tout.
Le label de est-il encore octroyé ou non ?
Utiliser un titre moins stéréotypé dans lequel les développeuses peuvent aussi se reconnaitre
Suggestions
Guide RGPD des développeurs et développeuses
Guide RGPD des équipes de développement
Bonjour,
Il me semble que dans le tableau des droits, le droit à l'effacement n'est pas assez nuancé. On peut toujours demandé à être effacé lorsqu'on est sous contrat et qu'on ne souhaite pas payer sa facture, mais cela ne marche pas vraiment. De la même manière, on peut également toujours demandé à être effacé d'un traitement de lutte contre la fraude, mais il faut mettre en balance les intérêts. Je propose le tableau suivant, qu'en pensez-vous?
Cordialement,
synthèse_droits-licéité-V3.docx
Une fiche devrait expliciter le besoin de demande de consentement pour les différents types de cookies. J'aurai aimé trouver cette information sur https://github.com/LINCnil/Guide-RGPD-du-developpeur/blob/master/12-Informer%20les%20utilisateurs.md par exemple.
Source: https://www.cnil.fr/fr/cookies-comment-mettre-mon-site-web-en-conformite
La documentation pointe vers les releases pour un PDF pré-généré, mais il n'est pas présent dans la release 2.1. Il est en revanche présent dans les releases précédentes.
La fiche n°11 "Tester vos applications" indique :
Tester son produit permet de s’assurer de [...] l'absence de certaines erreurs avant et après sa mise en production.
Ceci est une erreur : le 1er des 7 principes fondamentaux sur le test logiciel (ISTQB Syllabus Niveau Fondation 2018, traduction française par le CFTL, chap. 1.37 Principes sur les tests) est le suivant :
- Les tests montrent la présence de défauts, pas leur absence
Les tests peuvent prouver la présence de défauts, mais ne peuvent pas en prouver l’absence. Les tests réduisent la probabilité que des défauts restent cachés dans le logiciel mais, même si aucun défaut n’est découvert, ce n’est pas une preuve que tout est correct.
En effet, si prouver la présence de quelque chose est assez possible, en prouver l'absence est assez malaisé dans un système complexe et conduit ici à penser que le test offre une garantie d'absence de défaut (je suppose ici que l'on ne différencie pas particulièrement "erreur" et "défaut").
On peut également citer Edgar W. Dijkstra :
"Testing can reveal the presence of errors but never their absence"
Edgar W. Dijkstra. Notes on structured programming. AcademicPress, 1972.
Exemple de reformulation en modifiant également d'autres aspects du paragraphe :
Tester son produit permet de vérifier son bon fonctionnement, s’assurer d’une bonne expérience utilisateur ainsi que de trouver et prévenir des défauts avant sa mise en production. Tester son produit permet également de réduire les risques d’atteinte aux données personnelles.
On peut compléter la fiche via la partie "1.1.1 Objectifs habituels des tests" du syllabus sur ce point.
Un grand merci pour votre travail et son partage sous licence Libre.
Bonjour,
En référence au ticket #4, pourriez-vous à nouveau expliciter l'exemptabilité de consentement de Google Analytics (gratuit & payant) ?
En effet
1/ La première version de l'article "Mesure d'audience" (disponible ici) précisait que Google Analytics n'était pas exempté et pas exemptable, car il demeurait, malgré tous les paramétrages possibles, des partages de données pour le compte de Google
"ne rentrent pas dans le périmètre de l'exemption et ce quelle que soit leur configuration**, car les fournisseurs de ces solutions indiquent réutiliser les données pour leur propre compte"
2/ Le ticket #4 (ici) demandait une clarification. La nouvelle version de l'article "Mesure d'audience" (ici et ici) mentionnait désormais :
"dans certains cas il peut être possible de configurer ces outils pour désactiver la réutilisation des données, vérifiez auprès du fournisseur de votre outil"
3/ Dans une prise de parole publique en décembre 2020 (webinaire CNIL / AT), un représentant de la CNIL précisait à nouveau que Google Analytics n'était pas exemptable, pour les mêmes raisons que celles expliquées en point 1/, à savoir qu'il existait des data sharing restants quel que soit le paramétrage :
“Allez vérifier dans les privacy policy, vous ne pouvez pas désactiver la réutilisation des données pour d’autres finalités par les opérateurs qui offrent ces services. Ils vous disent bien que même si vous désactivez le partage des données, ils vont quand même réutiliser les données pour faire autre chose.”
Quelques questions :
Merci d'avance,
Charles
Hello !
Plusieurs sources utilisées semblent avoir été mises à jour au courant de l'année sans que cela soit reflété dans le guide.
Pour la partie ANSSI :
(Feature/Enhancement) Pour ce qui est de l'OWASP, il s'agit plus d'une question "de philosophie" que de réelle mise à jour des sources. La ressource concernant les SQLi vient du TOP10 2017; 4 ans après, elle fait toujours partie du TOP10 (2021), la mise à jour permettrait juste de rappeler que c'est toujours d'actualité (et aussi d'avoir une esthétique plus... moderne? du site source)
Merci pour tout le travail que vous avez fait et continuez à faire !
Bonjour,
Avant tout, merci pour l'élaboration de ce guide
Dans la page sur la mesure de fréquentation, il est indiqué
La plupart des grandes offres de mesures d'audience ne rentrent pas dans le périmètre de l'exemption, et ce, quelle que soit leur configuration
Ne serait-il pas possible d'être explicite sur le cas Google Analytics ? La CNIL n'a pas vocation à prescrire des solutions, certes, mais étant donné la prépondérance de GA, il serait probablement pertinent de préciser sa situation (on comprend que GA n'est pas exempté de consentement, Google étant susceptible - quelle que soit la configuration - d'utiliser des données à ses propres fins, mais cette lecture n'est sans doute pas une évidence).
