Protection des données personnelles               et  développement d’applications         informatiques            Agnès ...
Thèmes I&L                 Informatique et Libertés• Protection de la vie privée et des libertés• Données personnelles• Tr...
Données personnelles• Nom, prénom, autres prénoms• Date de naissance, n° SS, n°adhésion Mutuelle,  immatriculation du véhi...
Données sensiblesN° Sécurité sociale (sauf organismes déjà autorisés)Biométrie, Données de santéDonnées génétiques (ADN)In...
Données INTERDITES Origine ethnique, Opinions religieuses et politiques Appartenance syndicale, Habitudes de vie, Commenta...
Traitement informatisé•   Outils bureautiques, messagerie électronique•   Logiciel standard•   Progiciel (SAP, ERP, …)•   ...
Traitements SensiblesEnvironnement numérique de travailTraitement avec n° sécurité socialeTraitement avec données sensible...
Traitements INTERDITSTraitement avec des données interditesAutomatisation de traitement conduisantà la discriminationRecou...
Déclaration d’un traitement informatisé               Le responsable de traitement (RT)• Identification du RT (responsable...
Déclaration au CILAvant la mise en exploitation du traitement• Conseils lors rédaction CC    fiche pré-étude• Dossier de d...
Obligations I&L                   Informatique et Libertés•   Collecte loyale•   Action dans la transparence•   Données ex...
Développement d’applications informatiques        Et moi, le développeur ???                • Je suis responsable de quoi ...
Fonctionnalités du traitement   Obligations                         Responsabilité du RT                      Responsabili...
Accès au traitement et aux données  Obligations                        Responsabilité                  Responsabilité     ...
Saisie, modification de données                   Responsabilité du RT                      Responsabilité              Ou...
Saisie, modification de données                      Responsabilité du                  Responsabilité                  Ou...
Calcul de données                   Responsabilité du             Responsabilité             Outil facilitant  Obligations...
Consultation de données Obligations     Responsabilité du RT            Responsabilité                Outil facilitant    ...
Editions - Export des données Obligations        Responsabilité du RT              Responsabilité           Outil facilita...
Publication sur site Web - Transfert des données                          Responsabilité du RT                Responsabili...
Conservation des données                       Responsabilité du RT                Responsabilité          Outil facilitan...
Garantir l’intégrité des données  Action         Responsabilité   Responsabilité          Outil facilitant                ...
Protéger les données personnelles  Action        Responsabilité du RT       Responsabilité        Outil facilitant        ...
Evolution des applications informatiques   Avant la modification du traitement   Déclaration de la modification au CIL   •...
Prochain SlideShare
Chargement dans…5
×

Presentation pour les développeurs informatiques

1 721 vues

Publié le

Support de cours à destination des développeurs informatiques

La présentation est organisée autour des différentes phases de conception :

Modules saisie, modification
Modules de calcul
Modules d’export de données
Modules WEB,


Mis en ligne avec l'aimable autorisation de l'auteur Agnès Laplaige, CIL de l'Ecole Polytechnique

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 721
Sur SlideShare
0
Issues des intégrations
0
Intégrations
30
Actions
Partages
0
Téléchargements
51
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Presentation pour les développeurs informatiques

