lincnil / guide-rgpd-du-developpeur Goto Github PK

Nowadays major systems forsee an event driven architecture. This can imply unique privacy by design issue.
Anybody can help?

Bonjour,

sauf erreur, il semble qu'il y ait eu un force-push sur la branche master publique qui a réécrit son historique ? ( https://github.com/LINCnil/Guide-RGPD-du-developpeur/compare/3c01855862864870fa5a7f32a1a46324be9092ee..c3e4394117c0ad5983d8e432a4f465af7284fea0 ).

Du coup, tous les PR sont fermés (ça semble lié) et les forks desynchronisés. Enfin c'est ce que je constate de mon côté impossible de rapatrier le uspstream dans mon dépôt, d'ailleurs sur le dépôt LINCnil actuel il n'y a visiblement plus qu'un commit dans l'historique à la date d'aujourd'hui (4/02).

Bon, la bonne nouvelle, c'est que la dernière modif apparaissant dans le lien ci-dessus répond à ma question #4 Merci.

Mais sinon pour la resynchro des clones distants et les PR, il semble y avoir un souci?

Merci d'avance pour votre retour

Bonjour,

La fiche 16, pour la mesure d'audience dans le cadre du bénéfice de l'exemption de consentement, préconise de tronquer le dernier octet de l'IP. Je comprends qu'il s'agit d'IPv4

Quelle est la recommandation de la CNIL pour transposer d'un point de vue pratique les lignes directrices pour de l'IPv6? Serait-il possible de l'ajouter à la fiche?

Merci

La lisibilité du site statique sur mobile pourrait être améliorée avec une police plus grosse et des lignes plus courtes

Fiche "Fiche n°0 : Développer en conformité avec le RGPD" point N°5, la phrase

(même si celui-ci plus octroyé par la CNIL depuis l’entrée en application du RGPD)

n'est pas clair du tout.

Le label de est-il encore octroyé ou non ?

Utiliser un titre moins stéréotypé dans lequel les développeuses peuvent aussi se reconnaitre

Suggestions
Guide RGPD des développeurs et développeuses
Guide RGPD des équipes de développement

Bonjour,

Il me semble que dans le tableau des droits, le droit à l'effacement n'est pas assez nuancé. On peut toujours demandé à être effacé lorsqu'on est sous contrat et qu'on ne souhaite pas payer sa facture, mais cela ne marche pas vraiment. De la même manière, on peut également toujours demandé à être effacé d'un traitement de lutte contre la fraude, mais il faut mettre en balance les intérêts. Je propose le tableau suivant, qu'en pensez-vous?

Cordialement,
synthèse_droits-licéité-V3.docx

Une fiche devrait expliciter le besoin de demande de consentement pour les différents types de cookies. J'aurai aimé trouver cette information sur https://github.com/LINCnil/Guide-RGPD-du-developpeur/blob/master/12-Informer%20les%20utilisateurs.md par exemple.

Source: https://www.cnil.fr/fr/cookies-comment-mettre-mon-site-web-en-conformite

La documentation pointe vers les releases pour un PDF pré-généré, mais il n'est pas présent dans la release 2.1. Il est en revanche présent dans les releases précédentes.

La fiche n°11 "Tester vos applications" indique :

Tester son produit permet de s’assurer de [...] l'absence de certaines erreurs avant et après sa mise en production.

Ceci est une erreur : le 1er des 7 principes fondamentaux sur le test logiciel (ISTQB Syllabus Niveau Fondation 2018, traduction française par le CFTL, chap. 1.37 Principes sur les tests) est le suivant :

1. Les tests montrent la présence de défauts, pas leur absence

Les tests peuvent prouver la présence de défauts, mais ne peuvent pas en prouver l’absence. Les tests réduisent la probabilité que des défauts restent cachés dans le logiciel mais, même si aucun défaut n’est découvert, ce n’est pas une preuve que tout est correct.

En effet, si prouver la présence de quelque chose est assez possible, en prouver l'absence est assez malaisé dans un système complexe et conduit ici à penser que le test offre une garantie d'absence de défaut (je suppose ici que l'on ne différencie pas particulièrement "erreur" et "défaut").

On peut également citer Edgar W. Dijkstra :

"Testing can reveal the presence of errors but never their absence"
Edgar W. Dijkstra. Notes on structured programming. AcademicPress, 1972.

Exemple de reformulation en modifiant également d'autres aspects du paragraphe :

Tester son produit permet de vérifier son bon fonctionnement, s’assurer d’une bonne expérience utilisateur ainsi que de trouver et prévenir des défauts avant sa mise en production. Tester son produit permet également de réduire les risques d’atteinte aux données personnelles.

On peut compléter la fiche via la partie "1.1.1 Objectifs habituels des tests" du syllabus sur ce point.

Un grand merci pour votre travail et son partage sous licence Libre.