Au même titre que la CNIL suggère nommément une solution compatible (Matomo anciennement Piwik - Pull Request ouvert à ce sujet pour préciser -), il serait utile de clarifier explicitement au moins le cas de Google Analytics.
Merci, et bonne journée
Le site officiel de keepass est https://keepass.info/
Le site référencé par le guide est keepass.fr.
D'après
https://www.bleepingcomputer.com/news/security/fake-websites-for-keepass-7zip-audacity-others-found-pushing-adware/
et
https://www.malekal.com/pup-sites-malveillants-pour-telecharger-keepass-qbittorrent-7-zip-inskape/
Ce site propage des malwares et autres adwares
J'ai un PR à faire si vous êtes ok.
"Fiche n°18" which deals with Howto prevent attacks should have a reference to MITRE ATT&CK framework.
MITRE ATT&CK : https://attack.mitre.org/
Many thanks
Bonjour,
Merci pour ces fiches très complètes et détaillées !
J'ai vu que ce repo utilise toujours master
comme nom de branche principale. Est-il possible de changer pour main
ou un autre nom ?
https://github.com/github/renaming
Bonne journée
Bonjour,
Sur une app mobile ou bien une "single page app" qui s'execute donc coté client, en cas de plantage de l'application, on remonte parfois des rapport de crashs (type d'appareil, RAM disponible, espace disque libre, stack traces de chaque thread, potentiellement couplé avec les dernières actions de l'utilisateur, ce qui aide à la correction du crash)
Est-ce que la remontée de ces données "techniques" qui sont anonymes doivent être soumises au consentement de l'utilisateur ?
Sur la page dédiée à la mesure de fréquentation, je lis "on donc passe d'un régime d'opt-in à un régime d'opt-out". (petite faute au passage)
Est-ce que ce régime d'opt-out est mieux défini quelque-part ? Par exemple je trouve que la phrase "de leur donner la faculté de s’y opposer" n'est pas assez claire. Est ce que suggérer l’utilisation d'une extension du navigateur (ex: https://tools.google.com/dlpage/gaoptout/) comme on le voit sur certains site peut suffire ?
Merci d'avance.
La base de données des faiblesses du code CWE est souvent négligée. Pourtant, il est lié au célèbre top 10 Owasp et intégré aux outils de test de sécurité des applications statiques (SAST) comme sonarqube et autres Snyks. Par conséquent, leur contribution à l'obtention d'un code de confiance dans la partie Build-Share est très importante. Il est bien sûr également important d'utiliser en permanence des outils comme Falco pour rendre les images de confiance disponibles dans le registre interne de la partie Share-Run.
https://cwe.mitre.org/data/definitions/1344.html
Bonjour,
Premièrement merci de l'initiative.
Une suggestion, il serait intéressant aussi de couvrir l'article 25
(qui a mes yeux est le plus important).
Les recommandations pour les développeurs de systèmes ou service,
sont bienvenues.
Pour ma part je peux partager quelques tips pour ce qui concerne l'IoT:
When trying to access https://lincnil.github.io or https://lincnil.github.io/Guide-RGPD-du-developpeur/, I encounter the following blocks:
It seems due to internal company network restrictions, but still, maybe worth reporting here. When using company VPN instead, it works:
I am investigating internally and will report here if the issue is strictly due to our internal network.
Bonjour,
le guide mentionne LetsEncrypt comme proposition pour sécuriser simplement les services.
Au lieu de proposer ce service basé aux USA, il serait probablement préférable de mentionner des alternatives basées dans l'UE ou l'EEE et se basant aussi sur ACME.
Deux (que je n'ai pas essayés pour le moment) sont mentionnés sur european-alternatives.eu : https://european-alternatives.eu/category/acme-ssl-certificate-providers
Bonjour,
Dans le chapitre 2. Préparer son développement, section "Outils et pratiques" de la version Web publié sur le site de la CNIL.
Vous trouverez facilement sur internet des listes de bonnes pratiques pour votre langage de programmation favori. Par exempleici pour C, C++ ou Java. Pour le développement d’application web, des guides de bonnes pratiques spécifiques existent, tels que ceux publiés par l’OWASP.
Il manque un espace, de plus le lien semble dupliqué dans une version http et une https.
Cependant la version sur Github est conforme.
Vous trouverez facilement sur internet des listes de bonnes pratiques pour votre langage de programmation favori. Par exemple ici pour C, C++ ou Java. Pour le développement d’application web, des guides de bonnes pratiques spécifiques existent, tels que ceux publiés par l’OWASP.
Je ne sais pas ci ceci est lié à Pandoc ou au process de déploiement ?
A declarative, efficient, and flexible JavaScript library for building user interfaces.
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
An Open Source Machine Learning Framework for Everyone
The Web framework for perfectionists with deadlines.
A PHP framework for web artisans
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
Some thing interesting about web. New door for the world.
A server is a program made to process requests and deliver data to clients.
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
Some thing interesting about visualization, use data art
Some thing interesting about game, make everyone happy.
We are working to build community through open source technology. NB: members must have two-factor auth.
Open source projects and samples from Microsoft.
Google ❤️ Open Source for everyone.
Alibaba Open Source for everyone
Data-Driven Documents codes.
China tencent open source team.