SlideShare une entreprise Scribd logo
Protection des données personnelles
               et
  développement d’applications
         informatiques




            Agnès Laplaige, CIL de l'Ecole Polytechnique avril 2011
Thèmes I&L
                 Informatique et Libertés



• Protection de la vie privée et des libertés

• Données personnelles

• Traitement automatisé (application informatique)

• Déclaration du traitement à la CNIL
Données personnelles
• Nom, prénom, autres prénoms
• Date de naissance, n° SS, n°adhésion Mutuelle,
  immatriculation du véhicule, n° badge, adresse du
  domicile, n°carte bancaire, RIB, …

• Adresse IP      129.104.23.36

• Photo

  Tout ce qui permet l’identification directe ou indirecte de la
  personne
  Données mises en œuvre dans les traitements informatisés
Données sensibles

N° Sécurité sociale (sauf organismes déjà autorisés)
Biométrie, Données de santé
Données génétiques (ADN)
Infractions, condamnations, mesures de sûreté
Appréciations (commentaires, observations) sur les
difficultés sociales des personnes


           demande d’autorisation de la CNIL
Données INTERDITES

 Origine ethnique,
 Opinions religieuses et politiques
 Appartenance syndicale,
 Habitudes de vie,
 Commentaires abusifs



     Le responsable de traitement (RT)
Traitement informatisé
•   Outils bureautiques, messagerie électronique
•   Logiciel standard
•   Progiciel (SAP, ERP, …)
•   Développement, application spécifique
•   Annuaire LDAP, Active Directory, log réseau, journaux des accès
•   Site WEB avec collecte et – ou affichage de données personnelles
•   Infocentre (BO, Crystal Reports, …)


          •Quelque soit le langage de développement
          •Quelque soit l’architecture (client-serveur, web, monoposte, …)
          •Quelque soit le type de base de données
          •Quelque soit la volumétrie
Traitements Sensibles

Environnement numérique de travail

Traitement avec n° sécurité sociale

Traitement avec données sensibles


Demande d’autorisation ou demande d’avis à la CNIL
           Le responsable de traitement (RT)
Traitements INTERDITS
Traitement avec des données interdites

Automatisation de traitement conduisant
à la discrimination

Recoupement de fichiers

Transfert de données non déclarés

Toute autre usage que celui indiqué dans la déclaration


                 Le responsable de traitement (RT)
Déclaration d’un traitement informatisé

               Le responsable de traitement (RT)

• Identification du RT (responsable de traitement)
• Finalités du traitement
• Date de mise en œuvre
• Liste des données
• Destinataires
• Durée de conservation des données
• Architecture technique
• Sécurité des données (physiques et logiques)
• Modalités des droits d’accès, de rectification et de suppression
  des données personnelles
• Modalités du droit d’opposition
Déclaration au CIL
Avant la mise en exploitation du traitement




• Conseils lors rédaction CC    fiche pré-étude
• Dossier de déclaration au CIL
• Rédaction des mentions légales
• MAJ du registre des traitements
• Transmettre à la CNIL si demande d’avis ou
  demande d’autorisation
• Audit conformité des traitements
Obligations I&L
                   Informatique et Libertés

•   Collecte loyale
•   Action dans la transparence
•   Données exactes et pertinentes
•   !! Données sensibles et données interdites
•   Respect des finalités du traitement
•   Garantie de l’intégrité des données
•   Protection des données personnelles
•   Droit à l’oubli
•   Droit d’accès, rectification ou suppression
•   Déclaration du traitement au CIL
Développement d’applications informatiques



        Et moi, le développeur ???

                • Je suis responsable de quoi
                  quand je développe une
                  application ?



