Web 2.0, média sociaux, Internet,…La protection des données personnelles

Jacques Folon

La présentation est en ligne sur

www.slideshare.net/folon

Table des matièresTable des matières

1.Un exemple

d’évolution

2005 ….«Aucune information que vous avez

publiée sur le site Facebook ne sera

disponible auprès d’un utilisateur du

site qui n’appartient pas à au moins

l’un des groupes spécifiés par vos soin

dans vos réglages de confidentialité»

Conditions générales de Facebook 4

Source: vie privée et vie publique au temps d’internet

Cercle Condorcet lundi 6 décembre 2010

2007Les informations publiées sur votre profil Facebook seront visibles par les utilisateurs d’au moins l’un des réseau que vous aurez autorisé dans vos réglages de confidentialité (c.a.d. école, zone géographique, amis d’amis). Votre nom, le nom de votre école et les vignettes de votre profil seront accessibles dans les résultats de recherche au sein de Facebook, à moins que vous ne modifiez vos réglages de confidentialité»

CGU de Facebook

5

2009« Une information réglée pour être partagée avec tout le

monde est publique, peut être visible par quiconque sur internet, y compris des personnes qui ne sont pas

connectées à Facebook, elle peut être indexée par des moteurs de recherche, et peut être associée à votre

personne en dehors de Facebook (comme quand vous visitez d’autres sites sur internet), elle peut être importée et

exportée par nous et par d’autres sans limitation concernant sa confidentialité. Le réglage

par défaut pour certains types d’informations que vous publiez sur Facebook est public. Vous pouvez passer en revue et modifier ces réglages dans les préférences de

confidentialité»

6

2010«Quand vous vous connectez avec une application

ou un site web, ceux-ci auront accès à des

informations génériques à votre propos. Le terme

informations génériques inclue votre nom et celui

de vos amis, votre photo de profil, votre sexe,

votre numéro d’identification Facebook, vos

Connexions, ainsi que tout contenu

partagé de façon publique sur Facebook….

Le réglage par défaut de confidentialité pour

certains type d’information que vous

publiez sur Facebook est public… »7

8

9

Une bonne question?

10

2.Quels sont les risques 2.Quels sont les risques et les principes à et les principes à

respecter ?respecter ?

11/12/10 Jacques Folon -LSGI 5959

AVANT

Ce que les patrons croient…

En réalité…En réalité…

Ou sont les données?Ou sont les données?

Tout le monde se parle !Tout le monde se parle !

Les employés partagent des informations

Source : https://www.britestream.com/difference.html.

La transparence est devenue indispensable !

Comment Comment faire pour faire pour protéger protéger les les données?données?

• 60% des citoyens européens se 60% des citoyens européens se sentent concernéssentent concernés

• La découverte des vols de données se La découverte des vols de données se fait après-coup!fait après-coup!

• La protection des données est un La protection des données est un risque opérationnel => observé par risque opérationnel => observé par les investisseursles investisseurs

• La connaissance de ses clients est un La connaissance de ses clients est un atout (CRM)atout (CRM)

La mise en conformité de la sécurité avec la protection de la vie privée est obligatoire et

indispensable

Quels sont les risques?

•Perte de réputation (procès, articles,…)•Les médias en parlent systématiquement•Vol de données de clients, d’employés, d’administrateurs, …•Perte de confiance des clients•Sanctions pénales et civiles

•Perte de réputation (procès, articles,…)•Les médias en parlent systématiquement•Vol de données de clients, d’employés, d’administrateurs, …•Perte de confiance des clients•Sanctions pénales et civiles

On en parlera !

Contexte juridique

Trois définitions importantesTrois définitions importantes

1.1. Qu’est-ce qu’une donnée Qu’est-ce qu’une donnée personnelle?personnelle?

2.2.Qu’est-ce qu’un traitement?Qu’est-ce qu’un traitement?

3.3.Qu’est-ce qu’un responsable deQu’est-ce qu’un responsable de traitement?traitement?

On entend par "données à caractère personnel”:

toute information concernant une personne physique

identifiée ou identifiable, désignée ci-après "personne concernée";

est réputée identifiable une personne qui peut être identifiée,

directement ou indirectement, notamment par référence

à un numéro d'identification ou à un ou plusieurs Éléments spécifiques, propres à son identité

physique, physiologique,

psychique, économique, culturelle ou sociale

Donnée personnelleDonnée personnelle

Par "traitement",

on entend toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés

Automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement,

l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation,

la communication par transmission, diffusion ou toute autre forme de mise à disposition,

le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction

de données à caractère personnel.

Traitement de données

Par "responsable du traitement",

on entend la personne physique ou morale,

l'association de fait ou l'administration publique qui, seule ou conjointement

avec d'autres, détermine les finalités

et les moyens du traitement de données à caractère personnel.

