Protection des donn´es personnelles sur Internet
                   e

                  Pierre-Yves Bonnetain
           ...
B&A Consultants



     Cabinet de conseil en s´curit´ informatique cr´´ en 1996.
                            e     e     ...
Des donn´es personnelles ? O` ¸a ?
        e                   uc




                   Premi`re partie I
               ...
Qu’est-ce qu’une donn´e personnelle ?
                                                                        e
          ...
Qu’est-ce qu’une donn´e personnelle ?
                                                                       e
           ...
Qu’est-ce qu’une donn´e personnelle ?
                                                                       e
           ...
Qu’est-ce qu’une donn´e personnelle ?
                                                                        e
          ...
Qu’est-ce qu’une donn´e personnelle ?
                                                                       e
           ...
Qu’est-ce qu’une donn´e personnelle ?
                                                                       e
           ...
Qu’est-ce qu’une donn´e personnelle ?
                                                                       e
           ...
Qu’est-ce qu’une donn´e personnelle ?
                                                                       e
           ...
Qu’est-ce qu’une donn´e personnelle ?
                                                                       e
           ...
Qu’est-ce qu’une donn´e personnelle ?
                                                                       e
           ...
Qu’est-ce qu’une donn´e personnelle ?
                                                                    e
          Des ...
Qu’est-ce qu’une donn´e personnelle ?
                                                                    e
          Des ...
Deuxi`me partie II
     e

   Questions ?




                     16 / 16
Prochain SlideShare
Chargement dans…5
×

Les données personnelles et le e-commerce

1 345 vues

Publié le

Présentation par Pierre-Yves Bonnetain BA Consulting sur VADEMECOM 2010

Publié dans : Technologie, Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 345
Sur SlideShare
0
Issues des intégrations
0
Intégrations
47
Actions
Partages
0
Téléchargements
24
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Les données personnelles et le e-commerce

