Explorer

Données sensibles - Correspondant informatique et libertés du CNRS
download Plainte

Transcription

Données sensibles - Correspondant informatique et libertés du CNRS 
Protection des données personnelles
et
développement d’applications
informatiques
Agnès Laplaige, CIL de l'Ecole Polytechnique avril 2011
Thèmes I&L
Informatique et Libertés
• Protection de la vie privée et des libertés
• Données personnelles
• Traitement automatisé (application informatique)
• Déclaration du traitement à la CNIL
Données personnelles
• Nom, prénom, autres prénoms
• Date de naissance, n° SS, n°adhésion Mutuelle,
immatriculation du véhicule, n° badge, adresse du
domicile, n°carte bancaire, RIB, …
• Adresse IP
• Photo
129.104.23.36
Tout ce qui permet l’identification directe ou indirecte de la
personne
Données mises en œuvre dans les traitements informatisés
Données sensibles
N° Sécurité sociale (sauf organismes déjà autorisés)
Biométrie, Données de santé
Données génétiques (ADN)
Infractions, condamnations, mesures de sûreté
Appréciations (commentaires, observations) sur les
difficultés sociales des personnes
demande d’autorisation de la CNIL
Données INTERDITES
Origine ethnique,
Opinions religieuses et politiques
Appartenance syndicale,
Habitudes de vie,
Commentaires abusifs
Le responsable de traitement (RT)
Traitement informatisé
•
•
•
•
•
•
•
Outils bureautiques, messagerie électronique
Logiciel standard
Progiciel (SAP, ERP, …)
Développement, application spécifique
Annuaire LDAP, Active Directory, log réseau, journaux des accès
Site WEB avec collecte et – ou affichage de données personnelles
Infocentre (BO, Crystal Reports, …)
•Quelque soit le langage de développement
•Quelque soit l’architecture (client-serveur, web, monoposte, …)
•Quelque soit le type de base de données
•Quelque soit la volumétrie
Traitements Sensibles
Environnement numérique de travail
Traitement avec n° sécurité sociale
Traitement avec données sensibles
Demande d’autorisation ou demande d’avis à la CNIL
Le responsable de traitement (RT)
Traitements INTERDITS
Traitement avec des données interdites
Automatisation de traitement conduisant
à la discrimination
Recoupement de fichiers
Transfert de données non déclarés
Toute autre usage que celui indiqué dans la déclaration
Le responsable de traitement (RT)
Déclaration d’un traitement informatisé
Le responsable de traitement (RT)
•
•
•
•
•
•
•
•
•
Identification du RT (responsable de traitement)
Finalités du traitement
Date de mise en œuvre
Liste des données
Destinataires
Durée de conservation des données
Architecture technique
Sécurité des données (physiques et logiques)
Modalités des droits d’accès, de rectification et de suppression
des données personnelles
• Modalités du droit d’opposition
Déclaration au CIL
Avant la mise en exploitation du traitement
•
•
•
•
•
Conseils lors rédaction CC
fiche pré-étude
Dossier de déclaration au CIL
Rédaction des mentions légales
MAJ du registre des traitements
Transmettre à la CNIL si demande d’avis ou
demande d’autorisation
• Audit conformité des traitements
Obligations I&L
Informatique et Libertés
•
•
•
•
•
•
•
•
•
•
Collecte loyale
Action dans la transparence
Données exactes et pertinentes
!! Données sensibles et données interdites
Respect des finalités du traitement
Garantie de l’intégrité des données
Protection des données personnelles
Droit à l’oubli
Droit d’accès, rectification ou suppression
Déclaration du traitement au CIL
Développement d’applications informatiques
Et moi, le développeur ???
• Je suis responsable de quoi
quand je développe une
application ?
Et le chef de projet AMOA ???
Fonctionnalités du traitement
Obligations
I&L
Respecter l’objectif
du fichier
Responsabilité du RT
* Respecter les finalités décrites
dans la déclaration
* Rédiger un cahier des charges
* Elaborer du plan de test
Responsabilité
du MOE/E&D
Vigilance !
On peut prévenir le CIL si on