  1. 1. Protection des données personnelles et développement d’applications informatiques Agnès Laplaige, CIL de lEcole Polytechnique avril 2011
  2. 2. Thèmes I&L Informatique et Libertés• Protection de la vie privée et des libertés• Données personnelles• Traitement automatisé (application informatique)• Déclaration du traitement à la CNIL
  3. 3. Données personnelles• Nom, prénom, autres prénoms• Date de naissance, n° SS, n°adhésion Mutuelle, immatriculation du véhicule, n° badge, adresse du domicile, n°carte bancaire, RIB, …• Adresse IP 129.104.23.36• Photo Tout ce qui permet l’identification directe ou indirecte de la personne Données mises en œuvre dans les traitements informatisés
  4. 4. Données sensiblesN° Sécurité sociale (sauf organismes déjà autorisés)Biométrie, Données de santéDonnées génétiques (ADN)Infractions, condamnations, mesures de sûretéAppréciations (commentaires, observations) sur lesdifficultés sociales des personnes demande d’autorisation de la CNIL
  5. 5. Données INTERDITES Origine ethnique, Opinions religieuses et politiques Appartenance syndicale, Habitudes de vie, Commentaires abusifs Le responsable de traitement (RT)
  6. 6. Traitement informatisé• Outils bureautiques, messagerie électronique• Logiciel standard• Progiciel (SAP, ERP, …)• Développement, application spécifique• Annuaire LDAP, Active Directory, log réseau, journaux des accès• Site WEB avec collecte et – ou affichage de données personnelles• Infocentre (BO, Crystal Reports, …) •Quelque soit le langage de développement •Quelque soit l’architecture (client-serveur, web, monoposte, …) •Quelque soit le type de base de données •Quelque soit la volumétrie
  7. 7. Traitements SensiblesEnvironnement numérique de travailTraitement avec n° sécurité socialeTraitement avec données sensiblesDemande d’autorisation ou demande d’avis à la CNIL Le responsable de traitement (RT)
  8. 8. Traitements INTERDITSTraitement avec des données interditesAutomatisation de traitement conduisantà la discriminationRecoupement de fichiersTransfert de données non déclarésToute autre usage que celui indiqué dans la déclaration Le responsable de traitement (RT)
  9. 9. Déclaration d’un traitement informatisé Le responsable de traitement (RT)• Identification du RT (responsable de traitement)• Finalités du traitement• Date de mise en œuvre• Liste des données• Destinataires• Durée de conservation des données• Architecture technique• Sécurité des données (physiques et logiques)• Modalités des droits d’accès, de rectification et de suppression des données personnelles• Modalités du droit d’opposition
  10. 10. Déclaration au CILAvant la mise en exploitation du traitement• Conseils lors rédaction CC fiche pré-étude• Dossier de déclaration au CIL• Rédaction des mentions légales• MAJ du registre des traitements• Transmettre à la CNIL si demande d’avis ou demande d’autorisation• Audit conformité des traitements
  11. 11. Obligations I&L Informatique et Libertés• Collecte loyale• Action dans la transparence• Données exactes et pertinentes• !! Données sensibles et données interdites• Respect des finalités du traitement• Garantie de l’intégrité des données• Protection des données personnelles• Droit à l’oubli• Droit d’accès, rectification ou suppression• Déclaration du traitement au CIL
  12. 12. Développement d’applications informatiques Et moi, le développeur ??? • Je suis responsable de quoi quand je développe une application ?Et le chef de projet AMOA ???
  13. 13. Fonctionnalités du traitement Obligations Responsabilité du RT Responsabilité Outil facilitant I&L du MOE/E&D * Respecter les finalités décrites Vigilance !Respecter l’objectif dans la déclaration du fichier * Rédiger un cahier des charges On peut prévenir le CIL si on * Elaborer du plan de test détecte une déviance….
  14. 14. Accès au traitement et aux données Obligations Responsabilité Responsabilité Outil facilitant I&L du RT du MOE/E&D Protection des Maîtriser ses données * Concevoir le module de gestion données des accès et des droits des * Sécurité des locaux Définition les droits d’accès des utilisateurs utilisateurs * SSI * Garantir le bon filtrage sur : * Plan de tests lors des phases de recette - les fonctionnalités du traitement - l’accès aux données Demande Données sensibles = * Mettre en œuvre une protection * Authentification forteautorisation CNIL renforcée des données sensibles * Gestion des N° SS (NIRP) autorisations d’accès et Biométrie privatisation des Données génétiques données Infractions, * Cryptage * Réseau sécurisé Données de santé
  15. 15. Saisie, modification de données Responsabilité du RT Responsabilité Outil facilitant Obligations du MOE/E&D I&L Informer les personnes Insérer la rubrique « Mentions * Affichage des Agir dans la - Son identité légales » sur chaque page des mentions légales sur transparence - La finalité du traitement sites Web les formulaires papier, Web et dans les - Les destinataires bureaux accueillant les - L’exercice des droits intéressés - Les transmissions envisagées * Ne pas collecter à l’insu de la •Pas de recoupements de bases * Astérisque au vu des Collecte loyale personne de données pour produire une champs obligatoires * Spécifier les champs donnée qui serait discriminante sur les formulaires de obligatoires et les champs collectes de données facultatifs * Distinguer le « champ * Renvoi en bas du obligatoire » et le « champ formulaire pour la facultatif » signification de *Pertinence de la Garantir la cohérence de ladonnée au vu des nature des données avec les finalités de finalités du traitement traitement