Il y a une inconsistance dans les tags publiés.

Bonjour,

En référence au ticket #4, pourriez-vous à nouveau expliciter l'exemptabilité de consentement de Google Analytics (gratuit & payant) ?

En effet
1/ La première version de l'article "Mesure d'audience" (disponible ici) précisait que Google Analytics n'était pas exempté et pas exemptable, car il demeurait, malgré tous les paramétrages possibles, des partages de données pour le compte de Google
"ne rentrent pas dans le périmètre de l'exemption et ce quelle que soit leur configuration**, car les fournisseurs de ces solutions indiquent réutiliser les données pour leur propre compte"

2/ Le ticket #4 (ici) demandait une clarification. La nouvelle version de l'article "Mesure d'audience" (ici et ici) mentionnait désormais :
"dans certains cas il peut être possible de configurer ces outils pour désactiver la réutilisation des données, vérifiez auprès du fournisseur de votre outil"

3/ Dans une prise de parole publique en décembre 2020 (webinaire CNIL / AT), un représentant de la CNIL précisait à nouveau que Google Analytics n'était pas exemptable, pour les mêmes raisons que celles expliquées en point 1/, à savoir qu'il existait des data sharing restants quel que soit le paramétrage :
“Allez vérifier dans les privacy policy, vous ne pouvez pas désactiver la réutilisation des données pour d’autres finalités par les opérateurs qui offrent ces services. Ils vous disent bien que même si vous désactivez le partage des données, ils vont quand même réutiliser les données pour faire autre chose.”

Quelques questions :

• Pouvez-vous expliciter à quels privacy policy vous faites référence ?
• S'il s'agit de cette page de la doc Google FR, EN, faites-vous référence à la finalité "améliorer et protéger" (en anglais "maintain and protect") ?
• S'il s'agit de cette finalité, pouvez-vous expliciter pourquoi elle sortirait du périmètre d'exemption et d'usage normal de l'outil pour le compte du client ? En effet elle concerne : "tout usage abusif, spam et logiciel malveillant, ainsi que toute autre activité dangereuse susceptible de compromettre la sécurité du programme ou de ses utilisateurs" Cette finalité semble assez classique pour tout logiciel, et rentrer dans le cadre de la fourniture du service pour le client, non pour le compte de Google.

Merci d'avance,

Charles

Je cite
"Fiche n°18 : Se prémunir contre les attaques inentificformatiques "

Hello !

Plusieurs sources utilisées semblent avoir été mises à jour au courant de l'année sans que cela soit reflété dans le guide.

Pour la partie ANSSI :

1. (Bug) Dans la partie "Bruteforce", la ressource "ANSSI : Recommandations de sécurité relatives aux mots de passe" est un lien vers l'ancien guide, qui a depuis été dé-publié,
   Page de présentation du guide le remplaçant (Avantage de cette page : le lien "Calculer la force d'un mot de passe")
   Le guide v2 (En bonus : la collaboration CNIL dans la v2 ;) )
2. (Enhancement) Le guide utilisé dans les sources "ANSSI: Recommandations pour la sécurisation des sites web" a lui aussi été mis à jour. Le périmètre du guide a cependant été modifié. Ainsi, si la section concernant la prévention contre les attaques XSS s'en retrouve plus étoffée, celle concernant les SQLi a été laissée de côté, au profil d'un lien vers les cheatsheets de l'OWASP (lien aussi référencé dans la source de l'OWASP)
   À noter cependant : même si le guide a été mis à jour, les deux versions sont toujours présentées dans les bonnes pratiques : "Sécuriser un site web"
3. (Feature/Enhancement) Dépréciation il y a quelques mois de toute la rubrique des "Notes d'information" du site du CERT-FR (Ce n'est pas en soi un problème, mais on pourrait imaginer une mention '(Non maintenu) CERT-FR: XXX' par soucis de clareté)

(Feature/Enhancement) Pour ce qui est de l'OWASP, il s'agit plus d'une question "de philosophie" que de réelle mise à jour des sources. La ressource concernant les SQLi vient du TOP10 2017; 4 ans après, elle fait toujours partie du TOP10 (2021), la mise à jour permettrait juste de rappeler que c'est toujours d'actualité (et aussi d'avoir une esthétique plus... moderne? du site source)

Merci pour tout le travail que vous avez fait et continuez à faire !

Bonjour,

Avant tout, merci pour l'élaboration de ce guide

Dans la page sur la mesure de fréquentation, il est indiqué

La plupart des grandes offres de mesures d'audience ne rentrent pas dans le périmètre de l'exemption, et ce, quelle que soit leur configuration

Ne serait-il pas possible d'être explicite sur le cas Google Analytics ? La CNIL n'a pas vocation à prescrire des solutions, certes, mais étant donné la prépondérance de GA, il serait probablement pertinent de préciser sa situation (on comprend que GA n'est pas exempté de consentement, Google étant susceptible - quelle que soit la configuration - d'utiliser des données à ses propres fins, mais cette lecture n'est sans doute pas une évidence).

