Ungol/ciel-b1
1
0
Fork 0
Code Issues 1 Pull requests Projects Releases Packages Wiki Activity Actions
ciel-b1/src/slides/B1/rgpd.md

13 KiB
Raw Blame History

marp theme paginate size transition footer math lang
true catppuccin true 4:3 coverflow katex fr

Protection de la vie privée et RGPD

C'est quoi la vie privée ?

Wikipédia :

La vie privée est la capacité, pour une personne ou pour un groupe de personnes, de s'isoler afin de protéger son bien-être.

  • Diffère selon les personnes et les cultures
  • Concept assez récent
  • Évolution des techniques renforce sa pertinence
  • Protégé par la Déclaration universelle des droits humains
  • Porté dans le code civil français
    • Mais pas de définition : seulement jurisprudence
    • Quand même cadre légal pour :
      • Droit à l'image
      • Secret professionnel/médical
      • Respect de la vie privée à l'embauche

Il faut distinguer :

  • protection de la vie privée
  • sécurité
  • anonymat

Vie privée

  • Assurance que vos informations ne sont vues que par les parties (personnes physiques ou morales) autorisées (par vous-même) à les voir

Sécurité

La sécurité est la capacité :

  1. à faire confiance aux intermédiaires à qui vous confiez des informations
  2. à savoir que les parties impliquées sont bien celles qu'elles prétendent être
  3. et à maintenir dans le temps ces garanties

Anonymat

  • L'anonymat est la capacité d'agir sans être identifiable
    • Attention le pseudonymat n'est pas de l'anonymat

Échelle individuelle : "Je n'ai rien à cacher"

  • On a évidemment des choses à cacher :

    • Pourquoi vouloir cacher des choses ?
      • contrainte sociale
        • ex: orientation de genre ou sexuelle
      • contrainte légale
        • ex: désobéissance civile, fraudes...
      • intérêts particuliers
        • ex: problèmes de santé vs banques et assurances

  • Point important : en termes de vie privée on cherche souvent à se protéger soi.

    • Mais c'est un effort collectif
    • D'où l'importance de sensibiliser, et de faire attention à la vie privée des autres

Échelle collective : Cambridge Analytica

  • Cambridge analytica : société de stratégie de communication

    • Interventions dans des dizaines d'élections
    • Question de souveraineté des États

  • Mode opératoire :

    • Questionnaire sur réseaux sociaux
    • Pubs sur les réseaux sociaux en fonction des réponses
    • Résultats de recherches Google
    • Adaptation des discours dans les apparitions publiques
    • 320 000 personnes ont répondu au "test de personnalité" -> 8.7 millions de personnes touchées (données entourage)

Cadre légal : RGPD

  • Règlement général sur la protection des données (Europe)
  • Héritage de la loi Informatique et Libertés (1978)

Informations générales

Objectifs du RGPD

  • Protéger les données à caractère personnel des personnes physiques
  • Protéger les droits, notamment à la protection des données personnelles
  • Permettre la libre circulation des données (dans le cadre) en UE

Champ d'application

  • S'applique dès que le traitement concerne un résident européen
    • Etabli sur le territoire européen
    • Vise à fournir biens et services à des résidents européens
  • S'applique aux responsables de traitement mais aussi aux sous-traitants

Guichet unique

  • Autorité de la protection des données nationale
    • Pour chaque état membre
    • En France : CNIL
  • Interlocuteur unique pour tout ce qui concerne le traitement de données personnelles

Définitions

Donnée personnelle

  • information se rapportant à une personne physique identifiable ou identifiée
    • directement (nom prénom)
    • indirectement (numéro d'adhérent, adresse mail, voix...)
  • Identification à partir:
    • d'une seule donnée (numéro de sécu, ADN, ...)
    • d'un croisement de données

Traitement de données personnelles

  • Toute manipulation de données est un traitement
    • collecte, consultation, rapprochements, ...
    • Remarque : informatique et papier également concernés
    • Doit avoir un objectif défini

Donnée sensible

  • Liste :
    • la prétendue origine raciale ou ethnique
    • les opinions politiques
    • les convictions religieuses ou philosophiques ou lappartenance syndicale
    • les données génétiques/biométriques
    • les données concernant la santé
    • les données concernant la vie sexuelle ou lorientation sexuelle
  • Leur utilisation est en principe interdite
    • Nécessite consentement explicite de la personne concernée
    • Ou ensemble de conditions :
      • fichier mis en place par organisme à but non lucratif
      • objectif politique, religieux ou syndical
      • se rapporte uniquement aux membres ou anciens membres de l'organisme, ou personne entretenant des contacts réguliers avec organisme en lien avec ses finalités
      • données non communiquées en dehors de l'organisme sans accord explicite des personnes concernées

Responsable de traitement

  • Personne physique ou morale qui détermine les finalités et moyens de traitement
    • En général personne morale incarnée par représentant légal
    • L'entreprise par exemple

Sous-traitant

  • Personne physique ou morale qui traite des données pour un autre organisme
    • Autre organisme = responsable de traitement
    • Obligations qui doivent être présentes dans le contrat :
      • transparence et traçabilité
      • privacy by design
      • obligation de garantir la sécurité des données traitées
      • obligation d'assistance, alerte et conseil

Grands principes

Principe de licéité du traitement

Principe de finalité déterminée et légitime

  • Données collectées pour un but défini et légitime, et doit être respecté

Principe de pertinence et de minimisation

  • Données doivent avoir un lien direct avec l'objectif
  • Elles doivent être nécessaires

