On dit que les cordoniers sont les plus mal chaussés, mais le consultant LEAN GDPR ne peut pas sérieusement prétendre aider ses clients à être en conformité sans l’être lui-même.

Sur ma landing page de consultant indépendant, j’avais installé un Google Analytics. Presque par habitude, sans but précis. Au cas où. Et sur mon blog, j’ai délégué les commentaire à une service tiers : Disqus. Enfin, tout cela était hébergé par gandi.net, que je viens de migrer sur AWS. OVH ne subsiste que comme registrar.

En récoltant des données à caractère personnel sur mes visiteurs, même si je n’ai aucune intention de les identifier ou de les pister, j’agis en temps que responsable de traitement et ces sociétés (Google, Disqus, AWS, OVH) sonts mes sous-traitants. Cela implique toute une série d’obligations, entre autres :

  • Fonder mon traitement sur une base légale, par exemple en obtenant un consentement explicite des visiteurs.

  • Un contrat écrit est obligatoire entre responsable du traitement et sous-traitant.

  • D’établir une plusieurs fiches de traitement.

  • Mener une analyse d’impact en cas de risque élevé (pas d’application ici).

  • Organiser des processus internes (bon, là, je suis seul à bord…​).

  • Documenter la conformité.

Le responsable du traitement ne peut se déforcer sur le sous-traitant; autrement dit, je reste responsable de la conformité de ces sous-traitants au GDPR. Peu importe que je ne sois qu’une petite société. Il m’appartient de vérifier ce qu’il en est, et d’appliquer des paramètres de gestion adéquats.

Google Analytics

Dans une approche LEAN, je me suis demandé à quoi me servait Google Analytics. En réalité, je ne me connecte jamais pour voir combien de visites ont eu lieu sur mon site. Cette information me servirait-elle à quelque chose? Non. Du coup, à quoi bon collecter des informations à caractère personnel (et alimenter le "G")?

Pas données collectées, pas de fiche de traitement, pas d’obligations GDPR.

Un problème réglé.

Disqus

Les commentaires sont mon blog étaient gérés par Disqus. En mars 2018, deux mois avant l’entrée en vigueur du GDPR, je n’avait rien trouvé de concret sur leurs intentions en la matière. J’en ai conclu que ce sujet n’intéressait pas vraiment Disqus et j’ai décidé de désactiver les commentaires, peu utilisés de toute façon. En écrivant cet article, je découvre cette mise à jour récente, mais elle arrive tardivement.

Même principe qu’avec Google Analytics. Pas de données collectées, pas de soucis GDPR. Sauf qu’en plus ici, ma confiance dans mon sous-traitant était assez faible.

Amazon Web Services

Cela n’a pas été une mince affaire, mais j’ai migré l’hébergement de mes sites vers AWS (coûts très faibles, elasticité illimitée mais courbe d’apprentissage assez rude). Le GDPR exige un contrat écrit. Il faut un peu chercher pour trouver leur DPA mais on peut mettre la main sur un contrat en bonne et due forme à imprimer, signer et retourner à AWS.

Par "écrit", il ne faut selon moi pas nécessairement un document signé de manière manuscrite par les deux parties. Une signature numérisée suffit.

16 pages de lecture tout de même, avec les inévitables tournures "Unless otherwise defined" (rolling eyes), mais tous les points prévus s’y retrouvent, en ce compris la question assez amusante des audits :

At Customer’s written request, AWS will provide Customer with a confidential Report so that Customer can reasonably verify AWS’s compliance with the security obligations under this Addendum.

J’aurais préféré pouvoir accéder directement au datacentre pour me faire une idée.

Tellement LEAN

Je lis souvent, sur des fils de discussion, qu’il suffit d’ajouter l’une ou l’autre mention sur votre site "et c’est bon". C’est aller un peu vite en besogne.

Bien sûr, ma solution plutôt radicale ne convient pas à tous le monde. Je ne l’applique d’ailleurs qu’à ma seule activité de freelance, qui se base sur mon réseau (dans la vraie vie ou sur internet mais sans fichier maison), à destination B2B, sans réel besoin de collecter des données. Rien ne vous empêche d’avoir des commentaires sur votre blog ou mettre en place un Google Analytics pour autant que vous respectiez les obligations du GDPR. La tâche est loin d’être insurmontables, mais le temps à y consacrer peut ne pas en valoir la peine.