Et le chef de projet AMOA ???
Fonctionnalités du traitement

   Obligations
                         Responsabilité du RT                      Responsabilité           Outil facilitant
       I&L                                                         du MOE/E&D

                       * Respecter les finalités décrites   Vigilance !
Respecter l’objectif   dans la déclaration
    du fichier
                       * Rédiger un cahier des charges      On peut prévenir le CIL si on
                       * Elaborer du plan de test           détecte une déviance….
Accès au traitement et aux données


  Obligations
                        Responsabilité                  Responsabilité                Outil facilitant
      I&L                   du RT                       du MOE/E&D
 Protection des     Maîtriser ses données      * Concevoir le module de gestion
    données                                    des accès et des droits des           * Sécurité des locaux
                       Définition les droits
                    d’accès des utilisateurs   utilisateurs                          * SSI
                                               * Garantir le bon filtrage sur :      * Plan de tests lors des
                                                                                     phases de recette
                                               - les fonctionnalités du traitement
                                               - l’accès aux données
    Demande         Données sensibles =        * Mettre en œuvre une protection      * Authentification forte
autorisation CNIL                              renforcée des données sensibles       * Gestion des
                    N° SS (NIRP)
                                                                                     autorisations d’accès et
                    Biométrie                                                        privatisation des
                    Données génétiques                                               données
                    Infractions,                                                     * Cryptage
                                                                                     * Réseau sécurisé
                    Données de santé
Saisie, modification de données
                   Responsabilité du RT                      Responsabilité              Outil facilitant
  Obligations
                                                             du MOE/E&D
      I&L
                   Informer les personnes              Insérer la rubrique « Mentions    * Affichage des
 Agir dans la      - Son identité                      légales » sur chaque page des     mentions légales sur
 transparence      - La finalité du traitement         sites Web                         les formulaires papier,
                                                                                         Web et dans les
                   - Les destinataires                                                   bureaux accueillant les
                   - L’exercice des droits                                               intéressés
                   - Les transmissions envisagées
                   * Ne pas collecter à l’insu de la   •Pas de recoupements de bases     * Astérisque au vu des
 Collecte loyale   personne                            de données pour produire une      champs obligatoires
                   * Spécifier les champs              donnée qui serait discriminante   sur les formulaires de
                   obligatoires et les champs                                            collectes de données
                   facultatifs                         * Distinguer le « champ           * Renvoi en bas du
                                                       obligatoire » et le « champ       formulaire pour la
                                                       facultatif »                      signification de *
Pertinence de la   Garantir la cohérence de la
donnée au vu des   nature des données avec les
   finalités de    finalités du traitement
   traitement
Saisie, modification de données
                      Responsabilité du                  Responsabilité                  Outil facilitant
  Obligations
                            RT                           du MOE/E&D
      I&L
                     Garantir la valeur exacte   •Garantir le stockage de la donnée      Bases de données de
 Exactitude des      des données saisies         •Garantir la restitution de la donnée   type SQL
    données                                      •CTL la saisie avec référentiels        CTL intégrité
                                                 •CTL la cohérence des données

                     Données sensibles =                                                 Authentification forte
                     N° SS (NIRP)                    Mettre en œuvre une                 Gestion des
    Demande                                                                              autorisations d’accès et
                     Biométrie                      protection renforcée des
autorisation CNIL                                                                        privatisation des
                     Données médicales                 données sensibles                 données
                                                                                         Cryptage
                                                                                         Réseau sécurisé
                     Données interdites
                     Appartenance                  NE PAS ACCEPTER DE
  INTERDIT           politique, syndicale,         STOCKER DE TELLES
                     religieuse, habitudes         DONNEES DANS UN
                     de vie, commentaires             TRAITEMENT
                     abusifs
Calcul de données

                   Responsabilité du             Responsabilité             Outil facilitant
  Obligations
                         RT                      du MOE/E&D
      I&L

 Exactitude des    * Définir les règles
    données        de calcul en respect Garantir le résultat des calculs   Plan de tests lors des
                   de la réglementation                                    phases de recette
                   et ou règles de l’art

