Informatique & Libertés

Documents pareils
Le Traitement des Données Personnelles au sein d une Association

Cadre juridique de la Protection des Données à caractère Personnel

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Les données à caractère personnel

Big Data: les enjeux juridiques

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

Les fiches déontologiques Multicanal

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

Être plus proche, mais pas à n importe quel prix

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Commission nationale de l informatique et des libertés

et développement d applications informatiques

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

Quel cadre légal pour l exploitation des «Big data»? Jean-François Forgeron

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

La responsabilité des directeurs d unité

1. Procédure. 2. Les faits

OFFRE DE FORMATION. 1er semestre Formez vos salariés, vos dirigeants, vos bénévoles et vos licenciés.

DEMANDE DE VISA TOURISME/ (VISITE FAMILIALE/OU AMICALE)

CODE PROFESSIONNEL. déontologie

CHARTE INFORMATIQUE LGL

Sur les informations traitées

«Informatique et Libertés» POUR L ENSEIGNEMENT DU SECOND DEGRÉ

Le contrat Cloud : plus simple et plus dangereux

CONDITIONS GENERALES D ACHAT

Charte d exploitation et de demande d accès aux Géoservices. Plateforme Territoriale GUYANE SIG

relative à l'informatique, aux fichiers et aux libertés (après adoption définitive par le Sénat du projet de loi la modifiant)

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

Commission nationale de l informatique et des libertés

Consultation de la CNIL. Relative au droit à l oubli numérique. Contribution du MEDEF

RESPONSABILITE DU DIRIGEANT EN DROIT DU TRAVAIL

LOI N portant Code des Postes

Big Data et le droit :

Loi institutant un Médiateur de la République du Sénégal

Photos et Droit à l image

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

L EXONÉRATION ou LA DISPENSE de déclaration : Aucune formalité déclarative requise

DOSSIER PREFECTURE ET CNIL MOINS DE 8 CAMERAS ET NE FILMANT PAS LA VOIE PUBLIQUE

Loi n du relative à la protection des données à caractère personnel

CONVENTION DE PARTENARIAT AGENCES

Conditions d utilisation du service

Cartes électroniques. 1 décembre 2008

ecrm: Collecter et exploiter les données prospects et clients en toute légalité en France

Open Data & informations publiques : les principaux aspects juridiques

DOSSIER DE CANDIDATURE

Demande de retraite d un fonctionnaire de l Etat ou d un magistrat

MARCHE PUBLIC DE SERVICES. MARCHE A PROCEDURE ADAPTEE Passé en application de l article 28 du code des marchés publics ACTE D ENGAGEMENT

Version consolidée AUTORITÉ DE CONTRÔLE PRUDENTIEL Règlement intérieur du Collège. Chapitre 1 er Composition des formations

Vu la Convention de sauvegarde des droits de l homme et des libertés fondamentales du Conseil de l Europe du 4 novembre 1950 ;

CHARTE INFORMATIQUE. Usage de ressources informatiques et de service Internet

DELIBERATION N DU 28 JUILLET 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

RECRUTEMENT SURVEILLANCE DES EXAMENS. Temps de travail : Vous êtes recruté(e) pour une durée et un nombre d heures fixés contractuellement.

Conditions Générales d'utilisation du compte V lille

Guide pratique Déclarer à la CNIL Un fichier ou un traitement de données personnelles

Certificat de Qualification Professionnel d Agent de Prévention et de Sécurité (CQP APS)

DEMANDE D OUVERTURE D UNE PROCEDURE DE SAUVEGARDE

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

GUIDE PRATIQUE. Droit d accès

Demande de pension. à la suite du décès d un fonctionnaire de l État, d un magistrat ou d un militaire retraité

REGLEMENT INTERIEUR TITRE I : DISPOSITIONS GENERALES

GUICHET D ENTREPRISES INSCRIPTION PERSONNE PHYSIQUE

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

BULLETIN D ACTUALITES JURIDIQUES

Nomination et renouvellement de MCF et PR associé à temps plein

A NOTER. - Le dossier ne sera accepté que si il est complet. Pour tous documents ou infomations manquants le dossier se verra refusé.

