SlideShare une entreprise Scribd logo

Open Data, protection des données personnelles et de la vie privée

Florence Bonnet
Florence Bonnet

Principes élémentaires de protection des données et de la vie privée dans le cadre de l'ouverture des données publiques

Droit
1  sur  19
Le contenu de cette formation est la propriété exclusive de CIL CONSULTING et fait l’objet d’une protection au titre des droits de propriété intellectuelle. Toute copie, reproduction, modification, distribution, affichage ou vente, par quelque procédé ou forme que ce soit, en tout ou partie, de tout élément du contenu de cette formation, et pour toute autre finalité y compris à titre commercial, sans l’autorisation préalable de CIL CONSULTING, s'apparente à de la contrefaçon et pourra donner lieu à des poursuites. Un « OPEN DATA » respectueux de la vie privée La protection des données personnelles dans le cadre de la publication et de la réutilisation des données publiques 12 juin 2014
Les compagnies de Big Data traitent jusqu’à 75000 données par pers. Source http://rt.com/usa/158968- big-data-companies-mine-points/ Introduction: Au-delà de l’open data, savoir comprendre les risques liés aux Big Data Effet mosaïque du Big Data @DavidSimplotRyl OPEN DATA
 Dès lors qu’une donnée a été associée à l’identité d’une personne , toute association à une identité virtuelle brise l’anonymat des autres données. (source : Texas researchers Arvind Narayanan and Vitaly Shmatikov) Vous + Big Data = Zéro anonymat Période de 6 mois 2012-2013 –vélib-info publiques- Londres http://qz.com/199209/londons-bike-share-program-unwittingly-revealed-its-cyclists- movements-for-the-world-to-see/  Possibilités de « dés-anonymisation »: -Par croisement de données internes anonymes. -Par croisement avec des fichiers externes. Introduction: Contexte Ex. données de transport- tant que le RT a accès aux données brutes et pas uniquement aux données agrégées on considère qu’il y a des risques
Open Data: deux principes  Publication des données détenues par les administrations ;  Libre réutilisation par les citoyens ou les entreprises des données ainsi publiées. Mais pas encore de loi:  Pas de définition juridique de l’ Open data/donnée publique  Directive ISP 2003/98/CE concernant la réutilisation des informations du secteur public (doit être transposée avant le 18/07/2015)→ à des fins commerciales ou pas Exception: protection des DCP  Le 1er Chief Data Officer dans un pays européen → droit de « data perquisition » Un cadre juridique protecteur des données personnelles et de la vie privée:  Loi « Informatique et libertés » du 6 janvier 1978 (transposition directive UE 95/46)  Convention n° 108 - Conseil de l’Europe- traitement automatisé des données à caractère personnel  Art.6,7,13 Loi « CADA » du 17 juillet 1978 sur l’accès aux documents administratifs (droit d’accès et libre réutilisation)  Art. 8 CEDH et art. 9 code civil  Un projet de règlement européen de protection des données (2014?) Avis G29 – Sont considérées comme des données à caractère personnel, les données ayant trait aux caractéristiques ou au comportement d’une personne ou si cette information est utilisée pour déterminer ou influencer la façon dont cette personne est traitée ou évaluée». Données à caractère personnel: -informations qui permettent d’identifier directement une personne -Ou indirectement (ex : un numéro de sécurité sociale) -ou par recoupement (ex: une date de naissance associée à une commune de résidence). 1- Quel cadre juridique pour les « données publiques »?
Conséquences:  Principe: les données personnelles ne peuvent être mises en ligne par l’administration ni faire l’objet d’une réutilisation par un tiers.  Trois exceptions : - Consentement de l’intéressé à cette diffusion, - Obligation légale de publication, - Anonymisation des données publiées Risques:  Violation des règles de protection des données (cas d’une loi ou du consentement de la personne)  Détournement de finalité ou réutilisation incompatible avec la finalité initiale  Ré-identification Pouvant aboutir à …. Usurpation d’identité, discrimination, stratification sociale, exclusion/inclusion, perte d’un droit, atteinte aux libertés, préjudice physique et moral, stigmatisation liés aux techniques d’analyse et au « Profiling » … Certaines données personnelles sont communicables et réutilisables, D’autres peuvent être communicables mais non réutilisables ou soumises à des règles de réutilisation. Ex. les données d’annuaire de service public Ex. Les données contenues dans des listes électorales, de diplômés… 1- Quel cadre juridique pour les « données publiques »?
Public : personnes en charge ou impliquées dans la mise en oeuvre d’une plateforme ou d’une politique d’open data dans mon organisme 1- Quel cadre juridique pour les « données publiques »?
2- Des lois protectrices des données personnelles & de la vie privée
Art. 6 II. CADA- Ne sont communicables qu’à l’intéressé les documents administratifs : « - dont la communication porterait atteinte à la protection de la vie privée, au secret médical (…) ; « - portant une appréciation ou un jugement de valeur sur une personne physique (…)facilement identifiable ; « - faisant apparaître le comportement d’une personne, dès lors que la divulgation de ce comportement pourrait lui porter préjudice. Art.7 CADA- (…) sauf dispositions législatives contraires, les documents administratifs qui comportent (…) des données à caractère personnel ne peuvent être RENDUS PUBLICS qu'après avoir fait l'objet d'un traitement afin d'occulter ces mentions ou de rendre impossible l'identification des personnes qui y sont nommées. Art.13 CADA Les informations publiques comportant des données personnelles peuvent faire l’objet d’une REUTILISATION dans 3 hypothèses : -consentement de la personne concernée, -anonymisation des données par l’autorité détentrice, -ou, si une disposition législative ou réglementaire le permet. (licence obligatoire si redevance mais recommandée pour informer les ré-utilisateurs sur leurs obligations) PRADA: personne responsable de l’accès aux documents administratifs et des questions relatives à la réutilisation des informations publiques Le fait que des données personnelles aient été rendues publiques en vertu de l’Art.7 ne vaut pas autorisation pour une réutilisation 2- Des lois protectrices des données personnelles & de la vie privée 2.1. La protection des données personnelles dans la loi du 17 juillet 1978 (CADA)
A RETENIR  Sauf à ce que les données soient anonymisées, les règles de protection des données personnelles s’appliquent  La divulgation de données commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende (article 226-22 du code pénal). Qui doit anonymiser les données personnelles? - L’administration (Article 13 al.1 « loi CADA ») - sous réserve que cela n’entraîne pas des efforts disproportionnés (Article 40 du décret n° 2005-1755 du 30 décembre 2005) Comment? Intervention humaine ou logiciel Gestion d’incident: Savoir remédier rapidement à la diffusion accidentelle d’informations personnelles 2- Des lois protectrices des données personnelles & de la vie privée
