4.1. Législation et utilisation des données et licences de logiciels Flashcards
(36 cards)
Article 1 de la loi “Informatique et libertés” (1978)
L’informatique doit être au service de chaqque citoyen.
Son développement doit s’opérer dans le cadre de la coopération internationale.
Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Quelles données peuvent être assijetties à la réglementation?
Données concernant tous les acteurs du SI (salariés, clients, fournisseurs, etc) :
Données à caractère personnel (DCP)
Données sensibles
Que sont les DCP?
Informations rattachées à une peronne physique qui permettent de l’identifier
4 informations présentes dans les DCP
Nom / Prénom
Identifiant
Caractéristique physique, génétique, économique, psychique, culturelle ou sociale
Donnée de géolocalisation (adresse, coordonnées GPS)
Qu’est-ce qu’une donnée sensible?
Donnée qui peut provoquer des risques importants pour la personne concernée
5 types de données sensibles selon le RGPD
Opinions politiques, convictions religieuses ou philosophiques
Données concernant la vie et l’orientation sexuelle
Données concernant la santé, la génétique, la biométrie
Appartenance syndicale
Condamnations pénales, infractions et mesures de sûreté
6 exceptions à l’interdiction du traitement des DCP
Consentement explicite
Obligations (ex : traitement d’un arrêt de travail)
Sauvegarde des intérêts vitaux (ex : personne dans l’incapacité physique ou juridique de donner son consentement)
Activités légitimes (traitement dans le cadre des membres d’un organisme à but non lucratif)
DCP rendues publiques (personne qui communique elle-même des infos personnelles aux média)
Santé (Médecine préventive et santé publique)
4 obligations majeures à respecter concernant le traitement des DCP dans le cadre du RGPD
Communiquer de façon transparente sur le traitement des données
S’assurer que le traitement des DCP est pertinent et limité par rapport aux besoins
Faire en sorte que les durées de conservation des données soient minimisées
S’assurer de la sécurité du SI pour empêcher la transmission des DCP à des destinataires non-autorisés
Sigle RGPD
Règlement Général pour la Protection des Données
Depuis quand et pour quels pays s’applique le RGPD
Depuis le 25 mai 2018 dans tous les pays de l’UE
Objectif du RGPD
Définir des conduites à tenir our protéger les personnes physiques à l’égard du traitement des données à caractère personnel, ainsi que pour la libre circulation de ces données au sein de l’UE
Dispositions générales des DCP pour être conformes au RGPD
Protection des DCP stockées dans des fichiers lors de traitements de l’information. Concerne toute personne se trouvant dans l’UE, que le traitement soit fait ou non dans l’UE.
Principe de la conformité des DCP au RGPD
Traitement doit être fait avec le consentement des personnes concernées. Sauf exception, il ne doit pas porter sur des données interdites.
Droits de la personne concernées par les DCP en accord avec le RGPD
Personnes doivent être informées sur la personne responsable du traitement des informations ainsi que leur droit de consultation, la durée de conservation et les objectifs du traitement.
Disposent également d’un droit à la rectification, effacement des DCP (droit à l’oubli) ainsi que d’un droit d’opposition à tout traitement des DCP
Responsabilités de l’organisation en matière de DCP
Organisation doit toujours désigner un responsable de traitement. C’est lui qui détermine les finalités et les moyens du traitement des données. En pratique, c’est généralement le représentant légal de la personne morale.
Quelle réglementation sur la transmission des DCP vers des pays hors UE (non concernés par le RGPD)?
Ne doit pas compromettre la protection des données des personnes concernées
Quel site internet permet de demander à des sites hébergeurs de DCP de les supprimer de leur base de données?
saymineapp.com
Acronyme CNIL
Commission Nationale de l’Informatique et des Libertés
Que prévoit le RGPD pour chaque Etat de l’UE dans le cadre de la surveillance de l’application du règlement?
Chaque Etat doit avoir une autorité publique indépendante
Triple mission de la CNIL
Informer des droits et obligations vis à vis du traitement des données
Accompagner les respponsables de traitement pour une mise en conformité avec les textes en vigueur
Anticiper et assurer une veille sur l’évolution des technologies et publier son appréciation des conséquences de ces évolutions
Quel est le rôle du responsable des traitements
Doit recenser tous les traitements (pas l’application utilisée) de DCP au sein de l’organisation
Le registre de traitement de données est-il facultatif ou obligatoire? Quel est son rôle?
Il est obligatoire et en cas de manquement, la CNIL peut être saisie.
Il doit informer toute personne concernée des conditions de collecte des DCP (durée, finalités, consentement) et de leurs différents droits (consultation, modification, suppression) sur les données.
4 étapes pour se mettre en conformité au RGPD et ce qu’elles recoupent
Constituer le registre des traitements (identifier les activités principales et une fiche par activité avec la finalité, catégorie des données utilisées, destinataire des données, durée de conservation)
Trier les données (vérifier que les données sont nécessaires aux acticités, aucune donnée sensible traitée sans raison valable, seules les personnes habilitées peuvent traiter les données, durée de conservation des DCP pertinente)
Respecter les droits des personnes (Informer de la finalité des données, accès aux données, durée de conservation, modalités de réclamation, respect des normes en cas de transfert de donénes hors UE)
Sécuriser les données (mise à jour des antivirus et logiciels, changements réguliers des mots de passe et avec un minimum de complexité, règles autonmatiques d’effacement en fonction des durées)
Rôle du DPD (Délégué à la Protection des Données)
Il doit conseiller le responsable des traitements et s’assurer que le RGPD est bien mis en place dans l’organisation.
