Protection des donnees personnelles sur Internet
Pierre-Yves [email protected]
B&A Consultants – BP 70024 – 31330 Grenade-sur-Garonne
15 juin 2010
1 / 16
B&A Consultants
Cabinet de conseil en securite informatique cree en 1996.
Suivi et assistance en securite informatique.
Audits de securite, de configurations, de code...
Tests d’intrusion, tests d’applications (boıte blanche, boıtenoire)
Analyses de risques, gestion des risques sur l’information
Ingenierie de la securite informatique, recherche de solutions
Expertise judiciaire (civile ou penale) et expertises privees
2 / 16
Des donnees personnelles ? Ou ca ?
Premiere partie I
Presentation
3 / 16
Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
Plan
1 Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
4 / 16
Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
Pour faire simple
Une donnee personnelle, c’est
Toute bribe d’information permettant d’identifier un individu.
C’est donc, par exemple,
des photos ou videos,des adresses electroniques, des numeros de telephone,des SMS, des discussions sur des forums, des listes d’appelstelephoniquesles notes d’un blog, des pages personnelles, des e-mails,les recherches realisees sur un moteur de recherche, les tracesde navigation sur le web,des traces GPS, des traces de migration d’antennes mobiles.
Attention
Ne confondez pas donnees personnelles avec donnees privees. Lessecondes sont incluses dans les premieres, mais n’y sont pas egales.
5 / 16
Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
Vie privee, vie personnelle et donnees
Un internaute se pose toujours quelques questions :
Ou sont ses donnees personnelles et ses donnees privees ?Qui en est responsable ?Qui y a acces ?Quelles sont les regles d’engagement de ces donnees ?Qu’arrivera-t-il si ces donnees deviennent publiques ?
Par exemple
Les photos “privees” telechargees sur un compte Facebook, lesinformations associees a une fiche “client” (parfois tres intrusives ouinstructives), etc.
Garder a l’esprit
Ces questions, et les reponses inappropriees qui peuvent y etreapportees par les entreprises, sont autant de risques operationnelsvoire juridiques.
6 / 16
Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
Plan
1 Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
7 / 16
Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
Lois penales directement applicables
Deux grands textes, transcrits dans le Code Penal, sontdirectement applicables a l’informatique :
Article 226-16 et suivants Ex-loi Informatique et Libertes.Concerne les traitement automatises de donneesnominatives.
Article 323-1 et suivants Ex-loi Godfrain. Concerne toutes lesatteintes au fonctionnement des systemes detraitement de donnees.
8 / 16
Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
Usage de ces deux textes
Art. 226-16 et suivants : vos donnees nominatives sont “malprotegees” par un tiers, une collecte paraıt illegitime, . . .
Art. 323-1 et suivants : vous etes victime d’une attaque(intrusion, deni de service, vol de donnees, . . . )
Note a l’usage des gens normaux
Il est parfois “quelque peu difficile” de faire enregistrer sa plaintepar les forces de police.
Attention
L’entreprise qui se fait voler ses donnees peut etre accusee (au sensdu 226-16) par ses clients (protections inadequates).
9 / 16
Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
Qu’est-ce qu’une donnee nominative
Donnee nominative
Toute donnee ou information dont le contenu permet, de facondirecte ou indirecte, d’identifier son porteur ou proprietaire, deslors qu’elle est soumise a un traitement automatise.
Donc :
une liste d’adresse electroniques (listes de diffusion)
des adresses IP (journaux de serveurs Web, relais denavigation. . . )
une base de donnees (comptes des clients ou utilisateurs)
Ces “definitions” sont tres larges ⇒ PRUDENCE !
Conclusion
Il est conseille de toujours declarer ses fichiers a la CNIL. Auminimum, lui poser la question s’il faut declarer.
10 / 16
Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
Concernant les donnees nominatives
Il est necessaire de bien comprendre que :
Le detenteur des informations a une obligation de moyens.
Les moyens mis en œuvre doivent correspondre a la criticitedes donnees.
Le detenteur est considere comme connaissant la sensibilitedes donnees qu’il gere.
Le detenteur reste responsable meme en cas de sous-traitancedes traitements.
Conclusion evidente
Si vous pouvez, evitez de stocker/gerer des donneesnominatives. . . C’est plus facile qu’on ne le croit.
11 / 16
Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
Exemple d’une consequence CNIL – journaux d’activite
Un systeme d’informations correctement pense produit denombreuses traces d’activite.
Quelques exemples
Connexions des utilisateurs a leur poste de travail,
Actions significatives realisees sur le systeme d’informations,
Connexions au site web de l’entreprise,
Connexions a une application, a une base de donnees, etc.
Ces journaux (fichiers simples ou structures) contiennent desinformations nominatives. Ils doivent donc etre proteges contre. . .
toute lecture indue (perte de confidentialite)
toute modification indue (alteration de preuves)
l’usure du temps (conservation de preuves)
12 / 16
Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
Une nouveaute
Discussions en cours pourobligation etendue a touteentreprise gerant des donneespersonnelles – projet de loiEscoffier-Detraigne
Consequences
Etre capable de detecter l’incident (quelles donnees perdues ?)
Etre en mesure d’identifier sa portee (qui est touche ?)
Exercice pour les lecteurs
Et si les donnees volees n’ont jamais ete declarees a la CNIL ?
13 / 16
Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
Meme la commission europeenne s’y met
Prise de conscience significativedes tres nombreuses “pratiquesallegees” concernant la gestiondes donnees nominatives par lesentreprises.
Concerne pour le moment lepartage des donnees nominatives
Couple a l’amendement denovembre 2009, orientationclaire vers des obligations fortesde protection de ces donnees.
14 / 16
Des donnees personnelles ? Ou ca ?Qu’est-ce qu’une donnee personnelle ?CNIL, Godfrain et Union Europeenne
Meme la commission europeenne s’y met
Prise de conscience significativedes tres nombreuses “pratiquesallegees” concernant la gestiondes donnees nominatives par lesentreprises.
Concerne pour le moment lepartage des donnees nominatives
Couple a l’amendement denovembre 2009, orientationclaire vers des obligations fortesde protection de ces donnees.
15 / 16
Deuxieme partie II
Questions ?
16 / 16