Guide d accompagnement à l intention des entreprises désirant obtenir ou renouveler une autorisation pour contracter/souscontracter avec un organisme

Article 1. Enregistrement d un nom de domaine

REGLEMENT «QUITTE OU DOUBLE»

DEMANDE DE SUBVENTION EN FAVEUR DU PASTORALISME (DISPOSITIF N 323 C DU PROGRAMME DE DÉVELOPPEMENT RURAL HEXAGONAL) Cadre réservé à l administration

FORMATION AU PERMIS D EXPLOITATION DE LICENCES CHRD MODULE 2,5 JOURS * Arrêté d agrément du 07 Avril 2014 : NOR INTD A

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

Fédération Suisse de Tir Dynamique Schweizer Verband für Dynamisches Schiessen Federazione Svizzera di Tiro Dinamico STATUTS.

(Document adopté par la Commission le 19 janvier 2006)

NOTIONS DE RESPONSABILITE

QUELLE DÉCLARATION POUR QUEL FICHIER?

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

L ASSOCIATION LOI 1901

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

Vu la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe du 4 novembre 1950 ;

COMMUNE DE ROCHEMAURE (07) NETTOYAGE DE LOCAUX COMMUNAUX

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

DEMANDE D AUTORISATION D UN SYSTÈME DE VIDÉOSURVEILLANCE

P.A.R.A.D.S. PÔLES D ACCUEIL EN RÉSEAU POUR L ACCÈS AUX DROITS SOCIAUX

La simplification du dossier de candidature

PROTOCOLE DE COLLABORATION COMMERCIALE TOUTES BRANCHES

LA LOI INFORMATIOUE ET LIBERTES. et les collectivités locales QUESTIONS

COMMUNICATION POLITIQUE ObligationS légales

MARCHES PUBLICS DE TECHNIQUES DE L INFORMATION ET DE LA COMMUNICATION

Déclaration des droits sur Internet

Cadre réservé à l administration Date de réception : N de dossier OSIRIS : Date de dossier complet :

- Compléter, dater et signer le présent formulaire d adhésion

Comité Drôme Ardèche de Badminton Compte-rendu formation Maïf 18 novembre 2014

A Nancy 14 novembre 2012 n 12/00388, Ch. soc., M. c/ Sté Lorraine Environnement

SUJET: FORMULAIRE DE REMBOURSEMENT - INDEMNITÉ

Transcription:

Informatique & Libertés #SRETI Benjamin Vialle http://benjamin-vialle.net École Centrale de Nantes, le 6 décembre 2013

Table des matières 1 Le cadre législatif 2 Sécurité des systèmes d information 3 Perspectives CNIL Informatique & Libertés #SRETI 2/51

Le cadre législatif Table des matières 1 Le cadre législatif Le projet SAFARI La loi Informatique et Libertés LOPPSI 2 Protéger les citoyens Dispositions annexes CNIL Informatique & Libertés #SRETI 3/51

Le cadre législatif Le projet SAFARI Le projet SAFARI SAFARI : système automatisé pour les fichiers administratifs et le répertoire des individus Projet d interconnexion des fichiers nominatifs de l administration française, notamment par le biais du numéro INSEE 1 Révélation de ce projet, le 21 mars 1974 par le quotidien Le Monde, dans l article intitulé «SAFARI ou la chasse aux Français» de Philippe Boucher 2 Crainte d un fichage général de la population 1. Le numéro de sécurité sociale (nom usuel), ou numéro d inscription au répertoire des personnes physiques (abrégé en NIRPP ou plus simplement NIR) est un code alphanumérique servant à identifier une personne dans le répertoire national d identification des personnes physiques (RNIPP) géré par l Insee 2. «SAFARI ou la chasse aux Français» paru dans le Monde CNIL Informatique & Libertés #SRETI 4/51

Le cadre législatif Le projet SAFARI Le projet SAFARI Création d une commission informatique et libertés pour proposer des mesures garantissant que l informatique se développe dans le respect de la vie privée, des libertés individuelles et publiques. Cette "Commission Informatique et Libertés" proposa, après de larges consultations et débats, de créer une autorité indépendante. C est ce que fit la loi du 6 janvier 1978 en instituant la Commission nationale de l informatique et des libertés. Le projet SAFARI n a finalement jamais vu le jour. CNIL Informatique & Libertés #SRETI 5/51