 Formalités préalables auprès de la CNIL Réutilisation → Notification du traitement à la CNIL Par le responsable de traitement → par le ré-utilisateur Ex. AU 029- données contenues dans les archives publiques  Base légale à la collecte des données personnelles Consentement (manifestation de volonté libre, spécifique et informée) Ou loi Ou autre base légale (ex. mission de service public).  Information préalable des personnes (Art. 32 LIL): Par le ré-utilisateur  Principe de proportionnalité (art.6 LIL) ……. vers un principe de « minimisation de la collecte »  Qualité des données (art.6 LIL et art.12 CADA)  Durée de conservation limitée (art.6 LIL)  Interdiction des transferts de DCP en dehors de l’UE…sauf exception prévue par la loi 2- Des lois protectrices des données personnelles & de la vie privée 2.2. La « loi informatique et libertés » du 06 janvier 1978 (LIL)
Droit d’opposition (article 38 LIL) Sauf exception légale, toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des DCP la concernant fassent l'objet d'un traitement. Droit d’accès (article 39 LIL) Toute personne physique a le droit d’obtenir des informations sur le traitement des données le concernant et a le droit d’en obtenir la communication.  Droit de rectification (art.40 LIL) Toute personne physique peut exiger, sans frais, que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les DCP la concernant. 2- Un cadre juridique protecteur des données personnelles & de la vie privée A SAVOIR: Projet de règlement UE- horizon 2015 - Des sanctions à hauteur de 100 M €? - Notification des failles de confidentialité
 Obligation de sécurité : Art.34 et 35 Loi du 06/01/1978 « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (Art.34)  Processus d’amélioration continue: Vérifier régulièrement la méthode d’anonymisation et si elle doit être adaptée (ex. conséquences de l’introduction de nouvelles données dans la base, mise à disposition de nouvelles bases de données, progrès des techniques ).  Sous-traitance: Il est possible de passer un marché public pour procéder aux opérations d’anonymisation. La prestation doit être encadrée par un contrat.  Le ré-utilisateur est tenu à la même obligation de sécurité en tant que responsable de traitement. 2- Un cadre juridique protecteur des données personnelles & de la vie privée
La réutilisation d’informations publiques comportant des données personnelles est subordonnée au respect des dispositions de la loi du 06/01/1978 et du 17/07/1978 → Licence ou CGU Réutilisation : utilisation « à d’autres fins que celles de la mission de service public en vue de laquelle les documents ont été élaborés ou sont détenus » Les données sont collectées pour des finalités déterminées, explicites et légitimes, Et elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. (Exception: traitement ultérieur à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible→ accès limité) En principe pas de réutilisation des données personnelles, sauf: -Anonymisation -Loi -Consentement « spécifique »+ mesures de sécurité et respect des dispositions de la loi informatique et libertés  Le principe de finalité spécifique des traitements de données personnelles Réutilisation = Nouvelle finalité 2- Un cadre juridique protecteur des données personnelles & de la vie privée
 Après anonymisation les données perdent leur caractère personnel et ne sont plus soumises à la loi du 06/01/1978 Comment déterminer s’il y a anonymisation? CNIL: l’anonymisation est un procédé irréversible La CNIL n’impose pas de méthode mais estime la conformité du procédé (article 8-III) Démarche au cas par cas- selon « moyens probables et raisonnables » de ré-identification- par RT et tiers Critères: coût de l'identification, temps nécessaire à celle-ci, fonction des technologies disponibles au moment du traitement et de leur évolution, intérêt pour les utilisateurs, bénéfice public. 3- la réutilisation des données personnelles
3- la réutilisation des données personnelles Pseudonymisation ≠ anonymisation irréversible  « Pseudonymisation » (Repose sur la sécurité du secret) - Table de correspondance- réversible- niveau faible - Chiffrement- réversible-niveau faible - Hachage-irréversible-niveau moyen (on peut reconstituer par réitération)  « Masquage » ou suppression ou ajout de bruit,  Agrégation: - Dépend du niveau d’agrégation Principale faille = liens initiaux entre les données Avis G29: 3 critères pour évaluer l’anonymisation -Risque d’individualisation: possibilité d’isoler un/des enregistrement(s) sur une personne -Risque de corrélation des informations relatives à une personne ou à un groupe de personnes (linkibility), -Risque d’inférence- déduction des valeurs (ex. 2013)/informations relatives à une personne
Recommandations du G29 (groupe des CNIL UE)  'data protection by design’ et ‘by default'  Obligation de mener une Etude d’Impact sur la Vie Privée & les Libertés avant toute réutilisation des données  Avant de rendre les données disponibles pour réutilisation , évaluation de: - La possibilité de réutilisation des données, - Conditions de réutilisation, - Mesures de protection - Evaluation du risque de ré-identification ( avec tests d’intrusion ) -Par croisement de données internes anonymes -Par croisement avec des fichiers externes Conseils  Auprès de Etalab,  Associer le PRADA et le CIL s’il en existe un. 4- Quelle démarche mettre en œuvre pour protéger les données personnelles?
Etude d’impacts sur la vie privée Analyse de risques • Niveau de détail de l’EIVP • Inventaire des catégories de données • Cartographie des flux Art. 17 CADA: Les administrations qui produisent ou détiennent des informations publiques tiennent à la disposition des usagers un répertoire des principaux documents dans lesquels ces informations figurent.  Pas de publication (=exception)  Publication mais droits restreints de réutilisation (risque mais bénéfice social)  Publication et réutilisation 4- Quelle démarche mettre en œuvre pour protéger les données personnelles?
« Data protection by Design » Intégration des principes de protection des données et de la vie privée: - dès la conception - Par défaut - Tout au long du cycle de vie Concevoir la base dans la perspective d’une éventuelle anonymisation Ex. Prévoir le marquage des données (suivi) 4- Conclusion: Intégrez les règles de protection des données et de la vie privée en amont des projets Ex. empêcher les téléchargements massifs de données, Limiter les possibilités de recherche… Art. 23 du projet de règlement européen de protection des donnés
Open data et protection des données personnelles et de la vie privée Merci de votre attention Florence BONNET – florence.bonnet@cil-consulting.com CIL CONSULTING – www.cil-consulting.com 171 avenue Charles de Gaulle – 92200 NEUILLY SUR SEINE @FlorenceBonnet

