SlideShare ist ein Scribd-Unternehmen logo

Presentation pour les développeurs informatiques

Marc Guichard
Marc Guichard

Support de cours à destination des développeurs informatiques La présentation est organisée autour des différentes phases de conception : Modules saisie, modification Modules de calcul Modules d’export de données Modules WEB, … Mis en ligne avec l'aimable autorisation de l'auteur Agnès Laplaige, CIL de l'Ecole Polytechnique

Technologie
1 von 24
Downloaden Sie, um offline zu lesen
Protection des données personnelles et développement d’applications informatiques Agnès Laplaige, CIL de l'Ecole Polytechnique avril 2011
Thèmes I&L Informatique et Libertés • Protection de la vie privée et des libertés • Données personnelles • Traitement automatisé (application informatique) • Déclaration du traitement à la CNIL
Données personnelles • Nom, prénom, autres prénoms • Date de naissance, n° SS, n°adhésion Mutuelle, immatriculation du véhicule, n° badge, adresse du domicile, n°carte bancaire, RIB, … • Adresse IP 129.104.23.36 • Photo Tout ce qui permet l’identification directe ou indirecte de la personne Données mises en œuvre dans les traitements informatisés
Données sensibles N° Sécurité sociale (sauf organismes déjà autorisés) Biométrie, Données de santé Données génétiques (ADN) Infractions, condamnations, mesures de sûreté Appréciations (commentaires, observations) sur les difficultés sociales des personnes demande d’autorisation de la CNIL
Données INTERDITES Origine ethnique, Opinions religieuses et politiques Appartenance syndicale, Habitudes de vie, Commentaires abusifs Le responsable de traitement (RT)
Traitement informatisé • Outils bureautiques, messagerie électronique • Logiciel standard • Progiciel (SAP, ERP, …) • Développement, application spécifique • Annuaire LDAP, Active Directory, log réseau, journaux des accès • Site WEB avec collecte et – ou affichage de données personnelles • Infocentre (BO, Crystal Reports, …) •Quelque soit le langage de développement •Quelque soit l’architecture (client-serveur, web, monoposte, …) •Quelque soit le type de base de données •Quelque soit la volumétrie
Traitements Sensibles Environnement numérique de travail Traitement avec n° sécurité sociale Traitement avec données sensibles Demande d’autorisation ou demande d’avis à la CNIL Le responsable de traitement (RT)
Traitements INTERDITS Traitement avec des données interdites Automatisation de traitement conduisant à la discrimination Recoupement de fichiers Transfert de données non déclarés Toute autre usage que celui indiqué dans la déclaration Le responsable de traitement (RT)
Déclaration d’un traitement informatisé Le responsable de traitement (RT) • Identification du RT (responsable de traitement) • Finalités du traitement • Date de mise en œuvre • Liste des données • Destinataires • Durée de conservation des données • Architecture technique • Sécurité des données (physiques et logiques) • Modalités des droits d’accès, de rectification et de suppression des données personnelles • Modalités du droit d’opposition
Déclaration au CIL Avant la mise en exploitation du traitement • Conseils lors rédaction CC fiche pré-étude • Dossier de déclaration au CIL • Rédaction des mentions légales • MAJ du registre des traitements • Transmettre à la CNIL si demande d’avis ou demande d’autorisation • Audit conformité des traitements
Obligations I&L Informatique et Libertés • Collecte loyale • Action dans la transparence • Données exactes et pertinentes • !! Données sensibles et données interdites • Respect des finalités du traitement • Garantie de l’intégrité des données • Protection des données personnelles • Droit à l’oubli • Droit d’accès, rectification ou suppression • Déclaration du traitement au CIL
Développement d’applications informatiques Et moi, le développeur ??? • Je suis responsable de quoi quand je développe une application ? Et le chef de projet AMOA ???
Fonctionnalités du traitement Obligations Responsabilité du RT Responsabilité Outil facilitant I&L du MOE/E&D * Respecter les finalités décrites Vigilance ! Respecter l’objectif dans la déclaration du fichier * Rédiger un cahier des charges On peut prévenir le CIL si on * Elaborer du plan de test détecte une déviance….
Accès au traitement et aux données Obligations Responsabilité Responsabilité Outil facilitant I&L du RT du MOE/E&D Protection des Maîtriser ses données * Concevoir le module de gestion données des accès et des droits des * Sécurité des locaux Définition les droits d’accès des utilisateurs utilisateurs * SSI * Garantir le bon filtrage sur : * Plan de tests lors des phases de recette - les fonctionnalités du traitement - l’accès aux données Demande Données sensibles = * Mettre en œuvre une protection * Authentification forte autorisation CNIL renforcée des données sensibles * Gestion des N° SS (NIRP) autorisations d’accès et Biométrie privatisation des Données génétiques données Infractions, * Cryptage * Réseau sécurisé Données de santé
