TYPO3 et le RGPD, des outils de conformité clé en main !

Published

Auteur: TYPO3 Core Team
Traduit par : Rachel - W-Seils

Lire l'article complet en version originale

La communauté TYPO3 annonce une mise à jour spéciale qui offre des outils de conformité RGPD améliorés clé en main. Ces versions ont été dirigées par l'initiative GDPR, visant à faciliter la création d'applications et de sites Web TYPO3 qui assurent la protection des données personnelles par défaut et par conception.

Nous annonçons donc la sortie des mises à jour suivantes de TYPO3 :

  • TYPO3 9.2.1
  • TYPO3 8.7.14 LTS
  • TYPO3 7.6.28 LTS

Toutes ces versions sont des versions de maintenance et ne contiennent que des améliorations.

Le RGPD en bref

Les nouvelles exigences de l'Union européenne en matière de protection de la vie privée énoncées dans le Règlement général sur la protection des données (RGPD) signifient que les développeurs de sites Web et d'applications doivent fournir aux utilisateurs de meilleurs contrôles, un consentement éclairé et la protection des données. Note importante : Cet article ne constitue pas un avis juridique.

Si vous concevez et développez des applications Web qui traitent des données personnelles sensibles ou même si vous ne faites que placer des cookies pour les visiteurs du site, les règlements affectent tous les aspects de la planification et du développement. En adoptant une position proactive et défensive de "privacy by default" et "privacy by design", vous pouvez vous assurer que vos sites et applications sont conformes au RGPD. Les développeurs réfléchissent à la manière dont ils peuvent s'assurer que les données qu'ils recueillent sont minimales et stockées en toute sécurité. Ils cherchent également des moyens d'offrir de meilleurs contrôles aux utilisateurs.

Ceux qui sont responsables de la gestion des données des utilisateurs dans leurs applications considèrent qu'il s'agit d'une solution gagnant-gagnant, car elle réduira les risques à long terme et améliorera la confiance des utilisateurs dans les applications qu'ils utilisent tous les jours.  Lisez ce que vous devez savoir sur RGPD.

 

L'engagement de TYPO3 CMS en matière de protection des données

TYPO3 comportait déjà de nombreuses caractéristiques de protection de la vie privée avant que le RGPD n'entre en vigueur. En tant que communauté, nous avons toujours pris au sérieux le contrôle des utilisateurs et la confidentialité et la protection des données. Cette dernière version vous permet de construire encore plus facilement des sites Web conformes au RGPD avec TYPO3.  

Dans un récent article de Georg Ringer sur l'initiative TYPO3 RGPD, Georg Ringer a décrit certaines des caractéristiques de protection des données que TYPO3 possédait déjà. Par exemple, TYPO3 prenait déjà en charge les connexions sécurisées avec HTTPS/TLS, permettant aux administrateurs de forcer les utilisateurs à l'utiliser à la fois pour le frontend et le backend. TYPO3 a déjà employé le hachage cryptographique des mots de passe contenant des "sels" aléatoires ("mots de passe salés") pour éviter de stocker ces informations sensibles en texte clair. Vous pouvez également effacer facilement les anciens enregistrements pour effacer les données personnelles. TYPO3 CMS dispose également d'une gestion sophistiquée des utilisateurs et des groupes d'accès pour les utilisateurs backend afin de n'accorder des permissions d'accès à l'information qu'en cas de stricte nécessité.

Regardons quelques points importants de cette nouvelle versions.

Un planificateur de tâches récurrentes peut anonymiser les adresses IP après un certain temps.

Anonymisation

L'article 26 du RGPD précise que les données qui ont été rendues irréversiblement anonymes ne sont pas soumises aux principes de protection des données. Voici comment TYPO3 permet d'anonymiser les données des utilisateurs.