Recommandé

Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...EdPoliteia
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesMarc Guichard
 
Protection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupProtection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupRennes Atalante
 
Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1. Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1. Freelance
 
Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnellesBee_Ware
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Marketing digital et données personnelles
Marketing digital et données personnellesMarketing digital et données personnelles
Marketing digital et données personnellesProf. Jacques Folon (Ph.D)
 
Sensibilisation juridique autour des réseaux sociaux
Sensibilisation juridique autour des réseaux sociauxSensibilisation juridique autour des réseaux sociaux
Sensibilisation juridique autour des réseaux sociauxfilipetti-avocat
 

Recommandé

Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...EdPoliteia
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesMarc Guichard
 
Protection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupProtection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupRennes Atalante
 
Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1. Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1. Freelance
 
Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnellesBee_Ware
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Marketing digital et données personnelles
Marketing digital et données personnellesMarketing digital et données personnelles
Marketing digital et données personnellesProf. Jacques Folon (Ph.D)
 
Sensibilisation juridique autour des réseaux sociaux
Sensibilisation juridique autour des réseaux sociauxSensibilisation juridique autour des réseaux sociaux
Sensibilisation juridique autour des réseaux sociauxfilipetti-avocat
 
BigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesBigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesExcelerate Systems
 
Internet et la protection des données personnelles
Internet et la protection des données personnelles Internet et la protection des données personnelles
Internet et la protection des données personnelles Inter-Ligere
 
Afcdp 2017 mesures de protection des dcp
Afcdp 2017 mesures de protection des dcpAfcdp 2017 mesures de protection des dcp
Afcdp 2017 mesures de protection des dcpDenis VIROLE
 
Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Denis VIROLE
 
Politiques de protection de la vie privee et sécurité système d'information
Politiques de protection de la vie privee et sécurité système d'informationPolitiques de protection de la vie privee et sécurité système d'information
Politiques de protection de la vie privee et sécurité système d'informationDenis VIROLE
 
Workshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILWorkshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILStéphanie Roger
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012University of Geneva
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianDenis VIROLE
 
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariés
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariésContrôler et maîtriser l’usage des réseaux sociaux par vos salariés
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariésAgence Tesla
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donneesEdouard DEBERDT
 
Problèmes éthiques dans l'utilisation des mégadonnées
Problèmes éthiques dans l'utilisation des mégadonnéesProblèmes éthiques dans l'utilisation des mégadonnées
Problèmes éthiques dans l'utilisation des mégadonnéesNicolae Sfetcu
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataAntoine Vigneron
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Denis VIROLE
 
conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012vgautrais
 
Protection des données personnelles : deux critiques du RGPD
Protection des données personnelles : deux critiques du RGPD Protection des données personnelles : deux critiques du RGPD
Protection des données personnelles : deux critiques du RGPD Calimaq S.I.Lex
 
Gdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsGdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsCaroline Meot
 
Ressources pédagogiques, Learning Analytics et données personnelles
Ressources pédagogiques, Learning Analytics et données personnellesRessources pédagogiques, Learning Analytics et données personnelles
Ressources pédagogiques, Learning Analytics et données personnellesCalimaq S.I.Lex
 
Les aspects juridiques de l'Internet
Les aspects juridiques de l'InternetLes aspects juridiques de l'Internet
Les aspects juridiques de l'InternetFranck Gauttron
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Radouane Mrabet
 
Spéciale Internet des Objets La French Mobile Décembre 2012
Spéciale Internet des Objets La French Mobile Décembre 2012Spéciale Internet des Objets La French Mobile Décembre 2012
Spéciale Internet des Objets La French Mobile Décembre 2012servicesmobiles.fr
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Thiebaut Devergranne
 
Données personnelles et protection de la vie privée 14 12 2011
Données personnelles et protection de la vie privée 14 12 2011Données personnelles et protection de la vie privée 14 12 2011
Données personnelles et protection de la vie privée 14 12 2011Corinne Poncet-Lacroix
 

Contenu connexe

Tendances

BigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesBigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesExcelerate Systems
 
Internet et la protection des données personnelles
Internet et la protection des données personnelles Internet et la protection des données personnelles
Internet et la protection des données personnelles Inter-Ligere
 
Afcdp 2017 mesures de protection des dcp
Afcdp 2017 mesures de protection des dcpAfcdp 2017 mesures de protection des dcp
Afcdp 2017 mesures de protection des dcpDenis VIROLE
 
Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Denis VIROLE
 
Politiques de protection de la vie privee et sécurité système d'information
Politiques de protection de la vie privee et sécurité système d'informationPolitiques de protection de la vie privee et sécurité système d'information
Politiques de protection de la vie privee et sécurité système d'informationDenis VIROLE
 
Workshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILWorkshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILStéphanie Roger
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012University of Geneva
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianDenis VIROLE
 
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariés
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariésContrôler et maîtriser l’usage des réseaux sociaux par vos salariés
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariésAgence Tesla
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donneesEdouard DEBERDT
 
Problèmes éthiques dans l'utilisation des mégadonnées
Problèmes éthiques dans l'utilisation des mégadonnéesProblèmes éthiques dans l'utilisation des mégadonnées
Problèmes éthiques dans l'utilisation des mégadonnéesNicolae Sfetcu
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataAntoine Vigneron
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Denis VIROLE
 
conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012vgautrais
 
Protection des données personnelles : deux critiques du RGPD
Protection des données personnelles : deux critiques du RGPD Protection des données personnelles : deux critiques du RGPD
Protection des données personnelles : deux critiques du RGPD Calimaq S.I.Lex
 
Gdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsGdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsCaroline Meot
 
Ressources pédagogiques, Learning Analytics et données personnelles
Ressources pédagogiques, Learning Analytics et données personnellesRessources pédagogiques, Learning Analytics et données personnelles
Ressources pédagogiques, Learning Analytics et données personnellesCalimaq S.I.Lex
 
Les aspects juridiques de l'Internet
Les aspects juridiques de l'InternetLes aspects juridiques de l'Internet
Les aspects juridiques de l'InternetFranck Gauttron
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Radouane Mrabet
 
Spéciale Internet des Objets La French Mobile Décembre 2012
Spéciale Internet des Objets La French Mobile Décembre 2012Spéciale Internet des Objets La French Mobile Décembre 2012
Spéciale Internet des Objets La French Mobile Décembre 2012servicesmobiles.fr
 

Tendances (20)

BigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesBigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données Privées
 
Internet et la protection des données personnelles
Internet et la protection des données personnelles Internet et la protection des données personnelles
Internet et la protection des données personnelles
 
Afcdp 2017 mesures de protection des dcp
Afcdp 2017 mesures de protection des dcpAfcdp 2017 mesures de protection des dcp
Afcdp 2017 mesures de protection des dcp
 
Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...
 
Politiques de protection de la vie privee et sécurité système d'information
Politiques de protection de la vie privee et sécurité système d'informationPolitiques de protection de la vie privee et sécurité système d'information
Politiques de protection de la vie privee et sécurité système d'information
 
Workshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILWorkshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNIL
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
 
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariés
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariésContrôler et maîtriser l’usage des réseaux sociaux par vos salariés
Contrôler et maîtriser l’usage des réseaux sociaux par vos salariés
 
Perspectives sur le droit des donnees
Perspectives sur le droit des donneesPerspectives sur le droit des donnees
Perspectives sur le droit des donnees
 
Problèmes éthiques dans l'utilisation des mégadonnées
Problèmes éthiques dans l'utilisation des mégadonnéesProblèmes éthiques dans l'utilisation des mégadonnées
Problèmes éthiques dans l'utilisation des mégadonnées
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big Data
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1
 
conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012conference_droit-cloudcomputing_2012
conference_droit-cloudcomputing_2012
 
Protection des données personnelles : deux critiques du RGPD
Protection des données personnelles : deux critiques du RGPD Protection des données personnelles : deux critiques du RGPD
Protection des données personnelles : deux critiques du RGPD
 
Gdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actionsGdpr : impacts sur l'organisation et plan d'actions
Gdpr : impacts sur l'organisation et plan d'actions
 
Ressources pédagogiques, Learning Analytics et données personnelles
Ressources pédagogiques, Learning Analytics et données personnellesRessources pédagogiques, Learning Analytics et données personnelles
Ressources pédagogiques, Learning Analytics et données personnelles
 
Les aspects juridiques de l'Internet
Les aspects juridiques de l'InternetLes aspects juridiques de l'Internet
Les aspects juridiques de l'Internet
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?
 
