protection donnees personnelles

Travail collaboratif

Document reponse:

Le framapad est un document avec editeur en ligne de la societé de logiciels libre Framasoft.

  • Commencer par entrer votre prénom pour vous identifier lors de votre travail d’edition.
  • Rédiger votre réponse: pour une seule ou plusieurs des questions posées. Préciser le numero de la question.
  • Une fois tous les changements terminés, marquez votre version avec une étoile pour la sauvegarder en ligne et la retrouver dans l’historique.
  • Enregistrer le document au format .text dans vos documents. Vous pourrez l’éditer de façon plus complète dans LibreOffice Writer dans une prochaine séance.

Recherche Documentaire: Questions

  1. Quelles données relèvent de l’identité numérique, l’identité administrative, ou de l’indirectement nominatif?
  2. Qu’est ce que le RGPD
  3. Qu’est ce que la CNIL?
  4. Qui a pour devoir de se mettre en conformité vis à vis du RGPD?
  5. Une entreprise, pour être en conformité avec le traitement de données de ses clients, doit-elle adresser une demande auprès de la CNIL? Que doit-elle faire?
  6. Le RGPD interdit-il l’utilisation à des fins commerciales des données?
  7. Quelle est la différence entre une donnée, et une information sur une personne?
  8. A partir de quelles données personnelles peut-on trouver des renseignements sur la santé et l’hygiène de vie d’une personne? Peut-on l’utiliser pour prendre des décisions sur son embauche, ou bien pour calculer le prix de sa cotisation mutuelle santé?
  9. Un restaurant qui livre des pizzas: quelles données va-t-il avoir besoin de collecter sur ses clients? Ces données peuvent-elles être considérées comme sensibles? Si la base de données du restaurant est piratée, celui-ci est-il responsable au regard de la loi?
  10. Que pensez-vous d’une entreprise qui utilise les données biométriques de ses employés pour contrôler leur identité et accès à leur poste de travail le matin (voir le film de science fiction Bienvenue à Gattaca)
  11. Lorsque je surfe sur le web, à la recherche d’un article à acheter: Le prix de l’article proposé par les commerçants va-t-il evoluer au fur et à mesure de mes activités sur le web? Y-a-t-il des traces de ma navigation? Qu’est-ce qu’un tracker?
  12. Suis-je en droit de demander à l’entreprise Google qu’elle me fournisse toutes mes traces numériques qui me concernent? Quelles seront ces traces numériques?

Données à caractère personnel

Parmi les données suivantes, certaines peuvent être classées comme relevant de:

  • l'identité numérique
  • identité administrative
  • indirectement nominative (qui donne l’identite de la personne, une fois effectué un recoupement d’informations)

Ce sont:

  • Le nom, le prenom, l’adresse
  • un pseudo, un mot de passe
  • une adresse IP
  • des lieux visités et géolocalisés
  • un panier d’achat
  • des clés de recherche su internet
  • numero de carte bancaire
  • numero NIR (securité sociale)
  • données associées à son compte de reseau social (publications, like)
  • Données exposée par d’autres mais nous identifiant dans un reseau social
  • ordonance médicale, clichés radiographiques, …
  • L’enregistrement de la voix de clients ou salariés par un dispositif informatique
  • images de personnes physiques captées par un système de vidéosurveillance
  • le patrimoine d’un propriétaire

Même des données supposées anonymes peuvent nous identifier car il existe souvent une clé de correspondance qui peut nous identifier.

Traitement des données

Definition

il s’agit de toute opération effectuée de manière automatisée appliqué à des données à caractère personnel.

Enjeux pour l’usager

Aujourd’hui, l’aspiration des individus, en termes de protection de leur vie privée est de pouvoir utiliser les services technologiques d’internet, de s’exposer personnellement (reseaux sociaux), tout en cédant une partie acceptable de leurs données personnelles. Cette part cédée doit rester raisonnable et être négociée par contrat avec les opérateurs économiques.

Le RGPD (Réglement Général pour la Protection de Données)

Définition

C’est un document qui donne un cadre légal à l’utilisation des données dans l’UE et contraint les organismes publics ou privés à certaines obligations.

