1. Protection des donn´es personnelles sur Internet
e
Pierre-Yves Bonnetain
py.bonnetain@ba-consultants.fr
B&A Consultants – BP 70024 – 31330 Grenade-sur-Garonne
15 juin 2010
1 / 16
2. B&A Consultants
Cabinet de conseil en s´curit´ informatique cr´´ en 1996.
e e ee
Suivi et assistance en s´curit´ informatique.
e e
Audits de s´curit´, de configurations, de code...
e e
Tests d’intrusion, tests d’applications (boˆ blanche, boˆ
ıte ıte
noire)
Analyses de risques, gestion des risques sur l’information
Ing´ni´rie de la s´curit´ informatique, recherche de solutions
e e e e
Expertise judiciaire (civile ou p´nale) et expertises priv´es
e e
2 / 16
4. Qu’est-ce qu’une donn´e personnelle ?
e
Des donn´es personnelles ? O` ¸a ?
e uc
CNIL, Godfrain et Union Europ´enne
e
Plan
1 Des donn´es personnelles ? O` ¸a ?
e uc
Qu’est-ce qu’une donn´e personnelle ?
e
CNIL, Godfrain et Union Europ´enne
e
4 / 16
5. Qu’est-ce qu’une donn´e personnelle ?
e
Des donn´es personnelles ? O` ¸a ?
e uc
CNIL, Godfrain et Union Europ´enne
e
Pour faire simple
Une donn´e personnelle, c’est
e
Toute bribe d’information permettant d’identifier un individu.
C’est donc, par exemple,
des photos ou vid´os,
e
des adresses ´lectroniques, des num´ros de t´l´phone,
e e ee
des SMS, des discussions sur des forums, des listes d’appels
t´l´phoniques
ee
les notes d’un blog, des pages personnelles, des e-mails,
les recherches r´alis´es sur un moteur de recherche, les traces
e e
de navigation sur le web,
des traces GPS, des traces de migration d’antennes mobiles.
Attention
Ne confondez pas donn´es personnelles avec donn´es priv´es. Les
e e e
secondes sont incluses dans les premi`res, mais n’y sont pas ´gales.
e e
5 / 16
6. Qu’est-ce qu’une donn´e personnelle ?
e
Des donn´es personnelles ? O` ¸a ?
e uc
CNIL, Godfrain et Union Europ´enne
e
Vie priv´e, vie personnelle et donn´es
e e
Un internaute se pose toujours quelques questions :
O` sont ses donn´es personnelles et ses donn´es priv´es ?
u e e e
Qui en est responsable ?
Qui y a acc`s ?
e
Quelles sont les r`gles d’engagement de ces donn´es ?
e e
Qu’arrivera-t-il si ces donn´es deviennent publiques ?
e
Par exemple
Les photos “priv´es” t´l´charg´es sur un compte Facebook, les
e ee e
informations associ´es ` une fiche “client” (parfois tr`s intrusives ou
e a e
instructives), etc.
Garder ` l’esprit
a
Ces questions, et les r´ponses inappropri´es qui peuvent y ˆtre
e e e
apport´es par les entreprises, sont autant de risques op´rationnels
e e
voire juridiques.
6 / 16
7. Qu’est-ce qu’une donn´e personnelle ?
e
Des donn´es personnelles ? O` ¸a ?
e uc
CNIL, Godfrain et Union Europ´enne
e
Plan
1 Des donn´es personnelles ? O` ¸a ?
e uc
Qu’est-ce qu’une donn´e personnelle ?
e
CNIL, Godfrain et Union Europ´enne
e
7 / 16
8. Qu’est-ce qu’une donn´e personnelle ?
e
Des donn´es personnelles ? O` ¸a ?
e uc
CNIL, Godfrain et Union Europ´enne
e
Lois p´nales directement applicables
e
Deux grands textes, transcrits dans le Code P´nal, sont
e
directement applicables ` l’informatique :
a
Article 226-16 et suivants Ex-loi Informatique et Libert´s.
e
Concerne les traitement automatis´s de donn´es
e e
nominatives.
Article 323-1 et suivants Ex-loi Godfrain. Concerne toutes les
atteintes au fonctionnement des syst`mes de
e
traitement de donn´es.
e
8 / 16
9. Qu’est-ce qu’une donn´e personnelle ?
e
Des donn´es personnelles ? O` ¸a ?
e uc
CNIL, Godfrain et Union Europ´enne
e
Usage de ces deux textes
Art. 226-16 et suivants : vos donn´es nominatives sont “mal
e
prot´g´es” par un tiers, une collecte paraˆ ill´gitime, . . .
e e ıt e
Art. 323-1 et suivants : vous ˆtes victime d’une attaque
e
(intrusion, d´ni de service, vol de donn´es, . . . )
e e
Note ` l’usage des gens normaux
a
Il est parfois “quelque peu difficile” de faire enregistrer sa plainte
par les forces de police.