Pertinence de la   Garantir la pertinence
donnée au vu des   des calculs sur les
   finalités de    données avec les
   traitement      finalités du traitement
Consultation de données
 Obligations     Responsabilité du RT            Responsabilité                Outil facilitant
     I&L                                         du MOE/E&D
Exactitude des
   données                                                                  * Base de données solide
                 • Ne pas divulguer les     • Garantir la restitution des
                 données confidentielles,   données saisies, modifiées,     * Authentification forte
Protection des   personnelles               calculées                       * Gestion des autorisations
   données                                                                  d’accès et privatisation des
                                                                            données
Pertinence des   • Garantir l’exactitude    • Mettre une œuvre une          * Cryptage
   données       des données                protection des données          * Réseau sécurisé

                                             Si données sensibles, mettre
                                               en œuvre une protection
                                                renforcée des données
                                                      sensibles
                 Ne pas en faire un autre
 Respect des     usage que celui défini
 finalités du    dans les finalités du
  traitement     traitement
Editions - Export des données

 Obligations        Responsabilité du RT              Responsabilité           Outil facilitant
     I&L                                              du MOE/E&D
Exactitude des     •Les éditions doivent être
   données         conformes aux finalités du     * Garantir le résultat des
                   traitement                     éditions, des calculs        Plan de tests lors des
 Respect des                                      intégrés aux éditions        phases de recette
 finalités du
  traitement       * L’archivage des éditions
                   doit respecter les règles du   *Garantir l’exactitude
Droit à l’oubli    code du patrimoine             des données exportées



Protection des      Ne pas transmettre les          Le MOE / E&D
   données            données à d’autres
 Respect des        personnes que celles               n’est pas
 finalités du         identifiées comme             fournisseur de
  traitement         destinataires dans la
                       déclaration CNIL                données
Publication sur site Web - Transfert des données

                          Responsabilité du RT                Responsabilité            Outil
  Obligations
      I&L
                                                              du MOE/E&D              facilitant


  Agir dans la       * Informer les intéressés           Concevoir un module
  transparence
                     * Recueillir leur accord            d’enregistrement des
Droit d’opposition                                       oppositions de publication
                     * Respecter le droit d’opposition
                                                         et ou des oppositions de
                                                         transfert de données

                     Informer le destinataire des
Données exactes      données en cas de modification
                     des données transmises
Conservation des données

                       Responsabilité du RT                Responsabilité          Outil facilitant
Obligations
                                                           du MOE/E&D
    I&L

                  Respecter la durée de conservation
                  des données selon la                 Concevoir les modules       Plan de tests lors des
Droit à l’oubli   réglementation en vigueur (code                                  phases de recette
                                                       de gestion de la durée de
                  du patrimoine, code du travail,      conservation des
                  LCEN code du commerce, …)            données et d’archivage
                   et ou recommandations CNIL




      Ce point fait l’objet de plusieurs GT au niveau national :
                     SUPCIL CNIL et AFCDP CNIL
Garantir l’intégrité des données

  Action         Responsabilité   Responsabilité          Outil facilitant
                     du RT        du MOE/E&D


  Saisie
Modification
Suppression                                        Base de données solide
   Calcul                         Choix d’outils
Consultation                      informatiques    Outil de développement sans faille
                                                   de sécurité
 Impression                          sécurisés
   Export                                          Protocole HTTPS
 Archivage
 Infocentre                                        Consignes de développement
Protéger les données personnelles

  Action        Responsabilité du RT       Responsabilité        Outil facilitant
                                           du MOE/E&D

  Saisie       * Ne pas divulguer      • 1 compte d’accès       LDAP
Modification                                                    Gestion des PW niveau
               les PW                  par utilisateur          complexe
Suppression
   Calcul      •en cas d’absence :     •Profil d’accès
               Fermer la session
Consultation                           •Gestion privatisation
               Fermer la porte
 Impression                            des données
   Export      •Ne pas coller le
                                       •Accès sécurisé des
 Archivage     PW sous le clavier
                                       salles serveurs
 Infocentre    •Ne pas divulguer
                                       •Respect PSSI
               les données
               personnelles            •Respect consignes
                                       développement
                                       •Sauvegarde BD
Evolution des applications informatiques