Bref rappel historique 1 La loi n o 78-17 du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés, dite loi «Informatique et Libertés» 3 2 Directive européenne 95/46 CE du 24 octobre 1995 pour la protection des personnes physiques à l égard des traitements de données à caractère personnel 4 3 La loi n o 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l égard des traitements de données à caractère personnel : remaniement de la loi «Informatique et Libertés» 5 4 Le décret n o 2005-1309 du 20 octobre 2005 pris pour l application de la loi n o 78-17 du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés. 2005 6 3. Texte de la loi n o 78-17 du 6 janvier 1978 sur Legifrance (version en vigueur) 4. Texte de la directive européenne 95/46 CE du 24 octobre 1995 sur EurLex 5. Texte de la loi n o 2004-801 du 6 août 2004 sur Legifrance 6. Texte du décret n o 2005-1309 du 20 octobre 2005 sur Legifrance CNIL Informatique & Libertés #SRETI 6/51

La Commission Nationale de l Informatique et des Libertés Première autorité administrative indépendante française Collège de 17 membres siégeant en formation plénière ou restreinte (6 membres) Plus d informations sur www.cnil.fr CNIL Informatique & Libertés #SRETI 7/51

Missions de la CNIL Mission d information : informe les personnes concernées et les responsables de traitements de leurs droits et obligations. Mission de contrôle : veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément à la loi. Mission de conseil :donne un avis sur la conformité à la loi des projets qui lui sont soumis. Mission de veille : anticiper les évolutions sociétales, économiques et technologiques pouvant avoir un impact sur la protection des données. CNIL Informatique & Libertés #SRETI 8/51

Loi Informatique et Libertés Article 1 L informatique doit être au service de chaque citoyen. Son développement doit s opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l identité humaine, ni aux droits de l homme, ni à la vie privée, ni aux libertés individuelles ou publiques. CNIL Informatique & Libertés #SRETI 9/51

Donnée à caractère personnel Article 2 Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. CNIL Informatique & Libertés #SRETI 10/51

Données à caractère personnel nom, prénom, date de naissance ; adresse postale ou électronique ; adresse IP ; numéro de carte de paiement ; plaque d immatriculation d un véhicule ; photo ; numéro de téléphone ; numéro de sécurité sociale ;... CNIL Informatique & Libertés #SRETI 11/51

Données à caractère personnel Mais aussi cookies qui permettent de reconnaître des visites antérieures ; informations PNR 7 (Passenger Name record) ; empreinte digitale ; ADN ; données médicales, génétiques et biométriques. 7. Données des dossiers passagers : Un PNR est, au départ, l enregistrement dans une base de données des informations qu une compagnie aérienne juge nécessaires pour établir une réservation de vol. Il contient, notamment, sur le passager, son nom, sont itinéraire, les informations pour contacter l un des participants du voyage, les réservations, les informations de tickets et les préférences pour les passagers, par exemple les repas pendant les vols (végétariens, kasher, etc.) CNIL Informatique & Libertés #SRETI 12/51

Donnée à caractère personnel Article 2 [... ]Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.[... ] CNIL Informatique & Libertés #SRETI 13/51

Traitement de données à caractère personnel Article 2 [... ]Constitue un traitement de données à caractère personnel toute opération [... ] portant sur de telles données [... ] et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction.[... ] CNIL Informatique & Libertés #SRETI 14/51

Fichier de données à caractère personnel Article 2 [... ]Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. CNIL Informatique & Libertés #SRETI 15/51

Traitement des fichiers automatisés ou non Article 2 La présente loi s applique aux traitements automatisés de données à caractère personnel, ainsi qu aux traitements non automatisés de données à caractère personnel [... ] à l exception des traitements mis en œuvre pour l exercice d activités exclusivement personnelles[... ] CNIL Informatique & Libertés #SRETI 16/51

Responsable de traitement Article 3 Le responsable d un traitement de données à caractère personnel est, [... ] la personne [... ] ou l organisme qui détermine ses finalités et ses moyens. CNIL Informatique & Libertés #SRETI 17/51