Spéciale Internet des Objets La French Mobile Décembre 2012
Spéciale Internet des Objets La French Mobile Décembre 2012Spéciale Internet des Objets La French Mobile Décembre 2012
Spéciale Internet des Objets La French Mobile Décembre 2012
 

En vedette

Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Thiebaut Devergranne
 
Données personnelles et protection de la vie privée 14 12 2011
Données personnelles et protection de la vie privée 14 12 2011Données personnelles et protection de la vie privée 14 12 2011
Données personnelles et protection de la vie privée 14 12 2011Corinne Poncet-Lacroix
 
QCM Droit et documentation
QCM Droit et documentationQCM Droit et documentation
QCM Droit et documentationKarine Novello
 
Vie privée à l'horizon 2020 - CNIL
Vie privée à l'horizon 2020 - CNILVie privée à l'horizon 2020 - CNIL
Vie privée à l'horizon 2020 - CNILRomain Fonnier
 
Présentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSPrésentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSMarc Guichard
 
Donnees à caractère perso et vie privée
Donnees à caractère perso et vie privéeDonnees à caractère perso et vie privée
Donnees à caractère perso et vie privéegob12345
 
Règlement général sur la protection des données
Règlement général sur la protection des donnéesRèglement général sur la protection des données
Règlement général sur la protection des donnéesBénédicte Losdyck
 
La cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéLa cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéAvignon Delta Numérique
 
Presentation pour les développeurs informatiques
Presentation pour les développeurs informatiquesPresentation pour les développeurs informatiques
Presentation pour les développeurs informatiquesMarc Guichard
 
V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14silvere cauffi assoua
 
Eduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetEduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetStéphane Bazan
 
De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...Michel Jaccard
 
L'éclairement des différentes lampes
L'éclairement des différentes lampesL'éclairement des différentes lampes
L'éclairement des différentes lampessection-scientifique
 
Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Henri ISAAC
 
Présentation : Edward Snowden
Présentation : Edward SnowdenPrésentation : Edward Snowden
Présentation : Edward SnowdenNicolas G
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfJean-Charles Croiger
 
BI : Analyse des Données avec Mondrian
BI : Analyse des Données avec Mondrian BI : Analyse des Données avec Mondrian
BI : Analyse des Données avec Mondrian Lilia Sfaxi
 
Méthodologie de recherche : Comment entamer son mémoire de fin d'étude
Méthodologie de recherche : Comment entamer son mémoire de fin d'étudeMéthodologie de recherche : Comment entamer son mémoire de fin d'étude
Méthodologie de recherche : Comment entamer son mémoire de fin d'étudeConnaissance Créative
 

En vedette (20)

Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
 
Données personnelles et protection de la vie privée 14 12 2011
Données personnelles et protection de la vie privée 14 12 2011Données personnelles et protection de la vie privée 14 12 2011
Données personnelles et protection de la vie privée 14 12 2011
 
QCM Droit et documentation
QCM Droit et documentationQCM Droit et documentation
QCM Droit et documentation
 
Vie privée à l'horizon 2020 - CNIL
Vie privée à l'horizon 2020 - CNILVie privée à l'horizon 2020 - CNIL
Vie privée à l'horizon 2020 - CNIL
 
Présentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSPrésentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRS
 
Donnees à caractère perso et vie privée
Donnees à caractère perso et vie privéeDonnees à caractère perso et vie privée
Donnees à caractère perso et vie privée
 
Règlement général sur la protection des données
Règlement général sur la protection des donnéesRèglement général sur la protection des données
Règlement général sur la protection des données
 
La cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et libertéLa cnil et le correspondant informatique et liberté
La cnil et le correspondant informatique et liberté
 
Presentation pour les développeurs informatiques
Presentation pour les développeurs informatiquesPresentation pour les développeurs informatiques
Presentation pour les développeurs informatiques
 
V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14
 
Eduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetEduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’Internet
 
De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...
 
L'éclairement des différentes lampes
L'éclairement des différentes lampesL'éclairement des différentes lampes
L'éclairement des différentes lampes
 
Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...
 