  1. 1. Protection des donn´es personnelles sur Internet e Pierre-Yves Bonnetain py.bonnetain@ba-consultants.fr B&A Consultants – BP 70024 – 31330 Grenade-sur-Garonne 15 juin 2010 1 / 16
  2. 2. B&A Consultants Cabinet de conseil en s´curit´ informatique cr´´ en 1996. e e ee Suivi et assistance en s´curit´ informatique. e e Audits de s´curit´, de configurations, de code... e e Tests d’intrusion, tests d’applications (boˆ blanche, boˆ ıte ıte noire) Analyses de risques, gestion des risques sur l’information Ing´ni´rie de la s´curit´ informatique, recherche de solutions e e e e Expertise judiciaire (civile ou p´nale) et expertises priv´es e e 2 / 16
  3. 3. Des donn´es personnelles ? O` ¸a ? e uc Premi`re partie I e Pr´sentation e 3 / 16
  4. 4. Qu’est-ce qu’une donn´e personnelle ? e Des donn´es personnelles ? O` ¸a ? e uc CNIL, Godfrain et Union Europ´enne e Plan 1 Des donn´es personnelles ? O` ¸a ? e uc Qu’est-ce qu’une donn´e personnelle ? e CNIL, Godfrain et Union Europ´enne e 4 / 16
  5. 5. Qu’est-ce qu’une donn´e personnelle ? e Des donn´es personnelles ? O` ¸a ? e uc CNIL, Godfrain et Union Europ´enne e Pour faire simple Une donn´e personnelle, c’est e Toute bribe d’information permettant d’identifier un individu. C’est donc, par exemple, des photos ou vid´os, e des adresses ´lectroniques, des num´ros de t´l´phone, e e ee des SMS, des discussions sur des forums, des listes d’appels t´l´phoniques ee les notes d’un blog, des pages personnelles, des e-mails, les recherches r´alis´es sur un moteur de recherche, les traces e e de navigation sur le web, des traces GPS, des traces de migration d’antennes mobiles. Attention Ne confondez pas donn´es personnelles avec donn´es priv´es. Les e e e secondes sont incluses dans les premi`res, mais n’y sont pas ´gales. e e 5 / 16
  6. 6. Qu’est-ce qu’une donn´e personnelle ? e Des donn´es personnelles ? O` ¸a ? e uc CNIL, Godfrain et Union Europ´enne e Vie priv´e, vie personnelle et donn´es e e Un internaute se pose toujours quelques questions : O` sont ses donn´es personnelles et ses donn´es priv´es ? u e e e Qui en est responsable ? Qui y a acc`s ? e Quelles sont les r`gles d’engagement de ces donn´es ? e e Qu’arrivera-t-il si ces donn´es deviennent publiques ? e Par exemple Les photos “priv´es” t´l´charg´es sur un compte Facebook, les e ee e informations associ´es ` une fiche “client” (parfois tr`s intrusives ou e a e instructives), etc. Garder ` l’esprit a Ces questions, et les r´ponses inappropri´es qui peuvent y ˆtre e e e apport´es par les entreprises, sont autant de risques op´rationnels e e voire juridiques. 6 / 16
  7. 7. Qu’est-ce qu’une donn´e personnelle ? e Des donn´es personnelles ? O` ¸a ? e uc CNIL, Godfrain et Union Europ´enne e Plan 1 Des donn´es personnelles ? O` ¸a ? e uc Qu’est-ce qu’une donn´e personnelle ? e CNIL, Godfrain et Union Europ´enne e 7 / 16
  8. 8. Qu’est-ce qu’une donn´e personnelle ? e Des donn´es personnelles ? O` ¸a ? e uc CNIL, Godfrain et Union Europ´enne e Lois p´nales directement applicables e Deux grands textes, transcrits dans le Code P´nal, sont e directement applicables ` l’informatique : a Article 226-16 et suivants Ex-loi Informatique et Libert´s. e Concerne les traitement automatis´s de donn´es e e nominatives. Article 323-1 et suivants Ex-loi Godfrain. Concerne toutes les atteintes au fonctionnement des syst`mes de e traitement de donn´es. e 8 / 16
  9. 9. Qu’est-ce qu’une donn´e personnelle ? e Des donn´es personnelles ? O` ¸a ? e uc CNIL, Godfrain et Union Europ´enne e Usage de ces deux textes Art. 226-16 et suivants : vos donn´es nominatives sont “mal e prot´g´es” par un tiers, une collecte paraˆ ill´gitime, . . . e e ıt e Art. 323-1 et suivants : vous ˆtes victime d’une attaque e (intrusion, d´ni de service, vol de donn´es, . . . ) e e Note ` l’usage des gens normaux a Il est parfois “quelque peu difficile” de faire enregistrer sa plainte par les forces de police. Attention L’entreprise qui se fait voler ses donn´es peut ˆtre accus´e (au sens e e e du 226-16) par ses clients (protections inad´quates). e 9 / 16
  10. 10. Qu’est-ce qu’une donn´e personnelle ? e Des donn´es personnelles ? O` ¸a ? e uc CNIL, Godfrain et Union Europ´enne e Qu’est-ce qu’une donn´e nominative e Donn´e nominative e Toute donn´e ou information dont le contenu permet, de fa¸on e c directe ou indirecte, d’identifier son porteur ou propri´taire, d`s e e lors qu’elle est soumise ` un traitement automatis´. a e Donc : une liste d’adresse ´lectroniques (listes de diffusion) e des adresses IP (journaux de serveurs Web, relais de navigation. . . ) une base de donn´es (comptes des clients ou utilisateurs) e Ces “d´finitions” sont tr`s larges ⇒ PRUDENCE ! e e Conclusion Il est conseill´ de toujours d´clarer ses fichiers ` la CNIL. Au e e a minimum, lui poser la question s’il faut d´clarer. e 10 / 16
  11. 11. Qu’est-ce qu’une donn´e personnelle ? e Des donn´es personnelles ? O` ¸a ? e uc CNIL, Godfrain et Union Europ´enne e Concernant les donn´es nominatives e Il est n´cessaire de bien comprendre que : e Le d´tenteur des informations a une obligation de moyens. e Les moyens mis en œuvre doivent correspondre ` la criticit´ a e des donn´es. e Le d´tenteur est consid´r´ comme connaissant la sensibilit´ e ee e des donn´es qu’il g`re. e e Le d´tenteur reste responsable mˆme en cas de sous-traitance e e des traitements. Conclusion ´vidente e Si vous pouvez, ´vitez de stocker/g´rer des donn´es e e e nominatives. . . C’est plus facile qu’on ne le croit. 11 / 16
  12. 12. Qu’est-ce qu’une donn´e personnelle ? e Des donn´es personnelles ? O` ¸a ? e uc CNIL, Godfrain et Union Europ´enne e Exemple d’une cons´quence CNIL – journaux d’activit´ e e Un syst`me d’informations correctement pens´ produit de e e nombreuses traces d’activit´. e Quelques exemples Connexions des utilisateurs ` leur poste de travail, a Actions significatives r´alis´es sur le syst`me d’informations, e e e Connexions au site web de l’entreprise, Connexions ` une application, ` une base de donn´es, etc. a a e Ces journaux (fichiers simples ou structur´s) contiennent des e informations nominatives. Ils doivent donc ˆtre prot´g´s contre. . . e e e toute lecture indˆe (perte de confidentialit´) u e toute modification indˆe (alt´ration de preuves) u e l’usure du temps (conservation de preuves) 12 / 16
  13. 13. Qu’est-ce qu’une donn´e personnelle ? e Des donn´es personnelles ? O` ¸a ? e uc CNIL, Godfrain et Union Europ´enne e Une nouveaut´ e Discussions en cours pour obligation ´tendue ` toute e a entreprise g´rant des donn´es e e personnelles – projet de loi Escoffier-D´traigne e Cons´quences e Etre capable de d´tecter l’incident (quelles donn´es perdues ?) e e Etre en mesure d’identifier sa port´e (qui est touch´ ?) e e Exercice pour les lecteurs Et si les donn´es vol´es n’ont jamais ´t´ d´clar´es ` la CNIL ? e e ee e e a 13 / 16
  14. 14. Qu’est-ce qu’une donn´e personnelle ? e Des donn´es personnelles ? O` ¸a ? e uc CNIL, Godfrain et Union Europ´enne e Mˆme la commission europ´enne s’y met e e Prise de conscience significative des tr`s nombreuses “pratiques e all´g´es” concernant la gestion e e des donn´es nominatives par les e entreprises. Concerne pour le moment le partage des donn´es nominatives e Coupl´ ` l’amendement de ea novembre 2009, orientation claire vers des obligations fortes de protection de ces donn´es. e 14 / 16
  15. 15. Qu’est-ce qu’une donn´e personnelle ? e Des donn´es personnelles ? O` ¸a ? e uc CNIL, Godfrain et Union Europ´enne e Mˆme la commission europ´enne s’y met e e Prise de conscience significative des tr`s nombreuses “pratiques e all´g´es” concernant la gestion e e des donn´es nominatives par les e entreprises. Concerne pour le moment le partage des donn´es nominatives e Coupl´ ` l’amendement de ea novembre 2009, orientation claire vers des obligations fortes de protection de ces donn´es. e 15 / 16
  16. 16. Deuxi`me partie II e Questions ? 16 / 16

×