détecte une déviance….
Outil facilitant
Accès au traitement et aux données
Obligations
I&L
Protection des
données
Demande
autorisation CNIL
Responsabilité
du RT
Responsabilité
du MOE/E&D
Maîtriser ses données
Définition les droits
d’accès des utilisateurs
* Concevoir le module de gestion
des accès et des droits des
utilisateurs
* Garantir le bon filtrage sur :
- les fonctionnalités du traitement
- l’accès aux données
Données sensibles =
N° SS (NIRP)
Biométrie
Données génétiques
Infractions,
Données de santé
* Mettre en œuvre une protection
renforcée des données sensibles
Outil facilitant
* Sécurité des locaux
* SSI
* Plan de tests lors des
phases de recette
* Authentification forte
* Gestion des
autorisations d’accès et
privatisation des
données
* Cryptage
* Réseau sécurisé
Saisie, modification de données
Obligations
I&L
Agir dans la
transparence
Collecte loyale
Pertinence de la
donnée au vu des
finalités de
traitement
Responsabilité du RT
Responsabilité
du MOE/E&D
Outil facilitant
Informer les personnes
- Son identité
- La finalité du traitement
- Les destinataires
- L’exercice des droits
- Les transmissions envisagées
Insérer la rubrique « Mentions
légales » sur chaque page des
sites Web
* Affichage des
mentions légales sur
les formulaires papier,
Web et dans les
bureaux accueillant les
intéressés
* Ne pas collecter à l’insu de la
personne
* Spécifier les champs
obligatoires et les champs
facultatifs
•Pas de recoupements de bases
de données pour produire une
donnée qui serait discriminante
* Astérisque au vu des
champs obligatoires
sur les formulaires de
collectes de données
* Renvoi en bas du
formulaire pour la
signification de *
Garantir la cohérence de la
nature des données avec les
finalités du traitement
* Distinguer le « champ
obligatoire » et le « champ
facultatif »
Saisie, modification de données
Obligations
I&L
Exactitude des
données
Demande
autorisation CNIL
INTERDIT
Responsabilité du
RT
Responsabilité
du MOE/E&D
Outil facilitant
Garantir la valeur exacte
des données saisies
•Garantir le stockage de la donnée
•Garantir la restitution de la donnée
•CTL la saisie avec référentiels
•CTL la cohérence des données
Bases de données de
type SQL
CTL intégrité
Données sensibles =
N° SS (NIRP)
Biométrie
Données médicales
Mettre en œuvre une
protection renforcée des
données sensibles
Données interdites
Appartenance
politique, syndicale,
religieuse, habitudes
de vie, commentaires
abusifs
NE PAS ACCEPTER DE
STOCKER DE TELLES
DONNEES DANS UN
TRAITEMENT
Authentification forte
Gestion des
autorisations d’accès et
privatisation des
données
Cryptage
Réseau sécurisé
Calcul de données
Obligations
I&L
Exactitude des
données
Pertinence de la
donnée au vu des
finalités de
traitement
Responsabilité du
RT
Responsabilité
du MOE/E&D
* Définir les règles
de calcul en respect Garantir le résultat des calculs
de la réglementation
et ou règles de l’art
Garantir la pertinence
des calculs sur les
données avec les
finalités du traitement
Outil facilitant
Plan de tests lors des
phases de recette
Consultation de données
Obligations
I&L
Exactitude des
données
Protection des
données
Pertinence des
données
Responsabilité du RT
Responsabilité
du MOE/E&D
Outil facilitant
• Ne pas divulguer les
données confidentielles,
personnelles
• Garantir la restitution des
données saisies, modifiées,
calculées
• Garantir l’exactitude
des données
• Mettre une œuvre une
protection des données
* Base de données solide
* Authentification forte
* Gestion des autorisations
d’accès et privatisation des
données
* Cryptage
* Réseau sécurisé
Si données sensibles, mettre
en œuvre une protection
renforcée des données
sensibles
Respect des
finalités du
traitement
Ne pas en faire un autre
usage que celui défini
dans les finalités du
traitement
Editions - Export des données
Obligations
I&L
Responsabilité du RT
Exactitude des
données
