Ajoute cours RGPD

src/slides/B1/rgpd.md

@@ -0,0 +1,407 @@
+---
+marp: true
+theme: catppuccin
+paginate: true
+size: 4:3
+transition: coverflow
+footer: ''
+math: katex
+lang: "fr"
+---
+
+<style>
+section {
+  font-size: 28px;
+  text-align: left
+}
+</style>
+
+
+# Protection de la vie privée et RGPD
+---
+
+## C'est quoi la vie privée ?
+
+----
+
+Wikipédia : 
+> La vie privée est la capacité, pour une personne ou pour un groupe de personnes, de s'isoler afin de protéger son bien-être.
+
+- Diffère selon les personnes et les cultures
+- Concept assez récent
+- Évolution des techniques renforce sa pertinence
+
+----
+
+- Protégé par la **Déclaration universelle des droits humains**
+- Porté dans le code civil français
+  - Mais pas de définition : seulement jurisprudence
+  - Quand même cadre légal pour :
+    - Droit à l'image
+    - Secret professionnel/médical
+    - Respect de la vie privée à l'embauche
+
+----
+
+Il faut distinguer :
+- protection de la vie privée
+- sécurité
+- anonymat
+
+----
+
+### Vie privée
+
+- Assurance que vos informations ne sont vues que par les parties (personnes physiques ou morales) autorisées (par vous-même) à les voir
+
+----
+
+### Sécurité
+
+La **sécurité** est la capacité :
+1. à faire confiance aux intermédiaires à qui vous confiez des informations
+2. à savoir que les parties impliquées sont bien celles qu'elles prétendent être
+3. et à maintenir dans le temps ces garanties
+
+----
+
+### Anonymat
+
+- L'anonymat est la capacité d'agir sans être identifiable
+  - Attention le pseudonymat n'est pas de l'anonymat
+
+---
+
+### Échelle individuelle : "Je n'ai rien à cacher"
+
+----
+
+- On a évidemment des choses à cacher : 
+  - Pourquoi vouloir cacher des choses ?
+    - contrainte sociale
+        - ex: orientation de genre ou sexuelle
+    - contrainte légale
+        - ex: désobéissance civile, fraudes...
+    - intérêts particuliers
+        - ex: problèmes de santé vs banques et assurances
+
+- Point important : en termes de vie privée on cherche souvent à se protéger soi. 
+  - Mais c'est un **effort collectif**
+  - D'où l'importance de sensibiliser, et de faire attention à la vie privée des autres
+
+----
+
+### Échelle collective : Cambridge Analytica
+
+----
+
+- Cambridge analytica : société de stratégie de communication
+  - Interventions dans des dizaines d'élections
+  - Question de souveraineté des États
+
+- Mode opératoire :
+  - Questionnaire sur réseaux sociaux 
+  - Pubs sur les réseaux sociaux en fonction des réponses
+  - Résultats de recherches Google
+  - Adaptation des discours dans les apparitions publiques
+  - 320 000 personnes ont répondu au "test de personnalité" -> 8.7 millions de personnes touchées (données entourage)
+
+---
+
+## Cadre légal : RGPD
+
+- Règlement général sur la protection des données (Europe)
+- Héritage de la loi Informatique et Libertés (1978)
+
+
+---
+
+### Informations générales
+
+---
+#### Objectifs du RGPD 
+- Protéger les données à caractère personnel des personnes physiques
+- Protéger les droits, notamment à la protection des données personnelles
+- Permettre la libre circulation des données (dans le cadre) en UE
+
+#### Champ d'application
+
+- S'applique dès que le traitement concerne un résident européen
+  - Etabli sur le territoire européen
+  - Vise à fournir biens et services à des résidents européens
+- S'applique aux responsables de traitement mais aussi aux sous-traitants
+
+---
+#### Guichet unique
+
+- Autorité de la protection des données nationale 
+  - Pour chaque état membre
+  - En France : CNIL
+- Interlocuteur unique pour tout ce qui concerne le traitement de données personnelles
+
+---
+
+### Définitions
+
+----
+
+#### Donnée personnelle
+* information se rapportant à une **personne physique** identifiable ou identifiée
+  - **directement** (nom prénom)
+  - **indirectement** (numéro d'adhérent, adresse mail, voix...)
+* Identification à partir:
+  - d'une seule donnée (numéro de sécu, ADN, ...)
+  - d'un croisement de données
+
+----
+
+#### Traitement de données personnelles
+* Toute manipulation de données est un traitement
+  - collecte, consultation, rapprochements, ...
