la vie privée sur Internet

1 470 vues

Publié le

Conférence donnée le 10/11/2009 dans le cadre des espaces publics numériques wallons

Publié dans : Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 470
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
71
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

la vie privée sur Internet

  1. 1. <ul><li>Le respect de la vie privée </li></ul>http://www.villiard.com/images/informatique/vie-privee/vie-privee.jpg Jacques Folon Partner Just In Time Management Professeur à l’ICHEC, ISFSC, IHECS Professeur invité à l’Université de Metz
  2. 2. La présentation est sur www.slideshare.net/folon
  3. 4. AVANT
  4. 5. Ce que les patrons croient…
  5. 6. En réalité…
  6. 7. Ou sont les données?
  7. 8. Tout le monde se parle !
  8. 9. Les gens partagent des informations
  9. 11. Source : https://www.britestream.com/difference.html .
  10. 14. La transparence est devenue indispensable !
  11. 15. Comment faire pour protéger les données?
  12. 16. <ul><li>60% des citoyens européens se sentent concernés </li></ul><ul><li>La découverte des vols de données se fait après-coup! </li></ul><ul><li>La protection des données est un risque opérationnel => observé par les investisseurs </li></ul><ul><li>La connaissance de ses clients est un atout (CRM) </li></ul>La mise en conformité de la sécurité avec la protection de la vie privée est obligatoire et indispensable
  13. 17. Quels sont les risques? <ul><li>Perte de réputation (procès, articles,…) </li></ul><ul><li>Les médias en parlent systématiquement </li></ul><ul><li>Vol de données de clients, d’employés, d’administrateurs, … </li></ul><ul><li>Perte de confiance des clients </li></ul><ul><li>Sanctions pénales et civiles </li></ul>On en parlera !
  14. 18. Contexte juridique
  15. 19. Trois définitions importantes
  16. 20. <ul><li>Qu’est-ce qu’une donnée personnelle? </li></ul><ul><li>Qu’est-ce qu’un traitement? </li></ul><ul><li>Qu’est-ce qu’un responsable de traitement? </li></ul>
  17. 21. Donnée personnelle On entend par &quot;données à caractère personnel”: toute information concernant une personne physique i dentifiée ou identifiable, désignée ci-après &quot;personne concernée&quot;; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs É léments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale
  18. 22. Par &quot;traitement&quot;, on entend toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés A utomatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de données à caractère personnel. Traitement de données
  19. 23. Par &quot;responsable du traitement&quot;, on entend la personne physique ou morale, l'association de fait ou l'administration publique qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel . Responsable de traitement
  20. 24. <ul><li>Loyauté </li></ul><ul><li>Finalité </li></ul><ul><li>Proportionalité </li></ul><ul><li>Exactitude des données </li></ul><ul><li>Conservation non excessive </li></ul><ul><li>Securité </li></ul><ul><li>Confidentialité </li></ul><ul><li>Finalité expliquée avant le consentement </li></ul><ul><li>Information à la personne concernée </li></ul><ul><li>Consentement indubitable (opt in) </li></ul><ul><li>D é claration à la commission de la vie privée </li></ul>Responsabilités du “responsable de traitement  »
  21. 25. Droits du consommateur
  22. 26. Droits du consommateur <ul><li>6 PRINCIPES: </li></ul><ul><li>Droit d’accès </li></ul><ul><li>Droit de rectification </li></ul><ul><li>Droit de refuser le marketing direct </li></ul><ul><li>Droit de retrait </li></ul><ul><li>D roit à la sécurité </li></ul><ul><li>A cceptation préalable </li></ul>
  23. 27. Données reçues et transférées
  24. 28. Informations sensibles
  25. 29. Informations sensibles <ul><li>Race </li></ul><ul><li>Opinions politiques </li></ul><ul><li>Opinions religieuses ou philosophiques </li></ul><ul><li>Inscriptions syndicales </li></ul><ul><li>Comportement sexuel </li></ul><ul><li>Santé </li></ul><ul><li>Décisions judiciaires </li></ul>
  26. 31. OPT IN sur Internet <ul><li>Obligatoire </li></ul><ul><li>Le propriétaire de la banque de données doit être capable de prouver que l’opt-in a bien eu lieu !! </li></ul><ul><li>Exceptions selon les législations </li></ul>
  27. 32. Coockies
  28. 33. Transferts de données transfrontaliers
  29. 34. S é curit é
  30. 36. <ul><li>Que peut-on contrôler? </li></ul><ul><li>Limites? </li></ul><ul><li>Correspondance privée </li></ul><ul><li>CC81 </li></ul><ul><li>Saisies sur salaire </li></ul><ul><li>Sanctions réelles </li></ul><ul><li>Communiquer les sanctions? </li></ul>
  31. 37. Le maillon faible…
  32. 39. <ul><li>Sécurité organisationnelle </li></ul><ul><ul><li>Département sécurité </li></ul></ul><ul><ul><li>Consultant en sécurité </li></ul></ul><ul><ul><li>Procédure de sécurité </li></ul></ul><ul><ul><li>Disaster recovery </li></ul></ul>
  33. 40. <ul><li>Sécurité technique </li></ul><ul><ul><li>Risk analysis </li></ul></ul><ul><ul><li>Back-up </li></ul></ul><ul><ul><li>Procédure contre incendie, vol, etc. </li></ul></ul><ul><ul><li>Sécurisation de l’accès au réseau IT </li></ul></ul><ul><ul><li>Système d’authentification (identity management) </li></ul></ul><ul><ul><li>Loggin and password efficaces </li></ul></ul>