   Avant la modification du traitement

   Déclaration de la modification au CIL



   • Conseils lors rédaction CC     fiche pré-étude
   • Modification de la déclaration
   • Rédaction des mentions légales
   • MAJ du registre des traitements
   • Transmettre à la CNIL si demande d’avis ou
     demande d’autorisation
   • Audit conformité des traitements

Contenu connexe

En vedette

protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vf
Jean-Charles Croiger
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
Florence Bonnet
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
Denis VIROLE
 
Opinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellesOpinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnelles
contactOpinionWay
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
Marc Guichard
 
E-commerce - protection des données personnelles
E-commerce - protection des données personnellesE-commerce - protection des données personnelles
E-commerce - protection des données personnelles
UNIVERSITE DE METZ
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
Thiebaut Devergranne
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Hapsis
 
Protection des données personnelles en Russie
Protection des données personnelles en RussieProtection des données personnelles en Russie
Protection des données personnelles en Russie
Anastasiya Lemysh
 

En vedette (9)

protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vf
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
 
Opinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellesOpinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnelles
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
 
E-commerce - protection des données personnelles
E-commerce - protection des données personnellesE-commerce - protection des données personnelles
E-commerce - protection des données personnelles
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Protection des données personnelles en Russie
Protection des données personnelles en RussieProtection des données personnelles en Russie
Protection des données personnelles en Russie
 

Similaire à Presentation pour les développeurs informatiques

Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Microsoft
 
Conformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjectsConformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjects
Wiiisdom
 
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptxPPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
MiliArwa
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Microsoft Décideurs IT
 
CustoQuestion #19: Le DataLake
CustoQuestion #19: Le DataLakeCustoQuestion #19: Le DataLake
CustoQuestion #19: Le DataLake
Freedelity
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
Amineelbouabidi
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
FootballLovers9
 
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Youssef Loudiyi
 
MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0
Prof. Jacques Folon (Ph.D)
 
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Denodo
 
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Microsoft pour les PME
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
ISACA Chapitre de Québec
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Microsoft Technet France
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
Kévin Guérin
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
Veritas Technologies LLC
 
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Leonard Moustacchis
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
Hatime Araki
 
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
Halszka de Breza
 
Présentation offre SmartBigData 2012
Présentation offre SmartBigData 2012Présentation offre SmartBigData 2012
Présentation offre SmartBigData 2012
Novulys SAS
 
Du Big Data au Smart Data
Du Big Data au Smart DataDu Big Data au Smart Data
Du Big Data au Smart Data
Michel Jaccard
 

Similaire à Presentation pour les développeurs informatiques (20)

Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
 
Conformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjectsConformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjects
 
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptxPPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
CustoQuestion #19: Le DataLake
CustoQuestion #19: Le DataLakeCustoQuestion #19: Le DataLake
CustoQuestion #19: Le DataLake
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
 
MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0
 
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
 
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
 
Présentation offre SmartBigData 2012
Présentation offre SmartBigData 2012Présentation offre SmartBigData 2012
Présentation offre SmartBigData 2012
 
Du Big Data au Smart Data
Du Big Data au Smart DataDu Big Data au Smart Data
Du Big Data au Smart Data
 

Plus de Marc Guichard

Ora et Labora in horto
Ora et Labora in hortoOra et Labora in horto
Ora et Labora in horto
Marc Guichard
 
Evolution du catholicisme en France (2010)
Evolution du catholicisme en France (2010)Evolution du catholicisme en France (2010)
Evolution du catholicisme en France (2010)
Marc Guichard
 
Présentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSPrésentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRS
Marc Guichard
 
Dessins humoristiques sur la protection de la vie privée
Dessins humoristiques sur la protection de la vie privéeDessins humoristiques sur la protection de la vie privée
Dessins humoristiques sur la protection de la vie privée
Marc Guichard
 
Auvergne romane
Auvergne romaneAuvergne romane
Auvergne romane
Marc Guichard
 
La Science vue du Web of Science
La Science vue du Web of ScienceLa Science vue du Web of Science
La Science vue du Web of Science
Marc Guichard
 

Plus de Marc Guichard (6)

Ora et Labora in horto
Ora et Labora in hortoOra et Labora in horto
Ora et Labora in horto
 
Evolution du catholicisme en France (2010)
Evolution du catholicisme en France (2010)Evolution du catholicisme en France (2010)
Evolution du catholicisme en France (2010)
 
Présentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSPrésentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRS
 
Dessins humoristiques sur la protection de la vie privée
Dessins humoristiques sur la protection de la vie privéeDessins humoristiques sur la protection de la vie privée
Dessins humoristiques sur la protection de la vie privée
 
Auvergne romane
Auvergne romaneAuvergne romane
Auvergne romane
 
La Science vue du Web of Science
La Science vue du Web of ScienceLa Science vue du Web of Science
La Science vue du Web of Science
 

Dernier

M365 Community Days MTL 2024 - Découverte du Process Mining et du Task Mining...
M365 Community Days MTL 2024 - Découverte du Process Mining et du Task Mining...M365 Community Days MTL 2024 - Découverte du Process Mining et du Task Mining...
M365 Community Days MTL 2024 - Découverte du Process Mining et du Task Mining...
Nicolas Georgeault
 
Les Vidéoprojecteurs : Guide d'achat et Comparatif
Les Vidéoprojecteurs : Guide d'achat et ComparatifLes Vidéoprojecteurs : Guide d'achat et Comparatif
Les Vidéoprojecteurs : Guide d'achat et Comparatif
Top-plans
 
Rapport Projet ERP - Plateforme Odoo 16 (PFE Licence)
Rapport Projet ERP - Plateforme Odoo 16 (PFE Licence)Rapport Projet ERP - Plateforme Odoo 16 (PFE Licence)
Rapport Projet ERP - Plateforme Odoo 16 (PFE Licence)
Chadi Kammoun
 
INTELLIGENCE ARTIFICIELLE + INFORMATIQUE QUANTIQUE = LA PLUS GRANDE RÉVOLUTIO...
INTELLIGENCE ARTIFICIELLE + INFORMATIQUE QUANTIQUE = LA PLUS GRANDE RÉVOLUTIO...INTELLIGENCE ARTIFICIELLE + INFORMATIQUE QUANTIQUE = LA PLUS GRANDE RÉVOLUTIO...
INTELLIGENCE ARTIFICIELLE + INFORMATIQUE QUANTIQUE = LA PLUS GRANDE RÉVOLUTIO...
Faga1939
 
Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...
Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...
Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...
InnovaSter-Trade Ltd.
 
La Gestion des risques selon ISO 27005.pdf
La Gestion des risques selon ISO 27005.pdfLa Gestion des risques selon ISO 27005.pdf
La Gestion des risques selon ISO 27005.pdf
SoniazghalKallel
 

Dernier (6)

M365 Community Days MTL 2024 - Découverte du Process Mining et du Task Mining...
M365 Community Days MTL 2024 - Découverte du Process Mining et du Task Mining...M365 Community Days MTL 2024 - Découverte du Process Mining et du Task Mining...
M365 Community Days MTL 2024 - Découverte du Process Mining et du Task Mining...
 