Saisie, modification de données Responsabilité du RT Responsabilité Outil facilitant Obligations du MOE/E&D I&L Informer les personnes Insérer la rubrique « Mentions * Affichage des Agir dans la - Son identité légales » sur chaque page des mentions légales sur transparence - La finalité du traitement sites Web les formulaires papier, Web et dans les - Les destinataires bureaux accueillant les - L’exercice des droits intéressés - Les transmissions envisagées * Ne pas collecter à l’insu de la •Pas de recoupements de bases * Astérisque au vu des Collecte loyale personne de données pour produire une champs obligatoires * Spécifier les champs donnée qui serait discriminante sur les formulaires de obligatoires et les champs collectes de données facultatifs * Distinguer le « champ * Renvoi en bas du obligatoire » et le « champ formulaire pour la facultatif » signification de * Pertinence de la Garantir la cohérence de la donnée au vu des nature des données avec les finalités de finalités du traitement traitement
Saisie, modification de données Responsabilité du Responsabilité Outil facilitant Obligations RT du MOE/E&D I&L Garantir la valeur exacte •Garantir le stockage de la donnée Bases de données de Exactitude des des données saisies •Garantir la restitution de la donnée type SQL données •CTL la saisie avec référentiels CTL intégrité •CTL la cohérence des données Données sensibles = Authentification forte N° SS (NIRP) Mettre en œuvre une Gestion des Demande autorisations d’accès et Biométrie protection renforcée des autorisation CNIL privatisation des Données médicales données sensibles données Cryptage Réseau sécurisé Données interdites Appartenance NE PAS ACCEPTER DE INTERDIT politique, syndicale, STOCKER DE TELLES religieuse, habitudes DONNEES DANS UN de vie, commentaires TRAITEMENT abusifs
Calcul de données Responsabilité du Responsabilité Outil facilitant Obligations RT du MOE/E&D I&L Exactitude des * Définir les règles données de calcul en respect Garantir le résultat des calculs Plan de tests lors des de la réglementation phases de recette et ou règles de l’art Pertinence de la Garantir la pertinence donnée au vu des des calculs sur les finalités de données avec les traitement finalités du traitement
Consultation de données Obligations Responsabilité du RT Responsabilité Outil facilitant I&L du MOE/E&D Exactitude des données * Base de données solide • Ne pas divulguer les • Garantir la restitution des données confidentielles, données saisies, modifiées, * Authentification forte Protection des personnelles calculées * Gestion des autorisations données d’accès et privatisation des données Pertinence des • Garantir l’exactitude • Mettre une œuvre une * Cryptage données des données protection des données * Réseau sécurisé Si données sensibles, mettre en œuvre une protection renforcée des données sensibles Ne pas en faire un autre Respect des usage que celui défini finalités du dans les finalités du traitement traitement
Editions - Export des données Obligations Responsabilité du RT Responsabilité Outil facilitant I&L du MOE/E&D Exactitude des •Les éditions doivent être données conformes aux finalités du * Garantir le résultat des traitement éditions, des calculs Plan de tests lors des Respect des intégrés aux éditions phases de recette finalités du traitement * L’archivage des éditions doit respecter les règles du *Garantir l’exactitude Droit à l’oubli code du patrimoine des données exportées Protection des Ne pas transmettre les Le MOE / E&D données données à d’autres Respect des personnes que celles n’est pas finalités du identifiées comme fournisseur de traitement destinataires dans la déclaration CNIL données
Publication sur site Web - Transfert des données Responsabilité du RT Responsabilité Outil Obligations I&L du MOE/E&D facilitant Agir dans la * Informer les intéressés Concevoir un module transparence * Recueillir leur accord d’enregistrement des Droit d’opposition oppositions de publication * Respecter le droit d’opposition et ou des oppositions de transfert de données Informer le destinataire des Données exactes données en cas de modification des données transmises
Conservation des données Responsabilité du RT Responsabilité Outil facilitant Obligations du MOE/E&D I&L Respecter la durée de conservation des données selon la Concevoir les modules Plan de tests lors des Droit à l’oubli réglementation en vigueur (code phases de recette de gestion de la durée de du patrimoine, code du travail, conservation des LCEN code du commerce, …) données et d’archivage et ou recommandations CNIL Ce point fait l’objet de plusieurs GT au niveau national : SUPCIL CNIL et AFCDP CNIL
Garantir l’intégrité des données Action Responsabilité Responsabilité Outil facilitant du RT du MOE/E&D Saisie Modification Suppression Base de données solide Calcul Choix d’outils Consultation informatiques Outil de développement sans faille de sécurité Impression sécurisés Export Protocole HTTPS Archivage Infocentre Consignes de développement
Protéger les données personnelles Action Responsabilité du RT Responsabilité Outil facilitant du MOE/E&D Saisie * Ne pas divulguer • 1 compte d’accès LDAP Modification Gestion des PW niveau les PW par utilisateur complexe Suppression Calcul •en cas d’absence : •Profil d’accès Fermer la session Consultation •Gestion privatisation Fermer la porte Impression des données Export •Ne pas coller le •Accès sécurisé des Archivage PW sous le clavier salles serveurs Infocentre •Ne pas divulguer •Respect PSSI les données personnelles •Respect consignes développement •Sauvegarde BD
Evolution des applications informatiques Avant la modification du traitement Déclaration de la modification au CIL • Conseils lors rédaction CC fiche pré-étude • Modification de la déclaration • Rédaction des mentions légales • MAJ du registre des traitements • Transmettre à la CNIL si demande d’avis ou demande d’autorisation • Audit conformité des traitements