  16. 16. Saisie, modification de données Responsabilité du Responsabilité Outil facilitant Obligations RT du MOE/E&D I&L Garantir la valeur exacte •Garantir le stockage de la donnée Bases de données de Exactitude des des données saisies •Garantir la restitution de la donnée type SQL données •CTL la saisie avec référentiels CTL intégrité •CTL la cohérence des données Données sensibles = Authentification forte N° SS (NIRP) Mettre en œuvre une Gestion des Demande autorisations d’accès et Biométrie protection renforcée desautorisation CNIL privatisation des Données médicales données sensibles données Cryptage Réseau sécurisé Données interdites Appartenance NE PAS ACCEPTER DE INTERDIT politique, syndicale, STOCKER DE TELLES religieuse, habitudes DONNEES DANS UN de vie, commentaires TRAITEMENT abusifs
  17. 17. Calcul de données Responsabilité du Responsabilité Outil facilitant Obligations RT du MOE/E&D I&L Exactitude des * Définir les règles données de calcul en respect Garantir le résultat des calculs Plan de tests lors des de la réglementation phases de recette et ou règles de l’artPertinence de la Garantir la pertinencedonnée au vu des des calculs sur les finalités de données avec les traitement finalités du traitement
  18. 18. Consultation de données Obligations Responsabilité du RT Responsabilité Outil facilitant I&L du MOE/E&DExactitude des données * Base de données solide • Ne pas divulguer les • Garantir la restitution des données confidentielles, données saisies, modifiées, * Authentification forteProtection des personnelles calculées * Gestion des autorisations données d’accès et privatisation des donnéesPertinence des • Garantir l’exactitude • Mettre une œuvre une * Cryptage données des données protection des données * Réseau sécurisé Si données sensibles, mettre en œuvre une protection renforcée des données sensibles Ne pas en faire un autre Respect des usage que celui défini finalités du dans les finalités du traitement traitement
  19. 19. Editions - Export des données Obligations Responsabilité du RT Responsabilité Outil facilitant I&L du MOE/E&DExactitude des •Les éditions doivent être données conformes aux finalités du * Garantir le résultat des traitement éditions, des calculs Plan de tests lors des Respect des intégrés aux éditions phases de recette finalités du traitement * L’archivage des éditions doit respecter les règles du *Garantir l’exactitudeDroit à l’oubli code du patrimoine des données exportéesProtection des Ne pas transmettre les Le MOE / E&D données données à d’autres Respect des personnes que celles n’est pas finalités du identifiées comme fournisseur de traitement destinataires dans la déclaration CNIL données
  20. 20. Publication sur site Web - Transfert des données Responsabilité du RT Responsabilité Outil Obligations I&L du MOE/E&D facilitant Agir dans la * Informer les intéressés Concevoir un module transparence * Recueillir leur accord d’enregistrement desDroit d’opposition oppositions de publication * Respecter le droit d’opposition et ou des oppositions de transfert de données Informer le destinataire desDonnées exactes données en cas de modification des données transmises
  21. 21. Conservation des données Responsabilité du RT Responsabilité Outil facilitantObligations du MOE/E&D I&L Respecter la durée de conservation des données selon la Concevoir les modules Plan de tests lors desDroit à l’oubli réglementation en vigueur (code phases de recette de gestion de la durée de du patrimoine, code du travail, conservation des LCEN code du commerce, …) données et d’archivage et ou recommandations CNIL Ce point fait l’objet de plusieurs GT au niveau national : SUPCIL CNIL et AFCDP CNIL
  22. 22. Garantir l’intégrité des données Action Responsabilité Responsabilité Outil facilitant du RT du MOE/E&D SaisieModificationSuppression Base de données solide Calcul Choix d’outilsConsultation informatiques Outil de développement sans faille de sécurité Impression sécurisés Export Protocole HTTPS Archivage Infocentre Consignes de développement
  23. 23. Protéger les données personnelles Action Responsabilité du RT Responsabilité Outil facilitant du MOE/E&D Saisie * Ne pas divulguer • 1 compte d’accès LDAPModification Gestion des PW niveau les PW par utilisateur complexeSuppression Calcul •en cas d’absence : •Profil d’accès Fermer la sessionConsultation •Gestion privatisation Fermer la porte Impression des données Export •Ne pas coller le •Accès sécurisé des Archivage PW sous le clavier salles serveurs Infocentre •Ne pas divulguer •Respect PSSI les données personnelles •Respect consignes développement •Sauvegarde BD
  24. 24. Evolution des applications informatiques Avant la modification du traitement Déclaration de la modification au CIL • Conseils lors rédaction CC fiche pré-étude • Modification de la déclaration • Rédaction des mentions légales • MAJ du registre des traitements • Transmettre à la CNIL si demande d’avis ou demande d’autorisation • Audit conformité des traitements

×