Le contenu de cette formation est la propriété exclusive de CIL CONSULTING et fait l’objet d’une protection au titre des d...
Un enjeu éthique au-delà de la protection des données… 
Les compagnies de Big Data traitent jusqu’à 75000 données par pers...
Un enjeu éthique au-delà de la protection des données… 
Dès lors qu’une donnée a été associée à l’identité d’une personne,...
Une problématique internationale 
Source: Nymity 
Plus de 100 lois de protection des données et de la vie privée dans le ...
La violation des règles de protection des données personnelles estpassible de sanctions 
Les sanctions de la 
•Sanctions ...
Un cadre juridique européen datant de 1995 en cours de réforme 
Une directive Européenne et un projet de règlement pour 2...
Les risques dus aux traitements d’analyse et de «profiling» 
•Analysedes sentiments (Natural Language Processing) , Analys...
Des principes apparemment contradictoires 
LES PRINCIPES ET LES DROITS APPLICABLES AUX TRAITEMENTS DE DONNEES PERSONNELLES...
Les obligations liées à la sécurité et à la confidentialité des données 
Sécurité → physique, logique, organisationnelle ...
Focus sur le principe de finalité spécifique 
Les données sont collectées pour des finalités déterminées, explicites et lé...
Les avis des régulateurs (CNIL et G29) 
Comment déterminer s’il y a anonymisation ? 
Pour la CNIL : l’anonymisation est un...
Big Data et principe de finalité spécifique 
Quid de la réutilisationdes donnéespersonnellesdansle cadre du Big Data?
La réforme européenne : principaux changementsattendus 
Renforcementdes droitsdes citoyensde l’UE(Transparence, maitrised...
Vers un principe de transparence
En conclusion 
Pour toute démarche Big Data, 3 réflexes à adopter 
Analyse de risques 
Etude d’impacts sur la vie privée 
...
Merci de votre attention 
Pour en savoir plus 
Florence BONNET – florence.bonnet@cil-consulting.com 
CIL CONSULTING – www....
BigDataBx #1 - BigData et Protection de Données Privées
Prochain SlideShare
Chargement dans…5
×

BigDataBx #1 - BigData et Protection de Données Privées

5 539 vues

Publié le

Présentation BigData et Protection des données personnelles et privées par CIL Consulting

Publié dans : Données & analyses
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
5 539
Sur SlideShare
0
Issues des intégrations
0
Intégrations
12
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

