diff --git a/src/slides/B1/rgpd.md b/src/slides/B1/rgpd.md new file mode 100644 index 0000000..74b4931 --- /dev/null +++ b/src/slides/B1/rgpd.md @@ -0,0 +1,407 @@ +--- +marp: true +theme: catppuccin +paginate: true +size: 4:3 +transition: coverflow +footer: '' +math: katex +lang: "fr" +--- + + + + +# Protection de la vie privée et RGPD +--- + +## C'est quoi la vie privée ? + +---- + +Wikipédia : +> La vie privée est la capacité, pour une personne ou pour un groupe de personnes, de s'isoler afin de protéger son bien-être. + +- Diffère selon les personnes et les cultures +- Concept assez récent +- Évolution des techniques renforce sa pertinence + +---- + +- Protégé par la **Déclaration universelle des droits humains** +- Porté dans le code civil français + - Mais pas de définition : seulement jurisprudence + - Quand même cadre légal pour : + - Droit à l'image + - Secret professionnel/médical + - Respect de la vie privée à l'embauche + +---- + +Il faut distinguer : +- protection de la vie privée +- sécurité +- anonymat + +---- + +### Vie privée + +- Assurance que vos informations ne sont vues que par les parties (personnes physiques ou morales) autorisées (par vous-même) à les voir + +---- + +### Sécurité + +La **sécurité** est la capacité : +1. à faire confiance aux intermédiaires à qui vous confiez des informations +2. à savoir que les parties impliquées sont bien celles qu'elles prétendent être +3. et à maintenir dans le temps ces garanties + +---- + +### Anonymat + +- L'anonymat est la capacité d'agir sans être identifiable + - Attention le pseudonymat n'est pas de l'anonymat + +--- + +### Échelle individuelle : "Je n'ai rien à cacher" + +---- + +- On a évidemment des choses à cacher : + - Pourquoi vouloir cacher des choses ? + - contrainte sociale + - ex: orientation de genre ou sexuelle + - contrainte légale + - ex: désobéissance civile, fraudes... + - intérêts particuliers + - ex: problèmes de santé vs banques et assurances + +- Point important : en termes de vie privée on cherche souvent à se protéger soi. + - Mais c'est un **effort collectif** + - D'où l'importance de sensibiliser, et de faire attention à la vie privée des autres + +---- + +### Échelle collective : Cambridge Analytica + +---- + +- Cambridge analytica : société de stratégie de communication + - Interventions dans des dizaines d'élections + - Question de souveraineté des États + +- Mode opératoire : + - Questionnaire sur réseaux sociaux + - Pubs sur les réseaux sociaux en fonction des réponses + - Résultats de recherches Google + - Adaptation des discours dans les apparitions publiques + - 320 000 personnes ont répondu au "test de personnalité" -> 8.7 millions de personnes touchées (données entourage) + +--- + +## Cadre légal : RGPD + +- Règlement général sur la protection des données (Europe) +- Héritage de la loi Informatique et Libertés (1978) + + +--- + +### Informations générales + +--- +#### Objectifs du RGPD +- Protéger les données à caractère personnel des personnes physiques +- Protéger les droits, notamment à la protection des données personnelles +- Permettre la libre circulation des données (dans le cadre) en UE + +#### Champ d'application + +- S'applique dès que le traitement concerne un résident européen + - Etabli sur le territoire européen + - Vise à fournir biens et services à des résidents européens +- S'applique aux responsables de traitement mais aussi aux sous-traitants + +--- +#### Guichet unique + +- Autorité de la protection des données nationale + - Pour chaque état membre + - En France : CNIL +- Interlocuteur unique pour tout ce qui concerne le traitement de données personnelles + +--- + +### Définitions + +---- + +#### Donnée personnelle +* information se rapportant à une **personne physique** identifiable ou identifiée + - **directement** (nom prénom) + - **indirectement** (numéro d'adhérent, adresse mail, voix...) +* Identification à partir: + - d'une seule donnée (numéro de sécu, ADN, ...) + - d'un croisement de données + +---- + +#### Traitement de données personnelles +* Toute manipulation de données est un traitement + - collecte, consultation, rapprochements, ... + - **Remarque** : informatique et papier également concernés + - Doit avoir un **objectif** défini +---- + +#### Donnée sensible +* Liste : + - la prétendue origine raciale ou ethnique + - les opinions politiques + - les convictions religieuses ou philosophiques ou l’appartenance syndicale + - les données génétiques/biométriques + - les données concernant la santé + - les données concernant la vie sexuelle ou l’orientation sexuelle + +---- + +- Leur utilisation est en principe interdite + - Nécessite consentement explicite de la personne concernée + - Ou ensemble de conditions : + - fichier mis en place par organisme à but non lucratif + - objectif politique, religieux ou syndical + - se rapporte uniquement aux membres ou anciens membres de l'organisme, ou personne entretenant des contacts réguliers avec organisme en lien avec ses finalités + - données non communiquées en dehors de l'organisme sans accord explicite des personnes concernées +--- + +#### Responsable de traitement +* Personne physique ou morale qui détermine les finalités et moyens de traitement + - En général personne morale incarnée par représentant légal + - L'entreprise par exemple + +--- + +#### Sous-traitant +* Personne physique ou morale qui traite des données pour un autre organisme + - Autre organisme = responsable de traitement + - Obligations qui doivent être présentes dans le contrat : + - transparence et traçabilité + - privacy by design + - obligation de garantir la sécurité des données traitées + - obligation d'assistance, alerte et conseil + +--- + +### Grands principes + +---- + +#### Principe de licéité du traitement + - Objectif **légal** + - Une des 6 **bases légales** prévue par le RGPD + - [l’accord libre, spécifique, éclairé et univoque](https://www.cnil.fr/fr/les-bases-legales/consentement) + - le respect d’une [obligation légale](https://www.cnil.fr/fr/les-bases-legales/obligation-legale) + - sauvegarde des intérêts vitaux d'une personne physique + - La [mission d'intérêt public](https://www.cnil.fr/les-bases-legales/mission-interet-public) + - l’[exécution du contrat](https://www.cnil.fr/fr/les-bases-legales/contrat) + - la satisfaction de l’[intérêt légitime](https://www.cnil.fr/fr/les-bases-legales/interet-legitime) + +---- + +#### Principe de finalité déterminée et légitime + - Données collectées pour un but **défini** et **légitime**, et doit être respecté + +---- + +#### Principe de pertinence et de minimisation + - Données doivent avoir un lien **direct** avec l'objectif + - Elles doivent être **nécessaires** + +---- + +#### Principe de transparence et de respect des droits des personnes + - Personnes doivent comprendre + - pourquoi leurs données sont collectées + - quels sont leurs droits + - Attention aux mentions obligatoires + +--- + +- Personnes doivent comprendre pourquoi leurs données sont collectées et quels sont leurs droits + - identité de votre organisme + - objectif du traitement + - base légale (principe de licéité) + - caractère obligatoire de fournir l'info (et conséquences sinon) + - destinataires des données (à qui elles sont transmises) + - durée de conservation (durée pendant laquelle les données ont un intérêt, et doivent être ensuite détruites ou anonymisées) + - droits des personnes (accès, rectification, effacement et limitation) + - transferts hors UE + - Contact de l'éventuel DPO + - Droit d'effectuer une plainte auprès de la CNIL +--- + +- Informations doivent être accessibles au public visé, claires et transparentes + - Mettre infos importantes sur le formulaire et renvoyer à vos conditions + - responsable de traitement + - droits des personnes + - objectif du traitement + +--- + +#### Principe d'une durée de conservation limitée +- 2 phases : + - données nécessaire pour la gestion courante + - archivage intermédiaire : + - intérêt administratif + - obligation légale +- Ensuite : + - supprimer les données + - ou les rendre non identifiables + +---- + +#### Principe de confidentialité et de sécurité + - Seules les personnes dont les missions le nécessitent + - Assurer la confidentialité et la sécurité + +--- + +### Mise en conformité + +---- + +#### Le DPO : délégué à la protection des données + +- Rôle clé dans le RGPD + - **Informer et conseiller** l'organisme et les employés + - **Contrôler** le respect du RGPD + - **Interlocuteur** pour les questions liées à la protection des données personnelles + - **Coopérer avec la CNIL** et être le point de contact + +--- + +- Quand doit-on avoir un DPO ? + - Autorités et organismes publics + - organismes dont **activités de base** mènent à un suivi régulier et à **grande échelle** + - traitements à grande échelle de données sensibles ou relatives à des condamnations et infractions