Ce texte vise à définir des équilibres: protection des individus d’une part, utilisation des données à des fins commerciales ou pour des missions d’intérêt public, d’autre part.

Le RGPD n’interdit PAS l’utilisation commerciale des données.

Mais il fournit un cadre, auquel les entreprises privées, comme les administrations publiques doivent se conformer.

Obligations de conformité vis à vis du RGPD

Pour les entreprises et administrations, susceptible de TRAITER des données à caractère personnel:

  • devoir de tenir un registre des activités de traitement (finalités, délai de conservation et de suppression automatique, réalisation d’atude d’impact…)
  • obligation d’assurer une collecte lisible et transparente des données
  • protéger les données. Assure leur sécurité et leur confidentialité
  • définir un paramètre: Rester minimal dans la quantité de données et le type de données collectées
  • interdiction de collecter certaines catégories particulières de données (origines raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale)
  • interdiction de collecter le numero NIR (securité sociale) car celui-ci contient un certain nombre de caractéristiques qui aident au chainage des données
  • interdiction de collecter des données génétiques, biométriques, concerant la santé, la vie et l’orientation sexuelle.

Droit des personnes vis à vis du RGPD

Tout individu doit:

  • pouvoir être questionné pour demander son consentement préalable à la collecte et l’utilisation de ses données.
  • être informé sur la finalité du traitement qui sera effectué
  • dans le cas d’une collecte indirecte: être informé de la source de cette collecte, et droit de recours auprès de la CNIL
  • avoir droit d’accès, de rectification et de portabilité des données (c’est à dire, droit à obtenir ses données collectées dans un format structuré, lisible)
  • avoir droit d’effacement
  • avoir droit d’opposition au traitement des données à visée commerciale et de profilage
  • avoir des droits concernant les cookies, exploitant ses traces de navigation. Côté client, ces cookies sont stokées dans le navigateur web. L’individu doit donner son consentement sur leur utilisation, à partir d’une information claire et complète
  • avoir droit au deferencement: demander la suppression de liens vers des informations portant atteinte à la vie privée.

Remarques:

  • Il existe également un tracking côté serveur. Le client n’est alors pas en mesure d’effacer ses traces numériques, qui sont partagées le plus souvent avec des entreprises tierces (revente des données). Dans la chaine de partage des données, tout le monde est alors responsable du traitement qui sera effectué sur ces données.
  • De nombreux exemples montrent des manquements à ces règles sur la protection des données et leurs conséquences: L’affaire Facebook pendant l’élection américaine, qui a vu gagner le président Trump en est un tristement célèbre, même si cela ne concernait pas le territoire d’influence de la CNIL et de son équivalent européen. Au niveau fançais: les affaires Foncia, Acadomia…

La CNIL

Definition

Commission Nationale pour l’informatique et les libertés. La CNIL est la premiere autorité administrative instaurée en France (1978) à la faveur de l’adoption de la loi “informatique et libertés”.

Les actions de la CNIL

La CNIL exerce un pouvoir de contrôle et de sanctions pour la protection des données. Elle est indépendante et ne reçoit d’instruction d’aucune autorité publique.

Tout citoyen peut s’adresser à la CNIL pour la saisir d’une plainte.

La CNIL réalise des

  • controles d’audit, qui sont programmés, sur des organismes privés comme publics.
  • contrôles de contentieux à partir de plaintes, de dénonciations anonyme ou de tout autre moyen qui lui aurait permi de prendre connaissance d’un manquement au RGPD

Sanctions prises

Lors d’un manquement avéré, la CNIL peut:

  • faire suspendre les flux de données adressés à un destinataire
  • prendre des sanctions pécunières
  • prendre des sanctions d’image: publication sur le site de la CNIL et dans le Journal Officiel. Les répercussions peuvent être importantes (risque réputationnel)

Liens

  • cours de Seconde SNT sur la protection des données, illustré de quelques videos et autres liens
  • Ouvrage: La protection des données personnelles, le RGPD et la nouvelle loi française, Guillaume Desgens-Pasanau, ed. LexisNexis