BigDataBx #1 - BigData et Protection de Données Privées

  1. 1. Le contenu de cette formation est la propriété exclusive de CIL CONSULTING et fait l’objet d’une protection au titre des droits de propriété intellectuelle. Big data, protection des données personnelles et de la vie privée
  2. 2. Un enjeu éthique au-delà de la protection des données… Les compagnies de Big Data traitent jusqu’à 75000 données par pers. Source http://rt.com/usa/158968-big-data-companies-mine-points/ Effet mosaïque du Big Data @DavidSimplotRyl
  3. 3. Un enjeu éthique au-delà de la protection des données… Dès lors qu’une donnée a été associée à l’identité d’une personne, toute association à une identité virtuelle brise l’anonymat des autres données. (source: Texas researchersArvindNarayanan and Vitaly Shmatikov) Vous + Big Data = Zéro anonymat Pouvant aboutir à …. Discrimination, stratification sociale, exclusion/inclusion, perte d’un droit, atteinte aux libertés, préjudice physique et moral, stigmatisation liés aux techniques d’analyse et au «Profiling»…
  4. 4. Une problématique internationale Source: Nymity Plus de 100 lois de protection des données et de la vie privée dans le monde (outre les lois sectorielles US)
  5. 5. La violation des règles de protection des données personnelles estpassible de sanctions Les sanctions de la •Sanctions administratives •Avertissement (public ou pas) •Injonction de cesser le traitement •Retrait de l’autorisation •Amendes 150 K€-300 K€si récidive (peuvent être rendues publiques) •Sanctions pénales •5 ans d’emprisonnement et 300 K€d’amende
  6. 6. Un cadre juridique européen datant de 1995 en cours de réforme Une directive Européenne et un projet de règlement pour 2014-2015 En France, la loi « Informatique et Libertés» (LIL) du 6 janvier 1978 modifiée en 2004 Art.2 La loi s'applique: -Aux traitements automatisés (informatiques) ou non (papier), -De données à caractère personnel. N.B. La loi ne s’applique pasaux traitements mis en oeuvre «pour l'exercice d'activités exclusivement personnelles» N.B.Mêmes rendues publiques, les données personnelles restent soumises aux règles de protection des données. Qu’est-ce qu’une donnée à caractère personnel ? •informations qui permettent d’identifier directement une personne (ex: un nom et un prénom) •informations qui permettent d’identifier indirectement une personne (ex: un numéro de sécurité sociale) ou par recoupement (ex: une date de naissance associée à une commune de résidence).
  7. 7. Les risques dus aux traitements d’analyse et de «profiling» •Analysedes sentiments (Natural Language Processing) , Analysesociale, Profiling… •Analyseprédictive« le pouvoirde prédirequi vacliquer, acheter, mentiroumourir» E. Siegel •“Preemptive predictions”: utiliséepour déduireles probabilitésd’évènementsliésàunepersonne- risques Traitement de DP: Toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé (ex. collecte, interconnexion, hébergement…)
  8. 8. Des principes apparemment contradictoires LES PRINCIPES ET LES DROITS APPLICABLES AUX TRAITEMENTS DE DONNEES PERSONNELLES Les données sont collectées et traitées de manière loyale et licite N.B.interdiction données «sensibles» sauf exception Principe de finalité spécifique Proportionnalité: traitement des seules les données strictement nécessaires Qualité des données: exactes, mises à jour Durée de conservation limitée Information des personnes → Transparence Droits des personnes: accès, rectification, opposition →vers un droit à «l’effacement» BIG DATA Légalité de la collecte des données pas toujours maitrisée Réutilisation des données pour de nouvelles finalités Notion de maximisation des données Conservation souvent illimitée des données Comment informer les personnes concernées? Multiplicité des acteurs: comment gérer les droits des personnes
  9. 9. Les obligations liées à la sécurité et à la confidentialité des données Sécurité → physique, logique, organisationnelle -En fonction des risques, -Empêcher que les données soient déformées, endommagées, ou un accès illégitime -Obligation contractuelle du sous-traitant…et bientôt légale Principe: Interdiction des transferts de données hors UE- Des exceptions prévues par la loi «Il est indispensable qu’une entreprise française qui envisage de recourir au Cloud Computingréalise une analyse de risques» (CNIL) SafeHarbor
  10. 10. Focus sur le principe de finalité spécifique Les données sont collectées pour des finalités déterminées, explicites et légitimes, Et elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. N.B.La réutilisation de données personnelles y compris publiques est subordonnée au respect de la loi du 6 janvier 1978. Un traitement non compatible avec la finalité initiale est illégal sauf si : •Anonymisations •Obligation légale (sureté nationale par ex.) •Consentement + mesures de sécurité et respect des dispositions de la loi informatique et libertés Scenario: 1.Compatibilité évidente 2.Compatibilité pas évidente besoin d’une analyse cas/cas 3.Incompatibilité évidente
  11. 11. Les avis des régulateurs (CNIL et G29) Comment déterminer s’il y a anonymisation ? Pour la CNIL : l’anonymisation est un procédé irréversible ≠ pseudo –anonymat La CNIL n’impose pas de méthode mais estime la conformité du procédé (art.8-III) La CNIL apprécie 3 caractéristiques du hachage: •Le caractère irréversiblede l’anonymisation •Le taux très faible des « collisions » •Les performances informatiques des algorithmes de hachage sont suffisamment bonnes pour ne pas soulever de problème particulier. •Pour le G29 : 3 critères pour évaluer l’anonymisation •Risque d’individualisation : possibilité d’isoler un/des enregistrement(s) sur une personne •Risque de corrélation des informations relatives à une personne ou à un groupe de personnes (linkibility), •Risque d’inférence : déduction des valeurs (ex. 2013)/informations relatives à une personne.
  12. 12. Big Data et principe de finalité spécifique Quid de la réutilisationdes donnéespersonnellesdansle cadre du Big Data?
  13. 13. La réforme européenne : principaux changementsattendus Renforcementdes droitsdes citoyensde l’UE(Transparence, maitrisedes données, droitàl’oubli/effacement, nouvellesactions en justice) Responsabilisationde l’ensembledes acteurs Accountability Etude d’impactssurla vie privée Notification obligatoiredes failles Privacy By Design, Security By Default Hausse des sanctions: •1 M €ou jusqu’à 2% C.A. Groupe •(Parlement: 5% C.A. et 100 M€) Encadrementdu profiling (analyseouprédiction): Si risqued'impactssurla vie privéeet les libertés ……Alorsle profiling n’estpossible quedans3 cas: consentement, loioucontrat. «Profiling» de données sensibles interditHorizon fin 2014
  14. 14. Vers un principe de transparence
  15. 15. En conclusion Pour toute démarche Big Data, 3 réflexes à adopter Analyse de risques Etude d’impacts sur la vie privée Privacyby Design Source:http://www.privacybydesign.ca/-A.Cavoukian
  16. 16. Merci de votre attention Pour en savoir plus Florence BONNET – florence.bonnet@cil-consulting.com CIL CONSULTING – www.cil-consulting.com 20bis rue Louis Philippe – 92200 NEUILLY SUR SEINE 01 46 98 90 01 - 06 77 914 731 @FlorenceBonnet

×