Empfohlen

Startups : protégez vos données biométriques avec la CNIL
Startups : protégez vos données biométriques avec la CNILStartups : protégez vos données biométriques avec la CNIL
Startups : protégez vos données biométriques avec la CNILFrenchTechCentral
 
V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14silvere cauffi assoua
 
L'éclairement des différentes lampes
L'éclairement des différentes lampesL'éclairement des différentes lampes
L'éclairement des différentes lampessection-scientifique
 
De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...Michel Jaccard
 
Eduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetEduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetStéphane Bazan
 
Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Henri ISAAC
 
Les animaux de notre paludarium
Les animaux de notre paludariumLes animaux de notre paludarium
Les animaux de notre paludariumsection-scientifique
 
Hs
HsHs
Hssection-scientifique
 

Empfohlen

Startups : protégez vos données biométriques avec la CNIL
Startups : protégez vos données biométriques avec la CNILStartups : protégez vos données biométriques avec la CNIL
Startups : protégez vos données biométriques avec la CNILFrenchTechCentral
 
V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14V2 unetel typologie et enjeux de la cybercriminalite_août 14
V2 unetel typologie et enjeux de la cybercriminalite_août 14silvere cauffi assoua
 
L'éclairement des différentes lampes
L'éclairement des différentes lampesL'éclairement des différentes lampes
L'éclairement des différentes lampessection-scientifique
 
De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...Michel Jaccard
 
Eduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetEduquer au numérique pour faire face aux dangers d’Internet
Eduquer au numérique pour faire face aux dangers d’InternetStéphane Bazan
 
Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Henri ISAAC
 
Les animaux de notre paludarium
Les animaux de notre paludariumLes animaux de notre paludarium
Les animaux de notre paludariumsection-scientifique
 