Responsable de traitement

Responsabilités du “responsable de traitement »

1.1. LoyautéLoyauté

2.2. FinalitéFinalité

3.3. ProportionalitéProportionalité

4.4. Exactitude des donnéesExactitude des données

5.5. Conservation non excessiveConservation non excessive

6.6. SecuritéSecurité

7.7. ConfidentialitéConfidentialité

8.8. Finalité expliquée avant le consentementFinalité expliquée avant le consentement

9.9. Information à la personne concernéeInformation à la personne concernée

10.10.Consentement indubitable (opt in)Consentement indubitable (opt in)

11.11.Déclaration à la CNILDéclaration à la CNIL

Droits du consommateurDroits du consommateur

Droits du consommateurDroits du consommateur

6 PRINCIPES:6 PRINCIPES:

1.1. Droit d’accèsDroit d’accès

2.2. Droit de Droit de rectificationrectification

3.3. Droit de Droit de refuser le refuser le marketing marketing directdirect

4.4. Droit de Droit de retraitretrait

5.5. Droit à la Droit à la sécuritésécurité

6.6. Acceptation Acceptation préalablepréalable

Données reçues et Données reçues et transféréestransférées

Informations sensiblesInformations sensibles

Informations sensiblesInformations sensibles

•Race•Opinions politiques•Opinions religieuses ou philosophiques•Inscriptions syndicales•Comportement sexuel•Santé•Décisions judiciaires

3030

• ObligatoireObligatoire

• Le propriétaire Le propriétaire de la banque de de la banque de données doit données doit être capable de être capable de prouver que prouver que l’opt-in a bien eu l’opt-in a bien eu lieu !!lieu !!

• Exceptions selon Exceptions selon les législationsles législations

OPT IN SUR INTERNET

CoockiesCoockies

Transferts de données Transferts de données transfrontalierstransfrontaliers

•Sécurité Sécurité organisationnelleorganisationnelle

– Département sécuritéDépartement sécurité

– Consultant en sécuritéConsultant en sécurité

– Procédure de sécuritéProcédure de sécurité

– Disaster recoveryDisaster recovery

Sécurité techniqueSécurité technique– Risk analysisRisk analysis– Back-upBack-up– Procédure contre incendie, vol, etc.Procédure contre incendie, vol, etc.– Sécurisation de l’accès au réseau ITSécurisation de l’accès au réseau IT– Système d’authentification (identity management)Système d’authentification (identity management)– Loggin and password efficacesLoggin and password efficaces

Sécurité juridiqueSécurité juridique

– Contrats d’emplois et informationContrats d’emplois et information– Contrats avec les sous-contractantsContrats avec les sous-contractants– Code de conduiteCode de conduite– Contrôle des employésContrôle des employés– Respect complet de la réglementationRespect complet de la réglementation

45

Le maillon faible…Le maillon faible…

48

49

8.1 avant le recrutement

8.1.1. rôles et responsabilités

52

53

Les contrats « oubliés »

54

55

Et la sécurité dans tous ça?

Nécessaire à toutes les étapes

Implication nécessaire du responsable de sécurité

56

Screening des CV Avant engagement Final check Antécédents Quid médias

sociaux, Facebook, googling, etc?

Tout est-il permis?

57

Responsabilité des employés

Règles tant pendant qu’après le contrat d’emploi ou de sous-traitant

Information vie privée

Portables, gsm,…

58

8.2.1 responsabilités de la direction

8.2.2. Sensibilisation, qualification et formation

8.2.3 Processus disciplinaire

59

Procédures

Contrôle Mise à

jour Rôle du

responsable de sécurité

Sponsoring

61

Que peut-on contrôler?

Limites? Correspondance

privée CC81 Saisies sur salaire Sanctions réelles Communiquer les

sanctions?

62

63

8.3.3.retrait des droits d’accès

Espérons que la sécurité de vos données

ne ressemble jamais à ceci !

4.Le contrôle

Quelles informations gérons nous ?Quelles informations gérons nous ?

6767

Peut-on tout contrôler et tout sanctionner ?

TELETRAVAIL

Contrôle des collaborateurs

Les 4 finalités Les 4 finalités

1.1. Prévention de faits illégaux, de faits contraires aux bonnes Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autruimœurs ou susceptibles de porter atteinte à la dignité d’autrui

2.2. La protection des intérêts économiques, commerciaux et La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contrairesconfidentialité ainsi que la lutte contre les pratiques contraires

3.3. La sécurité et/ou le fonctionnement technique de l’ensemble des La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprisedes installations de l’entreprise

4.4. Le respect de bonne foi des principes et règles d’utilisation des Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprisetechnologies en réseau fixés dans l’entreprise

sanctionssanctions

•Dans le RTDans le RT•CohérentesCohérentes•LégalesLégales

5. Vie privée et MEDIA SOCIAUX

Les média sociaux sont et resteront…

+500 M users todayreaching 1 billion by 2012+500 M users todayreaching 1 billion by 2012

85 M users today85 M users today

70 M users today70 M users today

120 M users today120 M users today

74 M users today74 M users today

10 M users today10 M users today

Géolocalisation

77

http://projectvirginia.com/infographic-emerging-media-in-2011/

Ce n’est pas que la génération Y

Recrutement et media sociaux

Source: http://www.doppelganger.name

6. Conclusion Alors quand un patron pense 6. Conclusion Alors quand un patron pense à la gestion des données personnellesses à la gestion des données personnellesses

données il est zen ?données il est zen ?

Ou plutôt?Ou plutôt?

86

87

Les espèces qui survivent ne sont pas les espèces les plus fortes, ni les plus intelligentes, mais celles qui s'adaptent le mieux aux changements.C. Darwin

Jacques FolonJacques FolonJacques.folon@ichec.be

QUESTIONS ?QUESTIONS ?

Chargé de cours

Partner Auteur

Blog www.privacybelgium.be

http://be.linkedin.com/in/folon

www.edge-consulting.bizz

Jacques.folon@edge-consulting.biZ

Administrateur