•Les éditions doivent être
conformes aux finalités du
traitement
Respect des
finalités du
traitement
Droit à l’oubli
Protection des
données
Respect des
finalités du
traitement
* L’archivage des éditions
doit respecter les règles du
code du patrimoine
Ne pas transmettre les
données à d’autres
personnes que celles
identifiées comme
destinataires dans la
déclaration CNIL
Responsabilité
du MOE/E&D
* Garantir le résultat des
éditions, des calculs
intégrés aux éditions
*Garantir l’exactitude
des données exportées
Le MOE / E&D
n’est pas
fournisseur de
données
Outil facilitant
Plan de tests lors des
phases de recette
Publication sur site Web - Transfert des données
Obligations
I&L
Agir dans la
transparence
Droit d’opposition
Données exactes
Responsabilité du RT
* Informer les intéressés
* Recueillir leur accord
* Respecter le droit d’opposition
Informer le destinataire des
données en cas de modification
des données transmises
Responsabilité
du MOE/E&D
Concevoir un module
d’enregistrement des
oppositions de publication
et ou des oppositions de
transfert de données
Outil
facilitant
Conservation des données
Obligations
I&L
Droit à l’oubli
Responsabilité du RT
Respecter la durée de conservation
des données selon la
réglementation en vigueur (code
du patrimoine, code du travail,
LCEN code du commerce, …)
et ou recommandations CNIL
Responsabilité
du MOE/E&D
Outil facilitant
Concevoir les modules
de gestion de la durée de
conservation des
données et d’archivage
Plan de tests lors des
phases de recette
Ce point fait l’objet de plusieurs GT au niveau national :
SUPCIL CNIL et AFCDP CNIL
Garantir l’intégrité des données
Action
Responsabilité
du RT
Responsabilité
du MOE/E&D
Saisie
Modification
Suppression
Calcul
Consultation
Impression
Export
Archivage
Infocentre
Outil facilitant
Base de données solide
Choix d’outils
informatiques
sécurisés
Outil de développement sans faille
de sécurité
Protocole HTTPS
Consignes de développement
Protéger les données personnelles
Action
Saisie
Modification
Suppression
Calcul
Consultation
Impression
Export
Archivage
Infocentre
Responsabilité du RT
* Ne pas divulguer
les PW
•en cas d’absence :
Fermer la session
Fermer la porte
•Ne pas coller le
PW sous le clavier
•Ne pas divulguer
les données
personnelles
Responsabilité
du MOE/E&D
Outil facilitant
• 1 compte d’accès
par utilisateur
•Profil d’accès
•Gestion privatisation
des données
•Accès sécurisé des
salles serveurs
•Respect PSSI
•Respect consignes
développement
•Sauvegarde BD
LDAP
Gestion des PW niveau
complexe
Evolution des applications informatiques
Avant la modification du traitement
Déclaration de la modification au CIL
•
•
•
•
•
Conseils lors rédaction CC
fiche pré-étude
Modification de la déclaration
Rédaction des mentions légales
MAJ du registre des traitements
Transmettre à la CNIL si demande d’avis ou
demande d’autorisation
• Audit conformité des traitements

Documents pareils

Pilotage Chef de projet maîtrise d`ouvrage système d`information

Pilotage Chef de projet maîtrise d`ouvrage système d`information

Plus en détail

Elements de methodologie pour la conception d`un site Web

Elements de methodologie pour la conception d`un site Web

Plus en détail

Respecter la vie privée, le droit à l`image

Respecter la vie privée, le droit à l`image

Plus en détail

Management par la valeur du SI - Faire du SI un levier d`évolution

Management par la valeur du SI - Faire du SI un levier d`évolution

Plus en détail

Le sujet Mot insolite : Ce que dit la loi

Le sujet Mot insolite : Ce que dit la loi

Plus en détail

Détail de l`offre : Responsable MOA et Base de données (H/F

Détail de l`offre : Responsable MOA et Base de données (H/F

Plus en détail

Informatique et Liberté

Informatique et Liberté

Plus en détail

Les Terrasses de Mussonville

Les Terrasses de Mussonville

Plus en détail
2024 © doczz.fr
À propos de nous | DMCA / GDPR | Abuser de