Hs
HsHs
Hssection-scientifique
 
protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfJean-Charles Croiger
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeFlorence Bonnet
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianDenis VIROLE
 
Opinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellesOpinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellescontactOpinionWay
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesMarc Guichard
 
E-commerce - protection des données personnelles
E-commerce - protection des données personnellesE-commerce - protection des données personnelles
E-commerce - protection des données personnellesUNIVERSITE DE METZ
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Thiebaut Devergranne
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Protection des données personnelles en Russie
Protection des données personnelles en RussieProtection des données personnelles en Russie
Protection des données personnelles en RussieAnastasiya Lemysh
 
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Microsoft
 
Conformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjectsConformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjectsWiiisdom
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
CustoQuestion #19: Le DataLake
CustoQuestion #19: Le DataLakeCustoQuestion #19: Le DataLake
CustoQuestion #19: Le DataLakeFreedelity
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Youssef Loudiyi
 
MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0Prof. Jacques Folon (Ph.D)
 
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...Denodo
 
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Microsoft pour les PME
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Microsoft Technet France
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 

Weitere ähnliche Inhalte

Andere mochten auch

protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfJean-Charles Croiger
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeFlorence Bonnet
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianDenis VIROLE
 
Opinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellesOpinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellescontactOpinionWay
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesMarc Guichard
 
E-commerce - protection des données personnelles
E-commerce - protection des données personnellesE-commerce - protection des données personnelles
E-commerce - protection des données personnellesUNIVERSITE DE METZ
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Thiebaut Devergranne
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Protection des données personnelles en Russie
Protection des données personnelles en RussieProtection des données personnelles en Russie
Protection des données personnelles en RussieAnastasiya Lemysh
 

Andere mochten auch (9)

protection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vfprotection_des_donnees_personnelles_vf
protection_des_donnees_personnelles_vf
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
 
Plan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris HalianPlan d'action GDPR Luxembourg Ageris Halian
Plan d'action GDPR Luxembourg Ageris Halian
 
Opinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnellesOpinion way le figaro_vie_numerique_et_donnee_personnelles
Opinion way le figaro_vie_numerique_et_donnee_personnelles
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
 
E-commerce - protection des données personnelles
E-commerce - protection des données personnellesE-commerce - protection des données personnelles
E-commerce - protection des données personnelles
 
Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen Protection des données personnelles : le nouveau projet de règlement européen
Protection des données personnelles : le nouveau projet de règlement européen
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Protection des données personnelles en Russie
Protection des données personnelles en RussieProtection des données personnelles en Russie
Protection des données personnelles en Russie
 

Ähnlich wie Presentation pour les développeurs informatiques

Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Microsoft
 
Conformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjectsConformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjectsWiiisdom
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
CustoQuestion #19: Le DataLake
CustoQuestion #19: Le DataLakeCustoQuestion #19: Le DataLake
CustoQuestion #19: Le DataLakeFreedelity
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Youssef Loudiyi
 
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...Denodo
 
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Microsoft pour les PME
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Microsoft Technet France
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéVeritas Technologies LLC
 
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Leonard Moustacchis
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...Halszka de Breza
 
Présentation offre SmartBigData 2012
Présentation offre SmartBigData 2012Présentation offre SmartBigData 2012
Présentation offre SmartBigData 2012Novulys SAS
 
Du Big Data au Smart Data
Du Big Data au Smart DataDu Big Data au Smart Data
Du Big Data au Smart DataMichel Jaccard
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonSolution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonCLDEM
 

Ähnlich wie Presentation pour les développeurs informatiques (20)

Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
 
Conformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjectsConformité RGPD dans SAP BusinessObjects
Conformité RGPD dans SAP BusinessObjects
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
CustoQuestion #19: Le DataLake
CustoQuestion #19: Le DataLakeCustoQuestion #19: Le DataLake
CustoQuestion #19: Le DataLake
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'af...
 
MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0
 
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
Webinar Denodo & CRIP : Souveraineté, information sensible et data gouvernanc...
 
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
Conférence "l'utilisation des données dans un projet d'IA : le défi juridi...
 