  • L'adresse IP peut être anonymisée par défaut. L'adresse IP complète persiste toujours dans l'enregistrement, mais ceci peut être anonymisé automatiquement. Par exemple, en utilisant les outils fournis pour anonymiser toutes les données de plus de 3 mois.
    • Les deux derniers segments des adresses IPv4 sont anonymes - par exemple 192.168.0.0.0.0.
    • Le dernier segment du préfixe IPv6 et l'identifiant réseau complet sont rendus anonymes - par exemple fe80:1234:5678:0000:0000:0000:0000:0000:0000:0000:0000:0000:000000000000
    • Adresses IP utilisées pour l'enregistrement interne des visiteurs du site Web ainsi que des éditeurs et administrateurs.
    • Adresses IP utilisées pour l'utilisation du site Web et les statistiques sur les résultats de recherche.
    • Un planificateur de tâches récurrentes peut anonymiser les adresses IP après un certain temps.
  • Utilisation des cookies
    • Les cookies ne sont utilisés par les visiteurs du site Web que lorsqu'ils sont nécessaires à l'ouverture d'une session ou à la fonctionnalité de panier d'achat - par défaut, aucun cookie n'est défini.
    • Les cookies sont configurés pour contrôler l'accès des éditeurs, administrateurs et responsables afin d'assurer une gestion appropriée des autorisations et des permissions.
  • Médias externes
    • Utilisation de "cookie-less endpoints" pour intégrer des médias provenant de sources externes.
    • En particulier, TYPO3 utilise youtube-nocookie.com pour intégrer des vidéos YouTube qui n'envoie pas de nouveaux cookies de suivi.

"Oblivion"

L'article 66 du RGPD énonce le droit d'une personne d'être oubliée et d'avoir le contrôle de ses données et le droit de les faire effacer ou supprimer.

  • TYPO3 se concentre sur la minimisation des données.
  • Les planificateurs de tâches récurrentes s'assurent que les données enregistrées sont supprimées après une période de temps donnée.
  • Par exemple, les protocoles et les journaux ne contiennent que les informations des 30 derniers jours - la période peut être configurée pour chaque projet de site Web individuel.

Couche d'extraction de données

Le RGPD affecte largement toute application qui stocke et récupère des données personnelles.

  • La vision et l'objectif à long terme de TYPO3 et de la Doctrine DBAL est d'être extensible et personnalisable.
  • La couche d'abstraction ajustée peut être étendue par des extensions de fournisseurs tiers pour protéger l'accès aux données afin d'être conforme au RGPD.
  • Ceci permet de définir des accès en lecture/écriture pour des groupes d'utilisateurs particuliers sur des données spécifiques. Par exemple, seuls les clients individuels et les membres du groupe " back office " sont autorisés à voir les détails du compte bancaire.
Module Backend montrant les enregistrements marqués et qui fournit des actions telles que la réactivation, la randomisation et la suppression.

Protection des données individuelles avec l'extension "GDPR"

Le principe essentiel du RGPD est que la protection des données est un droit fondamental des personnes physiques. Membre de la Core Team, Georg Ringer a annoncé la sortie de l'extension "TYPO3 GDPR Extension"  pour faciliter la protection des données pour les développeurs.

  • Étend les fonctionnalités de TYPO3 core API et propose à la fois une offre gratuite/de base et une offre payante/professionnelle.
  • L'offre de base comprend la possibilité d'utiliser une API qui contrôle les informations de visibilité en fonction d'un rôle particulier (propriétaire des données, visiteur du site Web, responsable de la maintenance du site Web, etc.
  • L'offre professionnelle comprend une protection sophistiquée des données ainsi que la pseudonymisation et l'anonymisation.
    • Par exemple, John Doe, en tant que client d'une entreprise, demande à être complètement supprimé du site Web et de la communauté en ligne de l'entreprise. Il pourrait être facile de supprimer tous les messages et commentaires de la section de la communauté en ligne. Cependant, l'élimination des commandes et des factures de John pourrait ne pas l'être, puisque cela est toujours nécessaire pour les processus comptables de l'entreprise. De cette façon, la pseudonymisation transforme "John Doe" en "Abcdef Ghijklm". Il s'agit d'informations qui ne contiennent plus d'informations personnelles, mais qui peuvent quand même être utilisées afin de préserver l'intégrité des données de l'ensemble de l'application.
  • L'offre professionnelle payante permet de soutenir la poursuite du développement de cette extension GDPR.
  • Informations détaillées sur gdpr.extension.support

Télécharger

TYPO3 peut être installé de différentes manières. Par exemple la manière traditionnelle en utilisant le paquet source sur get.typo3.org ou la manière moderne en mettant en place un projet en utilisant composer, pour n'en nommer que deux. De plus amples détails peuvent être trouvés dans les notes de version correspondantes :

Do you want to publish
a guest blog post?

 

Contact us

Do you want to publish
your own case study?

 

Get in touch