Web 2.0, média sociaux, Internet,… La protection des données personnelles Jacques Folon
Web 2.0, média sociaux, Internet,…La protection des données personnelles
Jacques Folon
La présentation est en ligne sur
www.slideshare.net/folon
Table des matièresTable des matières
1.Un exemple
d’évolution
2005 ….«Aucune information que vous avez
publiée sur le site Facebook ne sera
disponible auprès d’un utilisateur du
site qui n’appartient pas à au moins
l’un des groupes spécifiés par vos soin
dans vos réglages de confidentialité»
Conditions générales de Facebook 4
Source: vie privée et vie publique au temps d’internet
Cercle Condorcet lundi 6 décembre 2010
2007Les informations publiées sur votre profil Facebook seront visibles par les utilisateurs d’au moins l’un des réseau que vous aurez autorisé dans vos réglages de confidentialité (c.a.d. école, zone géographique, amis d’amis). Votre nom, le nom de votre école et les vignettes de votre profil seront accessibles dans les résultats de recherche au sein de Facebook, à moins que vous ne modifiez vos réglages de confidentialité»
CGU de Facebook
5
2009« Une information réglée pour être partagée avec tout le
monde est publique, peut être visible par quiconque sur internet, y compris des personnes qui ne sont pas
connectées à Facebook, elle peut être indexée par des moteurs de recherche, et peut être associée à votre
personne en dehors de Facebook (comme quand vous visitez d’autres sites sur internet), elle peut être importée et
exportée par nous et par d’autres sans limitation concernant sa confidentialité. Le réglage
par défaut pour certains types d’informations que vous publiez sur Facebook est public. Vous pouvez passer en revue et modifier ces réglages dans les préférences de
confidentialité»
6
2010«Quand vous vous connectez avec une application
ou un site web, ceux-ci auront accès à des
informations génériques à votre propos. Le terme
informations génériques inclue votre nom et celui
de vos amis, votre photo de profil, votre sexe,
votre numéro d’identification Facebook, vos
Connexions, ainsi que tout contenu
partagé de façon publique sur Facebook….
Le réglage par défaut de confidentialité pour
certains type d’information que vous
publiez sur Facebook est public… »7
8
9
Une bonne question?
10
2.Quels sont les risques 2.Quels sont les risques et les principes à et les principes à
respecter ?respecter ?
11/12/10 Jacques Folon -LSGI 5959
AVANT
Ce que les patrons croient…
En réalité…En réalité…
Ou sont les données?Ou sont les données?
Tout le monde se parle !Tout le monde se parle !
Les employés partagent des informations
Source : https://www.britestream.com/difference.html.
La transparence est devenue indispensable !
Comment Comment faire pour faire pour protéger protéger les les données?données?
• 60% des citoyens européens se 60% des citoyens européens se sentent concernéssentent concernés
• La découverte des vols de données se La découverte des vols de données se fait après-coup!fait après-coup!
• La protection des données est un La protection des données est un risque opérationnel => observé par risque opérationnel => observé par les investisseursles investisseurs
• La connaissance de ses clients est un La connaissance de ses clients est un atout (CRM)atout (CRM)
La mise en conformité de la sécurité avec la protection de la vie privée est obligatoire et
indispensable
Quels sont les risques?
•Perte de réputation (procès, articles,…)•Les médias en parlent systématiquement•Vol de données de clients, d’employés, d’administrateurs, …•Perte de confiance des clients•Sanctions pénales et civiles
•Perte de réputation (procès, articles,…)•Les médias en parlent systématiquement•Vol de données de clients, d’employés, d’administrateurs, …•Perte de confiance des clients•Sanctions pénales et civiles
On en parlera !
Contexte juridique
Trois définitions importantesTrois définitions importantes
1.1. Qu’est-ce qu’une donnée Qu’est-ce qu’une donnée personnelle?personnelle?
2.2.Qu’est-ce qu’un traitement?Qu’est-ce qu’un traitement?
3.3.Qu’est-ce qu’un responsable deQu’est-ce qu’un responsable de traitement?traitement?
On entend par "données à caractère personnel”:
toute information concernant une personne physique
identifiée ou identifiable, désignée ci-après "personne concernée";
est réputée identifiable une personne qui peut être identifiée,
directement ou indirectement, notamment par référence
à un numéro d'identification ou à un ou plusieurs Éléments spécifiques, propres à son identité
physique, physiologique,
psychique, économique, culturelle ou sociale
Donnée personnelleDonnée personnelle
Par "traitement",
on entend toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés
Automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement,
l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation,
la communication par transmission, diffusion ou toute autre forme de mise à disposition,
le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction
de données à caractère personnel.
Traitement de données
Par "responsable du traitement",
on entend la personne physique ou morale,
l'association de fait ou l'administration publique qui, seule ou conjointement
avec d'autres, détermine les finalités
et les moyens du traitement de données à caractère personnel.