Présentation offre SmartBigData 2012
Présentation offre SmartBigData 2012Présentation offre SmartBigData 2012
Présentation offre SmartBigData 2012
 
Du Big Data au Smart Data
Du Big Data au Smart DataDu Big Data au Smart Data
Du Big Data au Smart Data
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonSolution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres siveton
 

Mehr von Marc Guichard

Ora et Labora in horto
Ora et Labora in hortoOra et Labora in horto
Ora et Labora in hortoMarc Guichard
 
Evolution du catholicisme en France (2010)
Evolution du catholicisme en France (2010)Evolution du catholicisme en France (2010)
Evolution du catholicisme en France (2010)Marc Guichard
 
Présentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSPrésentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSMarc Guichard
 
Dessins humoristiques sur la protection de la vie privée
Dessins humoristiques sur la protection de la vie privéeDessins humoristiques sur la protection de la vie privée
Dessins humoristiques sur la protection de la vie privéeMarc Guichard
 
La Science vue du Web of Science
La Science vue du Web of ScienceLa Science vue du Web of Science
La Science vue du Web of ScienceMarc Guichard
 

Mehr von Marc Guichard (6)

Ora et Labora in horto
Ora et Labora in hortoOra et Labora in horto
Ora et Labora in horto
 
Evolution du catholicisme en France (2010)
Evolution du catholicisme en France (2010)Evolution du catholicisme en France (2010)
Evolution du catholicisme en France (2010)
 
Présentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRSPrésentation Informatique et libertés au CNRS
Présentation Informatique et libertés au CNRS
 
Dessins humoristiques sur la protection de la vie privée
Dessins humoristiques sur la protection de la vie privéeDessins humoristiques sur la protection de la vie privée
Dessins humoristiques sur la protection de la vie privée
 
Auvergne romane
Auvergne romaneAuvergne romane
Auvergne romane
 
La Science vue du Web of Science
La Science vue du Web of ScienceLa Science vue du Web of Science
La Science vue du Web of Science
 