Traitement loyal et licite des données Article 6 Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : 1 Les données sont collectées et traitées de manière loyale et licite 2 Elles sont collectées pour des finalités déterminées, explicites et légitimes a a. Un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données CNIL Informatique & Libertés #SRETI 18/51

Traitement loyal et licite des données Article 6 Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : 3 Elles sont adéquates, pertinentes et non excessives au regard des finalités. 4 Elles sont exactes, complètes et, si nécessaire, mises à jour. 5 Elles sont conservées pendant une durée n excédant pas la durée nécessaire au regard des finalités. CNIL Informatique & Libertés #SRETI 19/51

Cas d application de la loi Informatique et Libertés Suis-je en présence de données à caractère personnel? (Art. 2 de la loi) Il ne s agit pas Le responsable d un traitement du traitement est Un traitement mis en œuvre dans sur le territoire de données le cadre d activités français ou oui à caractère oui oui oui personnel est-il mis en œuvre? (Art. 2 de la loi) non exclusivement personnelles ou à des fins de copies temporaires (Art.2 et Art.4 de la loi) non non non les moyens de traitements sont sur le territoire français? (Art. 5 de la loi) Traitement soumis à la loi Traitement non soumis a la loi «Informatique et libertés» CNIL Informatique & Libertés #SRETI 20/51

Obligations incombant aux responsables de traitements 1 Obligation d information lors du recueil des données (article 32) y compris dans le cas de la collecte indirecte (article 32-3) : de l identité du responsable du traitement, de la finalité poursuivie par le traitement auquel les données sont destinées, du caractère obligatoire ou facultatif des réponses, des conséquences éventuelles, à son égard, d un défaut de réponse, CNIL Informatique & Libertés #SRETI 21/51

Obligations incombant aux responsables de traitements 1 Obligation d information lors du recueil des données (article 32) y compris dans le cas de la collecte indirecte (article 32-3) : des destinataires ou catégories de destinataires des données, des droits que la personne détient, le cas échéant, des transferts de données à caractère personnel envisagés à destination d un État non membre de la Communauté européenne, dans le cas d un service de communication électronique, l abonné ou l utilisateur doit être informé des moyens dont il dispose pour s opposer ; CNIL Informatique & Libertés #SRETI 22/51

Obligations incombant aux responsables de traitements 2 Obligation d assurer la sécurité des données (article 34) : empêcher que les données soient déformées, endommagées, ou que des tiers non autorisés y aient accès ; 3 Obligation d informer l intéressé en cas de violation de données à caractère personnel (uniquement les fournisseurs de services de communications électroniques accessibles au public - article 34 bis). CNIL Informatique & Libertés #SRETI 23/51

Obligations incombant aux responsables de traitements 3 Obligation de s assurer qu un sous-traitant présente des garanties suffisantes pour traiter des données à caractère personnel (article 35) : obligations contractuelles, ne décharge pas le responsable du traitement de son obligation de veiller au respect des mesures de sécurité, cas particulier des hébergeur de données de santé (co-responsabilité des traitements) ; CNIL Informatique & Libertés #SRETI 24/51

Obligations incombant aux responsables de traitements 4 Obligation de fixer une durée de conservation des données (article 6 o 1) sauf dans le cas de données appelées à être traitées à des fins historiques, statistiques ou scientifiques. 5 Interdiction de détournement de finalité (article 6 o 3) CNIL Informatique & Libertés #SRETI 25/51

Droits des personnes à l égard des traitements de données à caractère personnel 1 Droit à l information préalable (article 32 pour la collecte de données) 2 Droit d accès : droit de demander à tout responsable de traitement s il détient des informations l intéressé (article 39) le droit d accès direct, le droit d accès indirect ; CNIL Informatique & Libertés #SRETI 26/51

Droits des personnes à l égard des traitements de données à caractère personnel Figure : Extrait du rapport annuel 2012 de la CNIL CNIL Informatique & Libertés #SRETI 27/51

Droits des personnes à l égard des traitements de données à caractère personnel 3 le droit de rectification 4 Droit d opposition pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l objet d un traitement (article 38) ; Droit d opposition sans motivation à la prospection (article 38) CNIL Informatique & Libertés #SRETI 28/51