  34. 41. <ul><li>Sécurité juridique </li></ul><ul><ul><li>Contrats d’emplois et information </li></ul></ul><ul><ul><li>Contrats avec les sous-contractants </li></ul></ul><ul><ul><li>Code de conduite </li></ul></ul><ul><ul><li>Contrôle des employés </li></ul></ul><ul><ul><li>Respect complet de la réglementation </li></ul></ul>
  35. 42. Qui contrôle quoi ?
  36. 43. Espérons que la sécurité de vos données ne ressemble jamais à ceci !
  37. 44. Contrôle des employés : équilibre <ul><li>Protection de la vie privée des travailleurs </li></ul><ul><li>ET </li></ul><ul><li>Les prérogatives de l’employeur tendant à garantir le bon déroulement du travail </li></ul>
  38. 45. Principe de finalité Principe de proportionnalité Procédure Individualisation
  39. 46. Les 4 finalités <ul><li>Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui </li></ul><ul><li>La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires </li></ul>
  40. 47. Les 4 finalités 3 La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise 4 Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise
  41. 48. Peut-on tout contrôler et tout sanctionner ?
  42. 49. <ul><li>Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres travailleurs, aux sociétés liées ou à ses procédés techniques ; </li></ul><ul><li>Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de XXX ; </li></ul><ul><li>Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans avoir obtenu toutes les autorisations des ayants droit; </li></ul><ul><li>Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département informatique ; </li></ul><ul><li>Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle soit, avec ou sans possibilité de gain ; </li></ul><ul><li>Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ; </li></ul><ul><li>Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ; </li></ul><ul><li>Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ; </li></ul><ul><li>Participer à des chaînes de lettres, quel qu’en soit le contenu ; </li></ul><ul><li>Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ; </li></ul><ul><li>Participer directement ou indirectement à des envois d’emails non sollicités ; </li></ul><ul><li>Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ; </li></ul><ul><li>Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à des tiers ; </li></ul><ul><li>L’énumération ci-dessus n’est pas limitative. </li></ul><ul><li>  </li></ul>
  43. 50. sanctions <ul><li>Dans le RT </li></ul><ul><li>Cohérentes </li></ul><ul><li>Légales </li></ul><ul><li>Zone grise </li></ul><ul><li>Réelles </li></ul><ul><li>Objectives </li></ul><ul><li>Syndicats </li></ul>
  44. 51. 8.3 Fin du Contrat
  45. 52. Sécurité et sélection <ul><li>Screening des CV </li></ul><ul><li>Avant engagement </li></ul><ul><li>Final check </li></ul><ul><li>Antécédents </li></ul><ul><li>Quid médias sociaux, Facebook, googling, etc? </li></ul><ul><li>Tout est-il permis? </li></ul>
  46. 53. RÖLE DU RESPONSABLE DE SECURITE
  47. 54. Securité: à retenir <ul><li>Top down </li></ul><ul><li>Obligation légale </li></ul><ul><li>Risque ou opportunité? </li></ul><ul><li>Sécurité juridique </li></ul><ul><li>Sécurité organisationelle </li></ul><ul><li>Sécurité informatique </li></ul><ul><li>Contrôle des employés </li></ul>
  48. 55. COMMENT IMPLEMENTER LA LOI?
  49. 56. Méthodologie http://www.sunera.com/typo3temp/pics/f43202fdda.jpg
  50. 57. Procédure et méthodologie <ul><li>Décision stratégique à haut niveau </li></ul><ul><li>Réflexion et décision quant à la procédure de mise en place et ses implications en terme d’organisation et en particulier: </li></ul><ul><ul><li>Change management </li></ul></ul><ul><ul><li>Identity management </li></ul></ul><ul><ul><li>Security management </li></ul></ul><ul><li>Désignation d’un chef de projet interne </li></ul><ul><li>Analyse et adaptation des procédures de collecte de données </li></ul><ul><li>Analyse et adaptation des bases de données existantes </li></ul><ul><li>Régler la situation actuelle </li></ul><ul><li>Établissement de règles pour le futur </li></ul><ul><li>Procédures de contrôle et d’audit </li></ul>
  51. 58. Aspects stratégiques <ul><li>Il faut gagner la confiance des consommateurs </li></ul><ul><li>Le respect de la vie privée peut être un incitant à repenser l’organisation </li></ul><ul><li>L’obligation légale de sécurité peut être un moyen de penser une sécurité globale </li></ul><ul><li>Le respect de la vie privée est un excellent outil marketing à partir du moment où la loi n’est pas encore respectée. </li></ul>
  52. 59. Alors quand un patron pense à ses données il est zen ?
  53. 60. Ou plutôt?
  54. 61. Quels sont les risques ? 10/11/09 Jacques Folon -LSGI
  55. 71. CONCLUSION ce ne sera pas simple …
  56. 72. QUESTIONS ?
  57. 74. MERCI de votre attention Jacques Folon + 32 475 98 21 15 J [email_address] www.jitm.eu
  58. 75. Février 2008

×