pénales + +- **Activité de base** = coeur de métier +- **Grande échelle** = pas de seuil précis, cas par cas +--- + +#### Constituer un registre des traitements +- Registre qui regroupe l'ensemble des traitements de données effectués + - Identifier les activités qui utilisent des données personnelles (y compris des salariés) + - ex: recrutement, paie, formation, accès, ventes, prospection... + - Faire des fiches pour chaque activité + - Objectif poursuivi + - Catégories de données + - Qui a accès aux données + - Durée de conservation + - Garder le registre à jour + - Responsabilité du dirigeant de l'entreprise + +- [Modèle de registre des traitements](https://www.cnil.fr/sites/default/files/atoms/files/registre-traitement-simplifie.ods) + +--- + +#### Informer les personnes concernées + +- Obligation d'informer les personnes lorsque vous collectez des données +- Directement sur le support (formulaire, questionnaire etc..) +- Pour les détails, voir la slide sur le principe de respect des droits et transparence + - [Exemples de mentions](https://www.cnil.fr/fr/passer-laction/rgpd-exemples-de-mentions-dinformation) + +- Permettre aux personnes d'exercer leurs droits facilement + - Formulaire de contact spécifique + - numéro de telélphone ou mail dédié + - Accès depuis compte utilisateur + - 1 mois maximum de délai de traitement + +--- + +#### Sécuriser les données + +Principes de sécurité ionformatique : +- Chiffrement, mots de passe sécurisés, mises à jour, sauvegardes... +- Accès aux locaux et aux données réduits au minimum (RBAC) + +--- + +- En cas de violation de données : + - Prévenir la CNIL dans les 72 heures, + - Si le risque est élevé, prévenir les personnes + - niveau de risque à déterminer en fonction : + - du type de violation + - et de la sensibilité, l'identification possible, conséquences probables pour les personnes, personnes vulnérables, mineures, nombre de personnes... + +--- + +## Mise en pratique + +--- +### Entreprise qui vend en ligne + +- Site vitrine avec formulaire de contact + * Mention CNIL dans le formulaire de contact + * Moyens de contact pour exercer les droits CNIL par voie électronique + * Mentions pour identifier l'éditeur du sitye + +--- + +- Site qui vend en ligne + * Sécurisation des données + - https + - mot de passe complexe imposé à la création de compte + - ne pas envoyer d'infos sensibles par mail + - ne pas conserver de coordonnées bancaires + - transactions bancaires sécurisées + * Information des clients (page vie privée) + * Formulaire de contact pour les droits CNIL + +--- + +- Traceurs publicitaires (cookies) + * Informer l'internaute + * obtenir son consentement **AVANT** de déposer/lire un cookie + * obtenir le consentement si vous utilisez des fonctionnalités offertes par d'autres prestataires + - Statistiques, boutons sociaux, vidéos youtube... + +--- +### Données des salariés +- Vidéosurveillance sur le lieu de travail + * Information des salariés + instances représentatives + * Consultations préalables souhaitables + * Intérêt légitime et transparent : limiter les vols (pas d'objectifs cachés) + * On ne surveille pas en continu un poste de travail + +--- +### Registre des traitements + +Prenez votre entreprise (ou un exemple de votre choix) : +- Lister les activités nécessitant des données personnelles +- Choisir une activité et remplir la fiche de registre RGPD + - Expliquer les informations remplies et les choix retenus + - Ajouter si vous le souhaitez des commentaires/avis sur les mesures de sécurité + +--- + +## Aller plus loin + +- [RGPD](https://www.cnil.fr/fr/reglement-europeen-protection-donnees) +- [RGPD - De quoi parle-t-on ?](https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on) +- [RGPD - Grands principes](https://www.cnil.fr/fr/comprendre-le-rgpd/les-six-grands-principes-du-rgpd) +- [Transférer des données hors UE](https://www.cnil.fr/fr/les-outils-de-la-conformite/transferer-des-donnees-hors-de-lue) + +Fiches pratiques : + - [Vente en ligne](https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_fiche-1_que-faire-quand-votre-entreprise-communique-vend-en-ligne.pdf) + - [Relation client](https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_fiche_2_ameliorez-maitrisez-votre-relation-client_0.pdf) + - [Données des collaborateurices](https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_fiche_3_protegez-les-donnees-de-vos-collaborateurs.pdf) \ No newline at end of file