Présentation : Edward Snowden
Présentation : Edward SnowdenPrésentation : Edward Snowden
Présentation : Edward Snowden
 
Hs
HsHs
Hs
 
Les animaux de notre paludarium
Les animaux de notre paludariumLes animaux de notre paludarium
Les animaux de notre paludarium
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vf
 
BI : Analyse des Données avec Mondrian
BI : Analyse des Données avec Mondrian BI : Analyse des Données avec Mondrian
BI : Analyse des Données avec Mondrian
 
Méthodologie de recherche : Comment entamer son mémoire de fin d'étude
Méthodologie de recherche : Comment entamer son mémoire de fin d'étudeMéthodologie de recherche : Comment entamer son mémoire de fin d'étude
Méthodologie de recherche : Comment entamer son mémoire de fin d'étude
 

Similaire à Open Data, protection des données personnelles et de la vie privée

Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?PierreDesmarais6
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...Lexing - Belgium
 
Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...aclorrain
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
Exposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à impExposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à impLandry Kientega
 
droit.ppt
droit.pptdroit.ppt
droit.pptYnesZid
 
Intervention CNIL : droit des internautes et obligations des e-marchands
Intervention CNIL : droit des internautes et obligations des e-marchandsIntervention CNIL : droit des internautes et obligations des e-marchands
Intervention CNIL : droit des internautes et obligations des e-marchandsNet Design
 
Glossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfGlossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfREFAIBOX
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...COMPETITIC
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...CEEDFormation
 
La protection des données personnelles
La protection des données personnellesLa protection des données personnelles
La protection des données personnellesbreton80
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocAssociationAF
 

Similaire à Open Data, protection des données personnelles et de la vie privée (20)

Droit tic au maroc
Droit tic au marocDroit tic au maroc
Droit tic au maroc
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?Opendata: quels contrôles des données publiques par les collectivités?
Opendata: quels contrôles des données publiques par les collectivités?
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...
 
Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...Protection des données personnelles - Online Economy Conference - 14 décembre...
Protection des données personnelles - Online Economy Conference - 14 décembre...
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Horeca GDPR
Horeca GDPRHoreca GDPR
Horeca GDPR
 
Exposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à impExposé_droit_d'accès_en_informatique à imp
Exposé_droit_d'accès_en_informatique à imp
 
Données perso
Données persoDonnées perso
Données perso
 
droit.ppt
droit.pptdroit.ppt
droit.ppt
 
Slides GDPR
Slides GDPRSlides GDPR
Slides GDPR
 
Intervention CNIL : droit des internautes et obligations des e-marchands
Intervention CNIL : droit des internautes et obligations des e-marchandsIntervention CNIL : droit des internautes et obligations des e-marchands
Intervention CNIL : droit des internautes et obligations des e-marchands
 
Glossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdfGlossaire-RGPD_FR.pdf
Glossaire-RGPD_FR.pdf
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
 
GDPR et PME
GDPR et PMEGDPR et PME
GDPR et PME
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
 
La protection des données personnelles
La protection des données personnellesLa protection des données personnelles
La protection des données personnelles
 
Gdpr
Gdpr Gdpr
Gdpr
 
Présentation de Stéphanie Foulgoc
Présentation de Stéphanie FoulgocPrésentation de Stéphanie Foulgoc
Présentation de Stéphanie Foulgoc
 