Presentation pour les développeurs informatiques

  • 1. Protection des données personnelles et développement d’applications informatiques Agnès Laplaige, CIL de l'Ecole Polytechnique avril 2011
  • 2. Thèmes I&L Informatique et Libertés • Protection de la vie privée et des libertés • Données personnelles • Traitement automatisé (application informatique) • Déclaration du traitement à la CNIL
  • 3. Données personnelles • Nom, prénom, autres prénoms • Date de naissance, n° SS, n°adhésion Mutuelle, immatriculation du véhicule, n° badge, adresse du domicile, n°carte bancaire, RIB, … • Adresse IP 129.104.23.36 • Photo Tout ce qui permet l’identification directe ou indirecte de la personne Données mises en œuvre dans les traitements informatisés
  • 4. Données sensibles N° Sécurité sociale (sauf organismes déjà autorisés) Biométrie, Données de santé Données génétiques (ADN) Infractions, condamnations, mesures de sûreté Appréciations (commentaires, observations) sur les difficultés sociales des personnes demande d’autorisation de la CNIL
  • 5. Données INTERDITES Origine ethnique, Opinions religieuses et politiques Appartenance syndicale, Habitudes de vie, Commentaires abusifs Le responsable de traitement (RT)
  • 6. Traitement informatisé • Outils bureautiques, messagerie électronique • Logiciel standard • Progiciel (SAP, ERP, …) • Développement, application spécifique • Annuaire LDAP, Active Directory, log réseau, journaux des accès • Site WEB avec collecte et – ou affichage de données personnelles • Infocentre (BO, Crystal Reports, …) •Quelque soit le langage de développement •Quelque soit l’architecture (client-serveur, web, monoposte, …) •Quelque soit le type de base de données •Quelque soit la volumétrie
  • 7. Traitements Sensibles Environnement numérique de travail Traitement avec n° sécurité sociale Traitement avec données sensibles Demande d’autorisation ou demande d’avis à la CNIL Le responsable de traitement (RT)
  • 8. Traitements INTERDITS Traitement avec des données interdites Automatisation de traitement conduisant à la discrimination Recoupement de fichiers Transfert de données non déclarés Toute autre usage que celui indiqué dans la déclaration Le responsable de traitement (RT)
  • 9. Déclaration d’un traitement informatisé Le responsable de traitement (RT) • Identification du RT (responsable de traitement) • Finalités du traitement • Date de mise en œuvre • Liste des données • Destinataires • Durée de conservation des données • Architecture technique • Sécurité des données (physiques et logiques) • Modalités des droits d’accès, de rectification et de suppression des données personnelles • Modalités du droit d’opposition
  • 10. Déclaration au CIL Avant la mise en exploitation du traitement • Conseils lors rédaction CC fiche pré-étude • Dossier de déclaration au CIL • Rédaction des mentions légales • MAJ du registre des traitements • Transmettre à la CNIL si demande d’avis ou demande d’autorisation • Audit conformité des traitements
  • 11. Obligations I&L Informatique et Libertés • Collecte loyale • Action dans la transparence • Données exactes et pertinentes • !! Données sensibles et données interdites • Respect des finalités du traitement • Garantie de l’intégrité des données • Protection des données personnelles • Droit à l’oubli • Droit d’accès, rectification ou suppression • Déclaration du traitement au CIL
  • 12. Développement d’applications informatiques Et moi, le développeur ??? • Je suis responsable de quoi quand je développe une application ? Et le chef de projet AMOA ???
  • 13. Fonctionnalités du traitement Obligations Responsabilité du RT Responsabilité Outil facilitant I&L du MOE/E&D * Respecter les finalités décrites Vigilance ! Respecter l’objectif dans la déclaration du fichier * Rédiger un cahier des charges On peut prévenir le CIL si on * Elaborer du plan de test détecte une déviance….
  • 14. Accès au traitement et aux données Obligations Responsabilité Responsabilité Outil facilitant I&L du RT du MOE/E&D Protection des Maîtriser ses données * Concevoir le module de gestion données des accès et des droits des * Sécurité des locaux Définition les droits d’accès des utilisateurs utilisateurs * SSI * Garantir le bon filtrage sur : * Plan de tests lors des phases de recette - les fonctionnalités du traitement - l’accès aux données Demande Données sensibles = * Mettre en œuvre une protection * Authentification forte autorisation CNIL renforcée des données sensibles * Gestion des N° SS (NIRP) autorisations d’accès et Biométrie privatisation des Données génétiques données Infractions, * Cryptage * Réseau sécurisé Données de santé
  • 15. Saisie, modification de données Responsabilité du RT Responsabilité Outil facilitant Obligations du MOE/E&D I&L Informer les personnes Insérer la rubrique « Mentions * Affichage des Agir dans la - Son identité légales » sur chaque page des mentions légales sur transparence - La finalité du traitement sites Web les formulaires papier, Web et dans les - Les destinataires bureaux accueillant les - L’exercice des droits intéressés - Les transmissions envisagées * Ne pas collecter à l’insu de la •Pas de recoupements de bases * Astérisque au vu des Collecte loyale personne de données pour produire une champs obligatoires * Spécifier les champs donnée qui serait discriminante sur les formulaires de obligatoires et les champs collectes de données facultatifs * Distinguer le « champ * Renvoi en bas du obligatoire » et le « champ formulaire pour la facultatif » signification de * Pertinence de la Garantir la cohérence de la donnée au vu des nature des données avec les finalités de finalités du traitement traitement