Attention
L’entreprise qui se fait voler ses donn´es peut ˆtre accus´e (au sens
e e e
du 226-16) par ses clients (protections inad´quates).
e
9 / 16
10. Qu’est-ce qu’une donn´e personnelle ?
e
Des donn´es personnelles ? O` ¸a ?
e uc
CNIL, Godfrain et Union Europ´enne
e
Qu’est-ce qu’une donn´e nominative
e
Donn´e nominative
e
Toute donn´e ou information dont le contenu permet, de fa¸on
e c
directe ou indirecte, d’identifier son porteur ou propri´taire, d`s
e e
lors qu’elle est soumise ` un traitement automatis´.
a e
Donc :
une liste d’adresse ´lectroniques (listes de diffusion)
e
des adresses IP (journaux de serveurs Web, relais de
navigation. . . )
une base de donn´es (comptes des clients ou utilisateurs)
e
Ces “d´finitions” sont tr`s larges ⇒ PRUDENCE !
e e
Conclusion
Il est conseill´ de toujours d´clarer ses fichiers ` la CNIL. Au
e e a
minimum, lui poser la question s’il faut d´clarer.
e
10 / 16
11. Qu’est-ce qu’une donn´e personnelle ?
e
Des donn´es personnelles ? O` ¸a ?
e uc
CNIL, Godfrain et Union Europ´enne
e
Concernant les donn´es nominatives
e
Il est n´cessaire de bien comprendre que :
e
Le d´tenteur des informations a une obligation de moyens.
e
Les moyens mis en œuvre doivent correspondre ` la criticit´
a e
des donn´es.
e
Le d´tenteur est consid´r´ comme connaissant la sensibilit´
e ee e
des donn´es qu’il g`re.
e e
Le d´tenteur reste responsable mˆme en cas de sous-traitance
e e
des traitements.
Conclusion ´vidente
e
Si vous pouvez, ´vitez de stocker/g´rer des donn´es
e e e
nominatives. . . C’est plus facile qu’on ne le croit.
11 / 16
12. Qu’est-ce qu’une donn´e personnelle ?
e
Des donn´es personnelles ? O` ¸a ?
e uc
CNIL, Godfrain et Union Europ´enne
e
Exemple d’une cons´quence CNIL – journaux d’activit´
e e
Un syst`me d’informations correctement pens´ produit de
e e
nombreuses traces d’activit´.
e
Quelques exemples
Connexions des utilisateurs ` leur poste de travail,
a
Actions significatives r´alis´es sur le syst`me d’informations,
e e e
Connexions au site web de l’entreprise,
Connexions ` une application, ` une base de donn´es, etc.
a a e
Ces journaux (fichiers simples ou structur´s) contiennent des
e
informations nominatives. Ils doivent donc ˆtre prot´g´s contre. . .
e e e
toute lecture indˆe (perte de confidentialit´)
u e
toute modification indˆe (alt´ration de preuves)
u e
l’usure du temps (conservation de preuves)
12 / 16
13. Qu’est-ce qu’une donn´e personnelle ?
e
Des donn´es personnelles ? O` ¸a ?
e uc
CNIL, Godfrain et Union Europ´enne
e
Une nouveaut´
e
Discussions en cours pour
obligation ´tendue ` toute
e a
entreprise g´rant des donn´es
e e
personnelles – projet de loi
Escoffier-D´traigne
e
Cons´quences
e
Etre capable de d´tecter l’incident (quelles donn´es perdues ?)
e e
Etre en mesure d’identifier sa port´e (qui est touch´ ?)
e e
Exercice pour les lecteurs
Et si les donn´es vol´es n’ont jamais ´t´ d´clar´es ` la CNIL ?
e e ee e e a
13 / 16
14. Qu’est-ce qu’une donn´e personnelle ?
e
Des donn´es personnelles ? O` ¸a ?
e uc
CNIL, Godfrain et Union Europ´enne
e
Mˆme la commission europ´enne s’y met
e e
Prise de conscience significative
des tr`s nombreuses “pratiques
e
all´g´es” concernant la gestion
e e
des donn´es nominatives par les
e
entreprises.
Concerne pour le moment le
partage des donn´es nominatives
e
Coupl´ ` l’amendement de
ea
novembre 2009, orientation
claire vers des obligations fortes
de protection de ces donn´es.
e
14 / 16
15. Qu’est-ce qu’une donn´e personnelle ?
e
Des donn´es personnelles ? O` ¸a ?
e uc
CNIL, Godfrain et Union Europ´enne
e
Mˆme la commission europ´enne s’y met
e e
Prise de conscience significative
des tr`s nombreuses “pratiques
e
all´g´es” concernant la gestion
e e
des donn´es nominatives par les
e
entreprises.
Concerne pour le moment le
partage des donn´es nominatives
e
Coupl´ ` l’amendement de
ea
novembre 2009, orientation
claire vers des obligations fortes
de protection de ces donn´es.
e
15 / 16