Les Vidéoprojecteurs : Guide d'achat et Comparatif
Les Vidéoprojecteurs : Guide d'achat et ComparatifLes Vidéoprojecteurs : Guide d'achat et Comparatif
Les Vidéoprojecteurs : Guide d'achat et Comparatif
 
Rapport Projet ERP - Plateforme Odoo 16 (PFE Licence)
Rapport Projet ERP - Plateforme Odoo 16 (PFE Licence)Rapport Projet ERP - Plateforme Odoo 16 (PFE Licence)
Rapport Projet ERP - Plateforme Odoo 16 (PFE Licence)
 
INTELLIGENCE ARTIFICIELLE + INFORMATIQUE QUANTIQUE = LA PLUS GRANDE RÉVOLUTIO...
INTELLIGENCE ARTIFICIELLE + INFORMATIQUE QUANTIQUE = LA PLUS GRANDE RÉVOLUTIO...INTELLIGENCE ARTIFICIELLE + INFORMATIQUE QUANTIQUE = LA PLUS GRANDE RÉVOLUTIO...
INTELLIGENCE ARTIFICIELLE + INFORMATIQUE QUANTIQUE = LA PLUS GRANDE RÉVOLUTIO...
 
Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...
Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...
Technologie hydrostatique, innovation pour la stérilisation des aliments : HI...
 
La Gestion des risques selon ISO 27005.pdf
La Gestion des risques selon ISO 27005.pdfLa Gestion des risques selon ISO 27005.pdf
La Gestion des risques selon ISO 27005.pdf
 