Open Data, protection des données personnelles et de la vie privée

  • 1. Le contenu de cette formation est la propriété exclusive de CIL CONSULTING et fait l’objet d’une protection au titre des droits de propriété intellectuelle. Toute copie, reproduction, modification, distribution, affichage ou vente, par quelque procédé ou forme que ce soit, en tout ou partie, de tout élément du contenu de cette formation, et pour toute autre finalité y compris à titre commercial, sans l’autorisation préalable de CIL CONSULTING, s'apparente à de la contrefaçon et pourra donner lieu à des poursuites. Un « OPEN DATA » respectueux de la vie privée La protection des données personnelles dans le cadre de la publication et de la réutilisation des données publiques 12 juin 2014
  • 2. Les compagnies de Big Data traitent jusqu’à 75000 données par pers. Source http://rt.com/usa/158968- big-data-companies-mine-points/ Introduction: Au-delà de l’open data, savoir comprendre les risques liés aux Big Data Effet mosaïque du Big Data @DavidSimplotRyl OPEN DATA
  • 3.  Dès lors qu’une donnée a été associée à l’identité d’une personne , toute association à une identité virtuelle brise l’anonymat des autres données. (source : Texas researchers Arvind Narayanan and Vitaly Shmatikov) Vous + Big Data = Zéro anonymat Période de 6 mois 2012-2013 –vélib-info publiques- Londres http://qz.com/199209/londons-bike-share-program-unwittingly-revealed-its-cyclists- movements-for-the-world-to-see/  Possibilités de « dés-anonymisation »: -Par croisement de données internes anonymes. -Par croisement avec des fichiers externes. Introduction: Contexte Ex. données de transport- tant que le RT a accès aux données brutes et pas uniquement aux données agrégées on considère qu’il y a des risques
  • 4. Open Data: deux principes  Publication des données détenues par les administrations ;  Libre réutilisation par les citoyens ou les entreprises des données ainsi publiées. Mais pas encore de loi:  Pas de définition juridique de l’ Open data/donnée publique  Directive ISP 2003/98/CE concernant la réutilisation des informations du secteur public (doit être transposée avant le 18/07/2015)→ à des fins commerciales ou pas Exception: protection des DCP  Le 1er Chief Data Officer dans un pays européen → droit de « data perquisition » Un cadre juridique protecteur des données personnelles et de la vie privée:  Loi « Informatique et libertés » du 6 janvier 1978 (transposition directive UE 95/46)  Convention n° 108 - Conseil de l’Europe- traitement automatisé des données à caractère personnel  Art.6,7,13 Loi « CADA » du 17 juillet 1978 sur l’accès aux documents administratifs (droit d’accès et libre réutilisation)  Art. 8 CEDH et art. 9 code civil  Un projet de règlement européen de protection des données (2014?) Avis G29 – Sont considérées comme des données à caractère personnel, les données ayant trait aux caractéristiques ou au comportement d’une personne ou si cette information est utilisée pour déterminer ou influencer la façon dont cette personne est traitée ou évaluée». Données à caractère personnel: -informations qui permettent d’identifier directement une personne -Ou indirectement (ex : un numéro de sécurité sociale) -ou par recoupement (ex: une date de naissance associée à une commune de résidence). 1- Quel cadre juridique pour les « données publiques »?
  • 5. Conséquences:  Principe: les données personnelles ne peuvent être mises en ligne par l’administration ni faire l’objet d’une réutilisation par un tiers.  Trois exceptions : - Consentement de l’intéressé à cette diffusion, - Obligation légale de publication, - Anonymisation des données publiées Risques:  Violation des règles de protection des données (cas d’une loi ou du consentement de la personne)  Détournement de finalité ou réutilisation incompatible avec la finalité initiale  Ré-identification Pouvant aboutir à …. Usurpation d’identité, discrimination, stratification sociale, exclusion/inclusion, perte d’un droit, atteinte aux libertés, préjudice physique et moral, stigmatisation liés aux techniques d’analyse et au « Profiling » … Certaines données personnelles sont communicables et réutilisables, D’autres peuvent être communicables mais non réutilisables ou soumises à des règles de réutilisation. Ex. les données d’annuaire de service public Ex. Les données contenues dans des listes électorales, de diplômés… 1- Quel cadre juridique pour les « données publiques »?
  • 6. Public : personnes en charge ou impliquées dans la mise en oeuvre d’une plateforme ou d’une politique d’open data dans mon organisme 1- Quel cadre juridique pour les « données publiques »?
  • 7. 2- Des lois protectrices des données personnelles & de la vie privée
  • 8. Art. 6 II. CADA- Ne sont communicables qu’à l’intéressé les documents administratifs : « - dont la communication porterait atteinte à la protection de la vie privée, au secret médical (…) ; « - portant une appréciation ou un jugement de valeur sur une personne physique (…)facilement identifiable ; « - faisant apparaître le comportement d’une personne, dès lors que la divulgation de ce comportement pourrait lui porter préjudice. Art.7 CADA- (…) sauf dispositions législatives contraires, les documents administratifs qui comportent (…) des données à caractère personnel ne peuvent être RENDUS PUBLICS qu'après avoir fait l'objet d'un traitement afin d'occulter ces mentions ou de rendre impossible l'identification des personnes qui y sont nommées. Art.13 CADA Les informations publiques comportant des données personnelles peuvent faire l’objet d’une REUTILISATION dans 3 hypothèses : -consentement de la personne concernée, -anonymisation des données par l’autorité détentrice, -ou, si une disposition législative ou réglementaire le permet. (licence obligatoire si redevance mais recommandée pour informer les ré-utilisateurs sur leurs obligations) PRADA: personne responsable de l’accès aux documents administratifs et des questions relatives à la réutilisation des informations publiques Le fait que des données personnelles aient été rendues publiques en vertu de l’Art.7 ne vaut pas autorisation pour une réutilisation 2- Des lois protectrices des données personnelles & de la vie privée 2.1. La protection des données personnelles dans la loi du 17 juillet 1978 (CADA)
  • 9. A RETENIR  Sauf à ce que les données soient anonymisées, les règles de protection des données personnelles s’appliquent  La divulgation de données commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende (article 226-22 du code pénal). Qui doit anonymiser les données personnelles? - L’administration (Article 13 al.1 « loi CADA ») - sous réserve que cela n’entraîne pas des efforts disproportionnés (Article 40 du décret n° 2005-1755 du 30 décembre 2005) Comment? Intervention humaine ou logiciel Gestion d’incident: Savoir remédier rapidement à la diffusion accidentelle d’informations personnelles 2- Des lois protectrices des données personnelles & de la vie privée