  • 16. Saisie, modification de données Responsabilité du Responsabilité Outil facilitant Obligations RT du MOE/E&D I&L Garantir la valeur exacte •Garantir le stockage de la donnée Bases de données de Exactitude des des données saisies •Garantir la restitution de la donnée type SQL données •CTL la saisie avec référentiels CTL intégrité •CTL la cohérence des données Données sensibles = Authentification forte N° SS (NIRP) Mettre en œuvre une Gestion des Demande autorisations d’accès et Biométrie protection renforcée des autorisation CNIL privatisation des Données médicales données sensibles données Cryptage Réseau sécurisé Données interdites Appartenance NE PAS ACCEPTER DE INTERDIT politique, syndicale, STOCKER DE TELLES religieuse, habitudes DONNEES DANS UN de vie, commentaires TRAITEMENT abusifs
  • 17. Calcul de données Responsabilité du Responsabilité Outil facilitant Obligations RT du MOE/E&D I&L Exactitude des * Définir les règles données de calcul en respect Garantir le résultat des calculs Plan de tests lors des de la réglementation phases de recette et ou règles de l’art Pertinence de la Garantir la pertinence donnée au vu des des calculs sur les finalités de données avec les traitement finalités du traitement
  • 18. Consultation de données Obligations Responsabilité du RT Responsabilité Outil facilitant I&L du MOE/E&D Exactitude des données * Base de données solide • Ne pas divulguer les • Garantir la restitution des données confidentielles, données saisies, modifiées, * Authentification forte Protection des personnelles calculées * Gestion des autorisations données d’accès et privatisation des données Pertinence des • Garantir l’exactitude • Mettre une œuvre une * Cryptage données des données protection des données * Réseau sécurisé Si données sensibles, mettre en œuvre une protection renforcée des données sensibles Ne pas en faire un autre Respect des usage que celui défini finalités du dans les finalités du traitement traitement
  • 19. Editions - Export des données Obligations Responsabilité du RT Responsabilité Outil facilitant I&L du MOE/E&D Exactitude des •Les éditions doivent être données conformes aux finalités du * Garantir le résultat des traitement éditions, des calculs Plan de tests lors des Respect des intégrés aux éditions phases de recette finalités du traitement * L’archivage des éditions doit respecter les règles du *Garantir l’exactitude Droit à l’oubli code du patrimoine des données exportées Protection des Ne pas transmettre les Le MOE / E&D données données à d’autres Respect des personnes que celles n’est pas finalités du identifiées comme fournisseur de traitement destinataires dans la déclaration CNIL données
  • 20. Publication sur site Web - Transfert des données Responsabilité du RT Responsabilité Outil Obligations I&L du MOE/E&D facilitant Agir dans la * Informer les intéressés Concevoir un module transparence * Recueillir leur accord d’enregistrement des Droit d’opposition oppositions de publication * Respecter le droit d’opposition et ou des oppositions de transfert de données Informer le destinataire des Données exactes données en cas de modification des données transmises
  • 21. Conservation des données Responsabilité du RT Responsabilité Outil facilitant Obligations du MOE/E&D I&L Respecter la durée de conservation des données selon la Concevoir les modules Plan de tests lors des Droit à l’oubli réglementation en vigueur (code phases de recette de gestion de la durée de du patrimoine, code du travail, conservation des LCEN code du commerce, …) données et d’archivage et ou recommandations CNIL Ce point fait l’objet de plusieurs GT au niveau national : SUPCIL CNIL et AFCDP CNIL
  • 22. Garantir l’intégrité des données Action Responsabilité Responsabilité Outil facilitant du RT du MOE/E&D Saisie Modification Suppression Base de données solide Calcul Choix d’outils Consultation informatiques Outil de développement sans faille de sécurité Impression sécurisés Export Protocole HTTPS Archivage Infocentre Consignes de développement
  • 23. Protéger les données personnelles Action Responsabilité du RT Responsabilité Outil facilitant du MOE/E&D Saisie * Ne pas divulguer • 1 compte d’accès LDAP Modification Gestion des PW niveau les PW par utilisateur complexe Suppression Calcul •en cas d’absence : •Profil d’accès Fermer la session Consultation •Gestion privatisation Fermer la porte Impression des données Export •Ne pas coller le •Accès sécurisé des Archivage PW sous le clavier salles serveurs Infocentre •Ne pas divulguer •Respect PSSI les données personnelles •Respect consignes développement •Sauvegarde BD
  • 24. Evolution des applications informatiques Avant la modification du traitement Déclaration de la modification au CIL • Conseils lors rédaction CC fiche pré-étude • Modification de la déclaration • Rédaction des mentions légales • MAJ du registre des traitements • Transmettre à la CNIL si demande d’avis ou demande d’autorisation • Audit conformité des traitements