Presentation pour les développeurs informatiques

  • 1. Protection des données personnelles et développement d’applications informatiques Agnès Laplaige, CIL de l'Ecole Polytechnique avril 2011
  • 2. Thèmes I&L Informatique et Libertés • Protection de la vie privée et des libertés • Données personnelles • Traitement automatisé (application informatique) • Déclaration du traitement à la CNIL
  • 3. Données personnelles • Nom, prénom, autres prénoms • Date de naissance, n° SS, n°adhésion Mutuelle, immatriculation du véhicule, n° badge, adresse du domicile, n°carte bancaire, RIB, … • Adresse IP 129.104.23.36 • Photo Tout ce qui permet l’identification directe ou indirecte de la personne Données mises en œuvre dans les traitements informatisés
  • 4. Données sensibles N° Sécurité sociale (sauf organismes déjà autorisés) Biométrie, Données de santé Données génétiques (ADN) Infractions, condamnations, mesures de sûreté Appréciations (commentaires, observations) sur les difficultés sociales des personnes demande d’autorisation de la CNIL
  • 5. Données INTERDITES Origine ethnique, Opinions religieuses et politiques Appartenance syndicale, Habitudes de vie, Commentaires abusifs Le responsable de traitement (RT)
  • 6. Traitement informatisé • Outils bureautiques, messagerie électronique • Logiciel standard • Progiciel (SAP, ERP, …) • Développement, application spécifique • Annuaire LDAP, Active Directory, log réseau, journaux des accès • Site WEB avec collecte et – ou affichage de données personnelles • Infocentre (BO, Crystal Reports, …) •Quelque soit le langage de développement •Quelque soit l’architecture (client-serveur, web, monoposte, …) •Quelque soit le type de base de données •Quelque soit la volumétrie
  • 7. Traitements Sensibles Environnement numérique de travail Traitement avec n° sécurité sociale Traitement avec données sensibles Demande d’autorisation ou demande d’avis à la CNIL Le responsable de traitement (RT)
  • 8. Traitements INTERDITS Traitement avec des données interdites Automatisation de traitement conduisant à la discrimination Recoupement de fichiers Transfert de données non déclarés Toute autre usage que celui indiqué dans la déclaration Le responsable de traitement (RT)
  • 9. Déclaration d’un traitement informatisé Le responsable de traitement (RT) • Identification du RT (responsable de traitement) • Finalités du traitement • Date de mise en œuvre • Liste des données • Destinataires • Durée de conservation des données • Architecture technique • Sécurité des données (physiques et logiques) • Modalités des droits d’accès, de rectification et de suppression des données personnelles • Modalités du droit d’opposition
  • 10. Déclaration au CIL Avant la mise en exploitation du traitement • Conseils lors rédaction CC fiche pré-étude • Dossier de déclaration au CIL • Rédaction des mentions légales • MAJ du registre des traitements • Transmettre à la CNIL si demande d’avis ou demande d’autorisation • Audit conformité des traitements
  • 11. Obligations I&L Informatique et Libertés • Collecte loyale • Action dans la transparence • Données exactes et pertinentes • !! Données sensibles et données interdites • Respect des finalités du traitement • Garantie de l’intégrité des données • Protection des données personnelles • Droit à l’oubli • Droit d’accès, rectification ou suppression • Déclaration du traitement au CIL
  • 12. Développement d’applications informatiques Et moi, le développeur ??? • Je suis responsable de quoi quand je développe une application ? Et le chef de projet AMOA ???
  • 13. Fonctionnalités du traitement Obligations Responsabilité du RT Responsabilité Outil facilitant I&L du MOE/E&D * Respecter les finalités décrites Vigilance ! Respecter l’objectif dans la déclaration du fichier * Rédiger un cahier des charges On peut prévenir le CIL si on * Elaborer du plan de test détecte une déviance….
  • 14. Accès au traitement et aux données Obligations Responsabilité Responsabilité Outil facilitant I&L du RT du MOE/E&D Protection des Maîtriser ses données * Concevoir le module de gestion données des accès et des droits des * Sécurité des locaux Définition les droits d’accès des utilisateurs utilisateurs * SSI * Garantir le bon filtrage sur : * Plan de tests lors des phases de recette - les fonctionnalités du traitement - l’accès aux données Demande Données sensibles = * Mettre en œuvre une protection * Authentification forte autorisation CNIL renforcée des données sensibles * Gestion des N° SS (NIRP) autorisations d’accès et Biométrie privatisation des Données génétiques données Infractions, * Cryptage * Réseau sécurisé Données de santé
  • 15. Saisie, modification de données Responsabilité du RT Responsabilité Outil facilitant Obligations du MOE/E&D I&L Informer les personnes Insérer la rubrique « Mentions * Affichage des Agir dans la - Son identité légales » sur chaque page des mentions légales sur transparence - La finalité du traitement sites Web les formulaires papier, Web et dans les - Les destinataires bureaux accueillant les - L’exercice des droits intéressés - Les transmissions envisagées * Ne pas collecter à l’insu de la •Pas de recoupements de bases * Astérisque au vu des Collecte loyale personne de données pour produire une champs obligatoires * Spécifier les champs donnée qui serait discriminante sur les formulaires de obligatoires et les champs collectes de données facultatifs * Distinguer le « champ * Renvoi en bas du obligatoire » et le « champ formulaire pour la facultatif » signification de * Pertinence de la Garantir la cohérence de la donnée au vu des nature des données avec les finalités de finalités du traitement traitement