Traitement licite de données à caractère personnel Respect des droits des personnes Finalité déterminée, explicite et légitime Données adéquates, pertinentes, non excessives au regard des finalités Collecte loyale et licite Traitement licite Durée de conservation limitée Destinataires limités Sécurité CNIL Informatique & Libertés #SRETI 29/51

Formalités préalables Depuis 2004 : Allègement du contrôle a priori (formalités préalables) Renforcement des contrôles a posteriori (pouvoir de sanction) CNIL Informatique & Libertés #SRETI 30/51

Formalités préalables (La déclaration normale) Différents régimes de formalités préalables : La déclaration normale La formalité simplifiée associée (engagement de conformité) Norme simplifiée («NS») Quelques exemples de normes simplifiées : NS 42 : contrôle d accès aux locaux, horaires, restauration sur le lieu de travail NS 46 : gestion du personnel NS 48 : fichiers de clients et de prospects CNIL Informatique & Libertés #SRETI 31/51

Formalités préalables (La demande d autorisation) 2 critères justifient la nécessité d effectuer une demande d autorisation : 1 la finalité du traitement permettre d exclure du bénéfice d un droit, d une prestation ou d un contrat l interconnexion de fichiers correspondant à des intérêts publics différents ou des finalités différentes 8 Transfert hors UE (exceptions) 2 le traitement comporte les données suivantes : données «sensibles» (Article 8 ou NIR) données biométriques ou génétiques données relatives aux infractions, condamnations et mesures de sûreté 8. C est le cas de croisement de fichiers pour détecter de fraudeurs aux allocations CNIL Informatique & Libertés #SRETI 32/51

Formalités préalables (La demande d autorisation) Différents régimes de formalités préalables : La demande d autorisation La formalité simplifiée (engagement de conformité) Autorisation unique («AU») Quelques exemples d autorisations uniques : AU 17 : gestion du pré-contentieux et du contentieux pour les infractions constatées par les commerçants AU 19 : utilisation du réseau veineux pour l accès à des locaux professionnels AU 27 : reconnaissance de l empreinte digitale pour le contrôle de l accès aux postes informatiques portables professionnels CNIL Informatique & Libertés #SRETI 33/51

Formalités préalables (La demande d avis) 6 critères justifient la nécessité d effectuer une demande d avis : la sûreté, la défense ou la sécurité publique la prévention, la recherche, la constatation ou la poursuite d infractions pénales ou l exécution des condamnations pénales ou des mesures de sûreté l utilisation du NIR (numéro de sécurité sociale) ou la consultation du RNIPP (lorsque les organismes ne sont pas déjà habilités) ; l utilisation de données biométriques 9 le recensement de la population ; les téléservices de l administration électronique 9. empreintes digitales, contour de la main, iris de l œil, etc.) CNIL Informatique & Libertés #SRETI 34/51

Formalités préalables (La demande d avis) Différents régimes de formalités préalables : La demande d avis La formalité simplifiée (engagement de conformité) Acte réglementaire unique («RU») Quelques exemples d actes réglementaires uniques : RU 20 : relatif aux procédures d appel à témoins RU 31 : vidéoprotection au sein des locaux et des établissements de l administration pénitentiaire RU 33 : relatif aux interdictions de paris sportifs CNIL Informatique & Libertés #SRETI 35/51

Le Correspondant Informatique et Libertés tout organisme peut désigner un CIL un vecteur de sécurité juridique une source de sécurité informatique soulagé du régime déclaratif obligation de tenir un registre des traitements obligation de faire un bilan de ses activités chaque année CNIL Informatique & Libertés #SRETI 36/51

Le cadre législatif LOPPSI 2 Une nouvelle compétence Distinction entre «vidéosurveillance» (application de la loi Informatique et Libertés) «vidéoprotection» (code de la sécurité intérieure 10 ) la CNIL dispose du pouvoir de contrôle des dispositifs de vidéoprotection 11 173 contrôles vidéo pour l année 2012 10. Code de la sécurité intérieure sur Legifrance 11. loi du 14 mars 2011 d orientation et de programmation pour la performance de la sécurité intérieure dite LOPPSI 2) CNIL Informatique & Libertés #SRETI 37/51