+  - **Remarque** : informatique et papier également concernés
+  - Doit avoir un **objectif** défini
+----
+
+#### Donnée sensible
+* Liste :
+  - la prétendue origine raciale ou ethnique
+  - les opinions politiques
+  - les convictions religieuses ou philosophiques ou l’appartenance syndicale
+  - les données génétiques/biométriques
+  - les données concernant la santé 
+  - les données concernant la vie sexuelle ou l’orientation sexuelle
+
+----
+
+- Leur utilisation est en principe interdite
+  - Nécessite consentement explicite de la personne concernée
+  - Ou ensemble de conditions :
+    - fichier mis en place par organisme à but non lucratif
+    - objectif politique, religieux ou syndical
+    - se rapporte uniquement aux membres ou anciens membres de l'organisme, ou personne entretenant des contacts réguliers avec organisme en lien avec ses finalités
+    - données non communiquées en dehors de l'organisme sans accord explicite des personnes concernées
+---
+
+#### Responsable de traitement
+* Personne physique ou morale qui détermine les finalités et moyens de traitement
+  - En général personne morale incarnée par représentant légal
+  - L'entreprise par exemple
+
+---
+
+#### Sous-traitant
+* Personne physique ou morale qui traite des données pour un autre organisme
+  - Autre organisme = responsable de traitement
+  - Obligations qui doivent être présentes dans le contrat :
+    - transparence et traçabilité
+    - privacy by design
+    - obligation de garantir la sécurité des données traitées
+    - obligation d'assistance, alerte et conseil
+
+---
+
+### Grands principes
+
+----
+
+#### Principe de licéité du traitement
+  - Objectif **légal**
+  - Une des 6 **bases légales** prévue par le RGPD
+    - [l’accord libre, spécifique, éclairé et univoque](https://www.cnil.fr/fr/les-bases-legales/consentement)
+    - le respect d’une [obligation légale](https://www.cnil.fr/fr/les-bases-legales/obligation-legale)
+    - sauvegarde des intérêts vitaux d'une personne physique
+    - La [mission d'intérêt public](https://www.cnil.fr/les-bases-legales/mission-interet-public)
+    - l’[exécution du contrat](https://www.cnil.fr/fr/les-bases-legales/contrat)
+    - la satisfaction de l’[intérêt légitime](https://www.cnil.fr/fr/les-bases-legales/interet-legitime)
+    
+----
+
+#### Principe de finalité déterminée et légitime
+  - Données collectées pour un but **défini** et **légitime**, et doit être respecté
+
+----
+
+#### Principe de pertinence et de minimisation
+  - Données doivent avoir un lien **direct** avec l'objectif
+  - Elles doivent être **nécessaires**
+
+----
+
+#### Principe de transparence et de respect des droits des personnes
+  - Personnes doivent comprendre
+    - pourquoi leurs données sont collectées
+    - quels sont leurs droits
+    - Attention aux mentions obligatoires
+
+---
+
+- Personnes doivent comprendre pourquoi leurs données sont collectées et quels sont leurs droits
+    - identité de votre organisme
+    - objectif du traitement
+    - base légale (principe de licéité)
+    - caractère obligatoire de fournir l'info (et conséquences sinon)
+    - destinataires des données (à qui elles sont transmises)
+    - durée de conservation (durée pendant laquelle les données ont un intérêt, et doivent être ensuite détruites ou anonymisées)
+    - droits des personnes (accès, rectification, effacement et limitation)
+    - transferts hors UE
+    - Contact de l'éventuel DPO
+    - Droit d'effectuer une plainte auprès de la CNIL
+---
+
+- Informations doivent être accessibles au public visé, claires et transparentes
+  - Mettre infos importantes sur le formulaire et renvoyer à vos conditions
+    - responsable de traitement
+    - droits des personnes
+    - objectif du traitement
+
+---
+
+#### Principe d'une durée de conservation limitée
+- 2 phases :
+  - données nécessaire pour la gestion courante
+  - archivage intermédiaire : 
+    - intérêt administratif
+    - obligation légale
+- Ensuite :
+  - supprimer les données
+  - ou les rendre non identifiables
+
+----
+
+#### Principe de confidentialité et de sécurité
+  - Seules les personnes dont les missions le nécessitent
+  - Assurer la confidentialité et la sécurité
+
+---
+
+### Mise en conformité
+
+----
+
+#### Le DPO : délégué à la protection des données
+
+- Rôle clé dans le RGPD
+  - **Informer et conseiller** l'organisme et les employés 
+  - **Contrôler** le respect du RGPD
+  - **Interlocuteur** pour les questions liées à la protection des données personnelles
+  - **Coopérer avec la CNIL** et être le point de contact
+
+---
+
+- Quand doit-on avoir un DPO ?