Au même titre que la CNIL suggère nommément une solution compatible (Matomo anciennement Piwik - Pull Request ouvert à ce sujet pour préciser -), il serait utile de clarifier explicitement au moins le cas de Google Analytics.

Merci, et bonne journée

Le site officiel de keepass est https://keepass.info/

Le site référencé par le guide est keepass.fr.
D'après
https://www.bleepingcomputer.com/news/security/fake-websites-for-keepass-7zip-audacity-others-found-pushing-adware/
et
https://www.malekal.com/pup-sites-malveillants-pour-telecharger-keepass-qbittorrent-7-zip-inskape/

Ce site propage des malwares et autres adwares

J'ai un PR à faire si vous êtes ok.

"Fiche n°18" which deals with Howto prevent attacks should have a reference to MITRE ATT&CK framework.
MITRE ATT&CK : https://attack.mitre.org/
Many thanks

Bonjour,

Merci pour ces fiches très complètes et détaillées !
J'ai vu que ce repo utilise toujours master comme nom de branche principale. Est-il possible de changer pour main ou un autre nom ?
https://github.com/github/renaming

Bonne journée

Bonjour,

Sur une app mobile ou bien une "single page app" qui s'execute donc coté client, en cas de plantage de l'application, on remonte parfois des rapport de crashs (type d'appareil, RAM disponible, espace disque libre, stack traces de chaque thread, potentiellement couplé avec les dernières actions de l'utilisateur, ce qui aide à la correction du crash)

Est-ce que la remontée de ces données "techniques" qui sont anonymes doivent être soumises au consentement de l'utilisateur ?

Sur la page dédiée à la mesure de fréquentation, je lis "on donc passe d'un régime d'opt-in à un régime d'opt-out". (petite faute au passage)

Est-ce que ce régime d'opt-out est mieux défini quelque-part ? Par exemple je trouve que la phrase "de leur donner la faculté de s’y opposer" n'est pas assez claire. Est ce que suggérer l’utilisation d'une extension du navigateur (ex: https://tools.google.com/dlpage/gaoptout/) comme on le voit sur certains site peut suffire ?

Merci d'avance.

La base de données des faiblesses du code CWE est souvent négligée. Pourtant, il est lié au célèbre top 10 Owasp et intégré aux outils de test de sécurité des applications statiques (SAST) comme sonarqube et autres Snyks. Par conséquent, leur contribution à l'obtention d'un code de confiance dans la partie Build-Share est très importante. Il est bien sûr également important d'utiliser en permanence des outils comme Falco pour rendre les images de confiance disponibles dans le registre interne de la partie Share-Run.
https://cwe.mitre.org/data/definitions/1344.html

Bonjour,

Premièrement merci de l'initiative.

Une suggestion, il serait intéressant aussi de couvrir l'article 25
(qui a mes yeux est le plus important).

Les recommandations pour les développeurs de systèmes ou service,
sont bienvenues.

Pour ma part je peux partager quelques tips pour ce qui concerne l'IoT:

https://purl.org/rzr/privacy

When trying to access https://lincnil.github.io or https://lincnil.github.io/Guide-RGPD-du-developpeur/, I encounter the following blocks:

• When using company managed Chrome:
  

• When using Firefox
  

It seems due to internal company network restrictions, but still, maybe worth reporting here. When using company VPN instead, it works:

I am investigating internally and will report here if the issue is strictly due to our internal network.

Bonjour,
le guide mentionne LetsEncrypt comme proposition pour sécuriser simplement les services.
Au lieu de proposer ce service basé aux USA, il serait probablement préférable de mentionner des alternatives basées dans l'UE ou l'EEE et se basant aussi sur ACME.

Deux (que je n'ai pas essayés pour le moment) sont mentionnés sur european-alternatives.eu : https://european-alternatives.eu/category/acme-ssl-certificate-providers

Bonjour,

Dans le chapitre 2. Préparer son développement, section "Outils et pratiques" de la version Web publié sur le site de la CNIL.

Vous trouverez facilement sur internet des listes de bonnes pratiques pour votre langage de programmation favori. Par exempleici pour C, C++ ou Java. Pour le développement d’application web, des guides de bonnes pratiques spécifiques existent, tels que ceux publiés par l’OWASP.

Il manque un espace, de plus le lien semble dupliqué dans une version http et une https.

Cependant la version sur Github est conforme.

Vous trouverez facilement sur internet des listes de bonnes pratiques pour votre langage de programmation favori. Par exemple ici pour C, C++ ou Java. Pour le développement d’application web, des guides de bonnes pratiques spécifiques existent, tels que ceux publiés par l’OWASP.

Je ne sais pas ci ceci est lié à Pandoc ou au process de déploiement ?