  • 16. Saisie, modification de données Responsabilité du Responsabilité Outil facilitant Obligations RT du MOE/E&D I&L Garantir la valeur exacte •Garantir le stockage de la donnée Bases de données de Exactitude des des données saisies •Garantir la restitution de la donnée type SQL données •CTL la saisie avec référentiels CTL intégrité •CTL la cohérence des données Données sensibles = Authentification forte N° SS (NIRP) Mettre en œuvre une Gestion des Demande autorisations d’accès et Biométrie protection renforcée des autorisation CNIL privatisation des Données médicales données sensibles données Cryptage Réseau sécurisé Données interdites Appartenance NE PAS ACCEPTER DE INTERDIT politique, syndicale, STOCKER DE TELLES religieuse, habitudes DONNEES DANS UN de vie, commentaires TRAITEMENT abusifs
  • 17. Calcul de données Responsabilité du Responsabilité Outil facilitant Obligations RT du MOE/E&D I&L Exactitude des * Définir les règles données de calcul en respect Garantir le résultat des calculs Plan de tests lors des de la réglementation phases de recette et ou règles de l’art Pertinence de la Garantir la pertinence donnée au vu des des calculs sur les finalités de données avec les traitement finalités du traitement
  • 18. Consultation de données Obligations Responsabilité du RT Responsabilité Outil facilitant I&L du MOE/E&D Exactitude des données * Base de données solide • Ne pas divulguer les • Garantir la restitution des données confidentielles, données saisies, modifiées, * Authentification forte Protection des personnelles calculées * Gestion des autorisations données d’accès et privatisation des données Pertinence des • Garantir l’exactitude • Mettre une œuvre une * Cryptage données des données protection des données * Réseau sécurisé Si données sensibles, mettre en œuvre une protection renforcée des données sensibles Ne pas en faire un autre Respect des usage que celui défini finalités du dans les finalités du traitement traitement
  • 19. Editions - Export des données Obligations Responsabilité du RT Responsabilité Outil facilitant I&L du MOE/E&D Exactitude des •Les éditions doivent être données conformes aux finalités du * Garantir le résultat des traitement éditions, des calculs Plan de tests lors des Respect des intégrés aux éditions phases de recette finalités du traitement * L’archivage des éditions doit respecter les règles du *Garantir l’exactitude Droit à l’oubli code du patrimoine des données exportées Protection des Ne pas transmettre les Le MOE / E&D données données à d’autres Respect des personnes que celles n’est pas finalités du identifiées comme fournisseur de traitement destinataires dans la déclaration CNIL données
  • 20. Publication sur site Web - Transfert des données Responsabilité du RT Responsabilité Outil Obligations I&L du MOE/E&D facilitant Agir dans la * Informer les intéressés Concevoir un module transparence * Recueillir leur accord d’enregistrement des Droit d’opposition oppositions de publication * Respecter le droit d’opposition et ou des oppositions de transfert de données Informer le destinataire des Données exactes données en cas de modification des données transmises
  • 21. Conservation des données Responsabilité du RT Responsabilité Outil facilitant Obligations du MOE/E&D I&L Respecter la durée de conservation des données selon la Concevoir les modules Plan de tests lors des Droit à l’oubli réglementation en vigueur (code phases de recette de gestion de la durée de du patrimoine, code du travail, conservation des LCEN code du commerce, …) données et d’archivage et ou recommandations CNIL Ce point fait l’objet de plusieurs GT au niveau national : SUPCIL CNIL et AFCDP CNIL
  • 22. Garantir l’intégrité des données Action Responsabilité Responsabilité Outil facilitant du RT du MOE/E&D Saisie Modification Suppression Base de données solide Calcul Choix d’outils Consultation informatiques Outil de développement sans faille de sécurité Impression sécurisés Export Protocole HTTPS Archivage Infocentre Consignes de développement
  • 23. Protéger les données personnelles Action Responsabilité du RT Responsabilité Outil facilitant du MOE/E&D Saisie * Ne pas divulguer • 1 compte d’accès LDAP Modification Gestion des PW niveau les PW par utilisateur complexe Suppression Calcul •en cas d’absence : •Profil d’accès Fermer la session Consultation •Gestion privatisation Fermer la porte Impression des données Export •Ne pas coller le •Accès sécurisé des Archivage PW sous le clavier salles serveurs Infocentre •Ne pas divulguer •Respect PSSI les données personnelles •Respect consignes développement •Sauvegarde BD
  • 24. Evolution des applications informatiques Avant la modification du traitement Déclaration de la modification au CIL • Conseils lors rédaction CC fiche pré-étude • Modification de la déclaration • Rédaction des mentions légales • MAJ du registre des traitements • Transmettre à la CNIL si demande d’avis ou demande d’autorisation • Audit conformité des traitements