+  - Autorités et organismes publics
+  - organismes dont **activités de base** mènent à un suivi régulier et à **grande échelle**
+  - traitements à grande échelle de données sensibles ou relatives à des condamnations et infractions pénales
+
+- **Activité de base** = coeur de métier
+- **Grande échelle** = pas de seuil précis, cas par cas
+---
+
+#### Constituer un registre des traitements
+- Registre qui regroupe l'ensemble des traitements de données effectués
+  - Identifier les activités qui utilisent des données personnelles (y compris des salariés)
+    - ex: recrutement, paie, formation, accès, ventes, prospection...
+  - Faire des fiches pour chaque activité
+    - Objectif poursuivi
+    - Catégories de données
+    - Qui a accès aux données
+    - Durée de conservation
+  - Garder le registre à jour
+  - Responsabilité du dirigeant de l'entreprise
+
+- [Modèle de registre des traitements](https://www.cnil.fr/sites/default/files/atoms/files/registre-traitement-simplifie.ods)
+
+---
+
+#### Informer les personnes concernées
+
+- Obligation d'informer les personnes lorsque vous collectez des données
+- Directement sur le support (formulaire, questionnaire etc..)
+- Pour les détails, voir la slide sur le principe de respect des droits et transparence
+  - [Exemples de mentions](https://www.cnil.fr/fr/passer-laction/rgpd-exemples-de-mentions-dinformation)
+
+- Permettre aux personnes d'exercer leurs droits facilement
+  - Formulaire de contact spécifique
+  - numéro de telélphone ou mail dédié
+  - Accès depuis compte utilisateur
+  - 1 mois maximum de délai de traitement
+
+---
+
+#### Sécuriser les données
+
+Principes de sécurité ionformatique :
+- Chiffrement, mots de passe sécurisés, mises à jour, sauvegardes...
+- Accès aux locaux et aux données réduits au minimum (RBAC)
+
+---
+
+- En cas de violation de données : 
+  - Prévenir la CNIL dans les 72 heures, 
+  - Si le risque est élevé, prévenir les personnes
+    - niveau de risque à déterminer en fonction :
+      - du type de violation
+      - et de la sensibilité, l'identification possible, conséquences probables pour les personnes, personnes vulnérables, mineures, nombre de personnes...
+
+---
+
+## Mise en pratique
+
+---
+### Entreprise qui vend en ligne
+
+- Site vitrine avec formulaire de contact
+  * Mention CNIL dans le formulaire de contact
+  * Moyens de contact pour exercer les droits CNIL par voie électronique
+  * Mentions pour identifier l'éditeur du sitye
+
+---
+
+- Site qui vend en ligne
+  * Sécurisation des données 
+    - https
+    - mot de passe complexe imposé à la création de compte
+    - ne pas envoyer d'infos sensibles par mail
+    - ne pas conserver de coordonnées bancaires
+    - transactions bancaires sécurisées
+  * Information des clients (page vie privée)
+  * Formulaire de contact pour les droits CNIL
+
+---
+
+- Traceurs publicitaires (cookies)
+  * Informer l'internaute
+  * obtenir son consentement **AVANT** de déposer/lire un cookie
+  * obtenir le consentement si vous utilisez des fonctionnalités offertes par d'autres prestataires
+    - Statistiques, boutons sociaux, vidéos youtube...
+
+---
+### Données des salariés
+- Vidéosurveillance sur le lieu de travail 
+  * Information des salariés + instances représentatives
+  * Consultations préalables souhaitables
+  * Intérêt légitime et transparent : limiter les vols (pas d'objectifs cachés)
+  * On ne surveille pas en continu un poste de travail
+
+---
+### Registre des traitements
+
+Prenez votre entreprise (ou un exemple de votre choix) :
+- Lister les activités nécessitant des données personnelles
+- Choisir une activité et remplir la fiche de registre RGPD
+  - Expliquer les informations remplies et les choix retenus
+  - Ajouter si vous le souhaitez des commentaires/avis sur les mesures de sécurité
+
+---
+
+## Aller plus loin
+
+- [RGPD](https://www.cnil.fr/fr/reglement-europeen-protection-donnees)
+- [RGPD - De quoi parle-t-on ?](https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on)
+- [RGPD - Grands principes](https://www.cnil.fr/fr/comprendre-le-rgpd/les-six-grands-principes-du-rgpd)
+- [Transférer des données hors UE](https://www.cnil.fr/fr/les-outils-de-la-conformite/transferer-des-donnees-hors-de-lue)
+
+Fiches pratiques :
+    - [Vente en ligne](https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_fiche-1_que-faire-quand-votre-entreprise-communique-vend-en-ligne.pdf)
+    - [Relation client](https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_fiche_2_ameliorez-maitrisez-votre-relation-client_0.pdf)
+    - [Données des collaborateurices](https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_fiche_3_protegez-les-donnees-de-vos-collaborateurs.pdf)