Responsable de traitement
Responsabilités du “responsable de traitement »
1.1. LoyautéLoyauté
2.2. FinalitéFinalité
3.3. ProportionalitéProportionalité
4.4. Exactitude des donnéesExactitude des données
5.5. Conservation non excessiveConservation non excessive
6.6. SecuritéSecurité
7.7. ConfidentialitéConfidentialité
8.8. Finalité expliquée avant le consentementFinalité expliquée avant le consentement
9.9. Information à la personne concernéeInformation à la personne concernée
10.10.Consentement indubitable (opt in)Consentement indubitable (opt in)
11.11.Déclaration à la CNILDéclaration à la CNIL
Droits du consommateurDroits du consommateur
Droits du consommateurDroits du consommateur
6 PRINCIPES:6 PRINCIPES:
1.1. Droit d’accèsDroit d’accès
2.2. Droit de Droit de rectificationrectification
3.3. Droit de Droit de refuser le refuser le marketing marketing directdirect
4.4. Droit de Droit de retraitretrait
5.5. Droit à la Droit à la sécuritésécurité
6.6. Acceptation Acceptation préalablepréalable
Données reçues et Données reçues et transféréestransférées
Informations sensiblesInformations sensibles
Informations sensiblesInformations sensibles
•Race•Opinions politiques•Opinions religieuses ou philosophiques•Inscriptions syndicales•Comportement sexuel•Santé•Décisions judiciaires
3030
• ObligatoireObligatoire
• Le propriétaire Le propriétaire de la banque de de la banque de données doit données doit être capable de être capable de prouver que prouver que l’opt-in a bien eu l’opt-in a bien eu lieu !!lieu !!
• Exceptions selon Exceptions selon les législationsles législations
OPT IN SUR INTERNET
CoockiesCoockies
Transferts de données Transferts de données transfrontalierstransfrontaliers
•Sécurité Sécurité organisationnelleorganisationnelle
– Département sécuritéDépartement sécurité
– Consultant en sécuritéConsultant en sécurité
– Procédure de sécuritéProcédure de sécurité
– Disaster recoveryDisaster recovery
Sécurité techniqueSécurité technique– Risk analysisRisk analysis– Back-upBack-up– Procédure contre incendie, vol, etc.Procédure contre incendie, vol, etc.– Sécurisation de l’accès au réseau ITSécurisation de l’accès au réseau IT– Système d’authentification (identity management)Système d’authentification (identity management)– Loggin and password efficacesLoggin and password efficaces
Sécurité juridiqueSécurité juridique
– Contrats d’emplois et informationContrats d’emplois et information– Contrats avec les sous-contractantsContrats avec les sous-contractants– Code de conduiteCode de conduite– Contrôle des employésContrôle des employés– Respect complet de la réglementationRespect complet de la réglementation
45
Le maillon faible…Le maillon faible…
48
49
8.1 avant le recrutement
8.1.1. rôles et responsabilités
52
53
Les contrats « oubliés »
54
55
Et la sécurité dans tous ça?
Nécessaire à toutes les étapes
Implication nécessaire du responsable de sécurité
56
Screening des CV Avant engagement Final check Antécédents Quid médias
sociaux, Facebook, googling, etc?
Tout est-il permis?
57
Responsabilité des employés
Règles tant pendant qu’après le contrat d’emploi ou de sous-traitant
Information vie privée
Portables, gsm,…
58
8.2.1 responsabilités de la direction
8.2.2. Sensibilisation, qualification et formation
8.2.3 Processus disciplinaire
59
Procédures
Contrôle Mise à
jour Rôle du
responsable de sécurité
Sponsoring
61
Que peut-on contrôler?
Limites? Correspondance
privée CC81 Saisies sur salaire Sanctions réelles Communiquer les
sanctions?
62
63
8.3.3.retrait des droits d’accès
Espérons que la sécurité de vos données
ne ressemble jamais à ceci !
4.Le contrôle
Quelles informations gérons nous ?Quelles informations gérons nous ?
6767
Peut-on tout contrôler et tout sanctionner ?
TELETRAVAIL
Contrôle des collaborateurs
Les 4 finalités Les 4 finalités
1.1. Prévention de faits illégaux, de faits contraires aux bonnes Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autruimœurs ou susceptibles de porter atteinte à la dignité d’autrui
2.2. La protection des intérêts économiques, commerciaux et La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contrairesconfidentialité ainsi que la lutte contre les pratiques contraires
3.3. La sécurité et/ou le fonctionnement technique de l’ensemble des La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprisedes installations de l’entreprise
4.4. Le respect de bonne foi des principes et règles d’utilisation des Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprisetechnologies en réseau fixés dans l’entreprise
sanctionssanctions
•Dans le RTDans le RT•CohérentesCohérentes•LégalesLégales
5. Vie privée et MEDIA SOCIAUX
Les média sociaux sont et resteront…
+500 M users todayreaching 1 billion by 2012+500 M users todayreaching 1 billion by 2012
85 M users today85 M users today
70 M users today70 M users today
120 M users today120 M users today
74 M users today74 M users today
10 M users today10 M users today
Géolocalisation
77
http://projectvirginia.com/infographic-emerging-media-in-2011/
Ce n’est pas que la génération Y
Recrutement et media sociaux
Source: http://www.doppelganger.name
6. Conclusion Alors quand un patron pense 6. Conclusion Alors quand un patron pense à la gestion des données personnellesses à la gestion des données personnellesses
données il est zen ?données il est zen ?
Ou plutôt?Ou plutôt?
86
87
Les espèces qui survivent ne sont pas les espèces les plus fortes, ni les plus intelligentes, mais celles qui s'adaptent le mieux aux changements.C. Darwin
Jacques FolonJacques [email protected]
QUESTIONS ?QUESTIONS ?
Chargé de cours
Partner Auteur
Blog www.privacybelgium.be
http://be.linkedin.com/in/folon
www.edge-consulting.bizz
Administrateur