Principe de transparence et de respect des droits des personnes

  • Personnes doivent comprendre
    • pourquoi leurs données sont collectées
    • quels sont leurs droits
    • Attention aux mentions obligatoires
  • Personnes doivent comprendre pourquoi leurs données sont collectées et quels sont leurs droits
    • identité de votre organisme
    • objectif du traitement
    • base légale (principe de licéité)
    • caractère obligatoire de fournir l'info (et conséquences sinon)
    • destinataires des données (à qui elles sont transmises)
    • durée de conservation (durée pendant laquelle les données ont un intérêt, et doivent être ensuite détruites ou anonymisées)
    • droits des personnes (accès, rectification, effacement et limitation)
    • transferts hors UE
    • Contact de l'éventuel DPO
    • Droit d'effectuer une plainte auprès de la CNIL
  • Informations doivent être accessibles au public visé, claires et transparentes
    • Mettre infos importantes sur le formulaire et renvoyer à vos conditions
      • responsable de traitement
      • droits des personnes
      • objectif du traitement

Principe d'une durée de conservation limitée

  • 2 phases :
    • données nécessaire pour la gestion courante
    • archivage intermédiaire :
      • intérêt administratif
      • obligation légale
  • Ensuite :
    • supprimer les données
    • ou les rendre non identifiables

Principe de confidentialité et de sécurité

  • Seules les personnes dont les missions le nécessitent
  • Assurer la confidentialité et la sécurité

Mise en conformité

Le DPO : délégué à la protection des données

  • Rôle clé dans le RGPD
    • Informer et conseiller l'organisme et les employés
    • Contrôler le respect du RGPD
    • Interlocuteur pour les questions liées à la protection des données personnelles
    • Coopérer avec la CNIL et être le point de contact

  • Quand doit-on avoir un DPO ?

    • Autorités et organismes publics
    • organismes dont activités de base mènent à un suivi régulier et à grande échelle
    • traitements à grande échelle de données sensibles ou relatives à des condamnations et infractions pénales

  • Activité de base = coeur de métier

  • Grande échelle = pas de seuil précis, cas par cas

Constituer un registre des traitements

  • Registre qui regroupe l'ensemble des traitements de données effectués

    • Identifier les activités qui utilisent des données personnelles (y compris des salariés)
      • ex: recrutement, paie, formation, accès, ventes, prospection...
    • Faire des fiches pour chaque activité
      • Objectif poursuivi
      • Catégories de données
      • Qui a accès aux données
      • Durée de conservation
    • Garder le registre à jour
    • Responsabilité du dirigeant de l'entreprise

  • Modèle de registre des traitements

Informer les personnes concernées

  • Obligation d'informer les personnes lorsque vous collectez des données

  • Directement sur le support (formulaire, questionnaire etc..)

  • Pour les détails, voir la slide sur le principe de respect des droits et transparence

  • Permettre aux personnes d'exercer leurs droits facilement

    • Formulaire de contact spécifique
    • numéro de telélphone ou mail dédié
    • Accès depuis compte utilisateur
    • 1 mois maximum de délai de traitement

Sécuriser les données

Principes de sécurité ionformatique :

  • Chiffrement, mots de passe sécurisés, mises à jour, sauvegardes...
  • Accès aux locaux et aux données réduits au minimum (RBAC)
  • En cas de violation de données :
    • Prévenir la CNIL dans les 72 heures,
    • Si le risque est élevé, prévenir les personnes
      • niveau de risque à déterminer en fonction :
        • du type de violation
        • et de la sensibilité, l'identification possible, conséquences probables pour les personnes, personnes vulnérables, mineures, nombre de personnes...

Mise en pratique

Entreprise qui vend en ligne

  • Site vitrine avec formulaire de contact
    • Mention CNIL dans le formulaire de contact
    • Moyens de contact pour exercer les droits CNIL par voie électronique
    • Mentions pour identifier l'éditeur du sitye
  • Site qui vend en ligne
    • Sécurisation des données
      • https
      • mot de passe complexe imposé à la création de compte
      • ne pas envoyer d'infos sensibles par mail
      • ne pas conserver de coordonnées bancaires
      • transactions bancaires sécurisées
    • Information des clients (page vie privée)
    • Formulaire de contact pour les droits CNIL
  • Traceurs publicitaires (cookies)
    • Informer l'internaute
    • obtenir son consentement AVANT de déposer/lire un cookie
    • obtenir le consentement si vous utilisez des fonctionnalités offertes par d'autres prestataires
      • Statistiques, boutons sociaux, vidéos youtube...

Données des salariés

  • Vidéosurveillance sur le lieu de travail
    • Information des salariés + instances représentatives
    • Consultations préalables souhaitables
    • Intérêt légitime et transparent : limiter les vols (pas d'objectifs cachés)
    • On ne surveille pas en continu un poste de travail

Registre des traitements

Prenez votre entreprise (ou un exemple de votre choix) :

  • Lister les activités nécessitant des données personnelles
  • Choisir une activité et remplir la fiche de registre RGPD
    • Expliquer les informations remplies et les choix retenus
    • Ajouter si vous le souhaitez des commentaires/avis sur les mesures de sécurité

Aller plus loin

Fiches pratiques : - Vente en ligne - Relation client - Données des collaborateurices