Le cadre législatif Protéger les citoyens Les plaintes dispositif de plainte en ligne intérêt marqué des personnes pour la protection de leurs données personnelles Plaintes fréquentes : Surveillance permanente de salariés Droit d accès Droit à l oubli CNIL Informatique & Libertés #SRETI 38/51

Le cadre législatif Protéger les citoyens Les contrôles stratégie issue directement de l esprit de la loi (article 44) des compétences élargies (dispositifs vidéo) évolution significative (42 contrôles en 2004, 458 en 2012) 285 contrôles en 2012 portant sur des dispositifs relevant de la loi Informatique et Liberté 173 contrôles portant sur des dispositifs de vidéoprotection/vidéosurveillance CNIL Informatique & Libertés #SRETI 39/51

Le cadre législatif Protéger les citoyens Les origines des contrôles 23% suite à l instruction des plaintes 11% dans le cadre de procédure de sanction 26% au regard de l actualité 40% inscrits dans les thématiques annuelles 12 12. Programme annuel 2012 : La sécurité des données de santé les failles de sécurité Sport et vie privée les données à caractère personnel et la vie quotidienne la délivrance des visas Programme annuel 2013 : le traitement des données par les instituts de sondage Les données traitées dans le cadre de l internet en libre accès Le traitement par les collectivités locales des données relatives aux difficultés sociales des personnes Les données des personnes détenues en établissements pénitentiaires CNIL Informatique & Libertés #SRETI 40/51

Le cadre législatif Protéger les citoyens Les différents types de contrôle Le contrôle sur place (article 44) Le contrôle sur pièces(article 44-III) : L audition sur convocation (article 44-III) CNIL Informatique & Libertés #SRETI 41/51

Le cadre législatif Protéger les citoyens Les principaux manquements constatés en contrôle absence de durée de conservation (article 6-5) ; défauts de sécurité (article 34) ; présence de données excessives (article 6-3) voire illégales (article 8) 13 défaut d information des personnes (article 32) ; données d infraction (article 9) 13. Danger des zones blocs-notes et commentaires CNIL Informatique & Libertés #SRETI 42/51

Le cadre législatif Protéger les citoyens Les différentes sanctions prononcées par la formation restreinte Figure : Extrait du rapport annuel 2012 de la CNIL CNIL Informatique & Libertés #SRETI 43/51

Le cadre législatif Protéger les citoyens Les manquements proposés dans les rapports de sanction en 2012 Figure : Extrait du rapport annuel 2012 de la CNIL CNIL Informatique & Libertés #SRETI 44/51

Sécurité des systèmes d information Table des matières 2 Sécurité des systèmes d information Confidentialité des informations Identification et authentification CNIL Informatique & Libertés #SRETI 45/51

Sécurité des systèmes d information Confidentialité des informations Destinataire et tiers autorisé Article 3-2 Le destinataire d un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, [... ] Seuls les destinataires et les tiers autorisés peuvent avoir accès aux informations CNIL Informatique & Libertés #SRETI 46/51

Sécurité des systèmes d information Identification et authentification Identification et authentification Identification : «je dis qui je suis» Authentification : «je prouve qui je suis» on identifie une personne, pas un groupe de personnes 14 14. l identification porte en général sur des personnes mais également sur des machines CNIL Informatique & Libertés #SRETI 47/51

Sécurité des systèmes d information Identification et authentification L authentification Par un secret que je connais mot de passe défi (question réponse) par quelque chose que je possède certificats carte à puce par ce que je suis biométrie L authentification forte cumule les différents facteurs CNIL Informatique & Libertés #SRETI 48/51

Perspectives Table des matières 3 Perspectives CNIL Informatique & Libertés #SRETI 49/51

Perspectives Des données d un nouveau genre Données ouvertes (open data) Myriades de données (big data) Auto-mesure de soi (quantified self ) CNIL Informatique & Libertés #SRETI 50/51

Conclusion Merci Des questions? Licence Creative Commons - Cette présentation est mise à disposition selon les termes de la Licence Creative Commons Attribution - Partage dans les Mêmes Conditions 4.0 International. CNIL Informatique & Libertés #SRETI 51/51

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back