  • 10.  Formalités préalables auprès de la CNIL Réutilisation → Notification du traitement à la CNIL Par le responsable de traitement → par le ré-utilisateur Ex. AU 029- données contenues dans les archives publiques  Base légale à la collecte des données personnelles Consentement (manifestation de volonté libre, spécifique et informée) Ou loi Ou autre base légale (ex. mission de service public).  Information préalable des personnes (Art. 32 LIL): Par le ré-utilisateur  Principe de proportionnalité (art.6 LIL) ……. vers un principe de « minimisation de la collecte »  Qualité des données (art.6 LIL et art.12 CADA)  Durée de conservation limitée (art.6 LIL)  Interdiction des transferts de DCP en dehors de l’UE…sauf exception prévue par la loi 2- Des lois protectrices des données personnelles & de la vie privée 2.2. La « loi informatique et libertés » du 06 janvier 1978 (LIL)
  • 11. Droit d’opposition (article 38 LIL) Sauf exception légale, toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des DCP la concernant fassent l'objet d'un traitement. Droit d’accès (article 39 LIL) Toute personne physique a le droit d’obtenir des informations sur le traitement des données le concernant et a le droit d’en obtenir la communication.  Droit de rectification (art.40 LIL) Toute personne physique peut exiger, sans frais, que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les DCP la concernant. 2- Un cadre juridique protecteur des données personnelles & de la vie privée A SAVOIR: Projet de règlement UE- horizon 2015 - Des sanctions à hauteur de 100 M €? - Notification des failles de confidentialité
  • 12.  Obligation de sécurité : Art.34 et 35 Loi du 06/01/1978 « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (Art.34)  Processus d’amélioration continue: Vérifier régulièrement la méthode d’anonymisation et si elle doit être adaptée (ex. conséquences de l’introduction de nouvelles données dans la base, mise à disposition de nouvelles bases de données, progrès des techniques ).  Sous-traitance: Il est possible de passer un marché public pour procéder aux opérations d’anonymisation. La prestation doit être encadrée par un contrat.  Le ré-utilisateur est tenu à la même obligation de sécurité en tant que responsable de traitement. 2- Un cadre juridique protecteur des données personnelles & de la vie privée
  • 13. La réutilisation d’informations publiques comportant des données personnelles est subordonnée au respect des dispositions de la loi du 06/01/1978 et du 17/07/1978 → Licence ou CGU Réutilisation : utilisation « à d’autres fins que celles de la mission de service public en vue de laquelle les documents ont été élaborés ou sont détenus » Les données sont collectées pour des finalités déterminées, explicites et légitimes, Et elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. (Exception: traitement ultérieur à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible→ accès limité) En principe pas de réutilisation des données personnelles, sauf: -Anonymisation -Loi -Consentement « spécifique »+ mesures de sécurité et respect des dispositions de la loi informatique et libertés  Le principe de finalité spécifique des traitements de données personnelles Réutilisation = Nouvelle finalité 2- Un cadre juridique protecteur des données personnelles & de la vie privée
  • 14.  Après anonymisation les données perdent leur caractère personnel et ne sont plus soumises à la loi du 06/01/1978 Comment déterminer s’il y a anonymisation? CNIL: l’anonymisation est un procédé irréversible La CNIL n’impose pas de méthode mais estime la conformité du procédé (article 8-III) Démarche au cas par cas- selon « moyens probables et raisonnables » de ré-identification- par RT et tiers Critères: coût de l'identification, temps nécessaire à celle-ci, fonction des technologies disponibles au moment du traitement et de leur évolution, intérêt pour les utilisateurs, bénéfice public. 3- la réutilisation des données personnelles
  • 15. 3- la réutilisation des données personnelles Pseudonymisation ≠ anonymisation irréversible  « Pseudonymisation » (Repose sur la sécurité du secret) - Table de correspondance- réversible- niveau faible - Chiffrement- réversible-niveau faible - Hachage-irréversible-niveau moyen (on peut reconstituer par réitération)  « Masquage » ou suppression ou ajout de bruit,  Agrégation: - Dépend du niveau d’agrégation Principale faille = liens initiaux entre les données Avis G29: 3 critères pour évaluer l’anonymisation -Risque d’individualisation: possibilité d’isoler un/des enregistrement(s) sur une personne -Risque de corrélation des informations relatives à une personne ou à un groupe de personnes (linkibility), -Risque d’inférence- déduction des valeurs (ex. 2013)/informations relatives à une personne
  • 16. Recommandations du G29 (groupe des CNIL UE)  'data protection by design’ et ‘by default'  Obligation de mener une Etude d’Impact sur la Vie Privée & les Libertés avant toute réutilisation des données  Avant de rendre les données disponibles pour réutilisation , évaluation de: - La possibilité de réutilisation des données, - Conditions de réutilisation, - Mesures de protection - Evaluation du risque de ré-identification ( avec tests d’intrusion ) -Par croisement de données internes anonymes -Par croisement avec des fichiers externes Conseils  Auprès de Etalab,  Associer le PRADA et le CIL s’il en existe un. 4- Quelle démarche mettre en œuvre pour protéger les données personnelles?
  • 17. Etude d’impacts sur la vie privée Analyse de risques • Niveau de détail de l’EIVP • Inventaire des catégories de données • Cartographie des flux Art. 17 CADA: Les administrations qui produisent ou détiennent des informations publiques tiennent à la disposition des usagers un répertoire des principaux documents dans lesquels ces informations figurent.  Pas de publication (=exception)  Publication mais droits restreints de réutilisation (risque mais bénéfice social)  Publication et réutilisation 4- Quelle démarche mettre en œuvre pour protéger les données personnelles?
  • 18. « Data protection by Design » Intégration des principes de protection des données et de la vie privée: - dès la conception - Par défaut - Tout au long du cycle de vie Concevoir la base dans la perspective d’une éventuelle anonymisation Ex. Prévoir le marquage des données (suivi) 4- Conclusion: Intégrez les règles de protection des données et de la vie privée en amont des projets Ex. empêcher les téléchargements massifs de données, Limiter les possibilités de recherche… Art. 23 du projet de règlement européen de protection des donnés
  • 19. Open data et protection des données personnelles et de la vie privée Merci de votre attention Florence BONNET – florence.bonnet@cil-consulting.com CIL CONSULTING – www.cil-consulting.com 171 avenue Charles de Gaulle – 92200 NEUILLY SUR SEINE @FlorenceBonnet