Culture et Compétences Numériques PDF
Document Details
Uploaded by Deleted User
Tags
Summary
Ce document traite de la culture et des compétences numériques, notamment du rôle de la CNIL (Commission Nationale de l'Informatique et des Libertés) et du Règlement Général sur la Protection des Données (RGPD). Il explore des aspects historiques, législatifs, et pratiques liés à la protection des données personnelles.
Full Transcript
Culture et compétences numériques 10 Sept 2024 CNIL : Commission Nationale de l’Informatique et des Libertés - 1970 : Projet SAFARI : identification de chaque citoyen grâce a un numéro signifiant (pas aléatoire) - NIRPP : N° de sécurité sociale (13 chiffres et une clé de 2 chiffres)...
Culture et compétences numériques 10 Sept 2024 CNIL : Commission Nationale de l’Informatique et des Libertés - 1970 : Projet SAFARI : identification de chaque citoyen grâce a un numéro signifiant (pas aléatoire) - NIRPP : N° de sécurité sociale (13 chiffres et une clé de 2 chiffres) - Interconnecter les différents fichiers de l’administration grâce a ce numéro - SAFARI : Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus -1974 : Tribune du monde : « SAFARI ou la chasse aux français » -1974 : Messmer 1er ministre - 1975 : Commission « informatique et libertés » - Développement de l’informatique (fichiers) dans le respect de la vie privée -1975 : Rapport Tricot -1978 : Loi : « informatique et libertés » - Création de la CNIL (1ère autorité administrative Indépendante) - La CNIL a pour objectif la préservation des libertés individuelles à l’ère du tout numérique - Aujourd’hui : elle accompagne (mise en conformité R.G.P.D), elle contrôle et sanctionne (mise en demeure, sanction) - CNIL => IA La présidente de la CNIL a participé à la commission sur l’IA La CNIL n’a pas le temps de contrôler tout le monde (PME), les sanctions ne tombent d’ailleurs pas Plein d’administrations ne sont pas conformes au RGPD (moyens financiers et humains), attendent les sanctions qui n’arrivent pas. La CNIL s’assure que la conformité RGPD est active R.G.P.D. : Règlement Général sur la Protection des Données -1993 : UE -1995 : Directive européenne sur la protection des données personnelles (harmonisation des législations) -2016 : RGPD (Règlement général sur la Protection des données) adopté - Cadre juridique répondant à l’évolution numérique - La protection des données personnelles est un droit fondamental (pas absolu) -2018 : Dispositions applicables dans les États membres (27) - La CNIL veille au respect RGPD -2019 : Renforcement de la sécurité des cartes d’identité - Nouvelle carte d’identité depuis 2021 en France (limiter l’usurpation d’identité, application France identité) - Elle comporte une puce sécurisée (cryptographie) qui permet le stockage : - De la photo et des empreintes ( plus ou moins simple de trouver le fonctionnement, comment faire. Bonne volonté de certain site et la CNIL ajuste sa sanction en conséquence ⁃ Contrat ou mesures pré contractuelles (il faut que les données soient nécessaires) exemple : j’ai décidé de m’abonner à Ouest France et vont collecter les données. Pré contractuelles = données. Certaine structures ont eu des amendes lourdes car tout n’était pas conforme alors on décide qu’une personne gère ça :les responsables de traitement (délégue à la /DPO) ⁃ Obligation légale (fiscale etc): il faut choisir correctement sa base de données car certains des citoyens doivent conserver leur ps donnés alors que d’autres ne veulent = droit à la suppression de donner pendant que le responsable de traitement s’y opposera car il doit les garder/ donnée de santé garder pendant 5 ans après une visite ⁃ Sauvegarde de l’intérêt vital (fréquente le domaine médical) exemple : en cas de graves dangers : type de sang par exemple, allergie, dossier médicale ⁃ Mission d’intérêt public (application TousAntiCovid) Où vont les données seront elles détruites ⁃ Intérêt légitime (assez floue-prospection commerciale)= c’est dans mon intérêt légitime d’utiliser un mail par exemple enregistrer par ouest France qui sera vendu et enregistrer par d’autres partenaires. Prestataire cyber attaque qui n’a pas fait exprès de déclencher une fausse procédure de cyber attaque : lifechaine. Est ce que le sous traitait a fait son travail et que le responsable de traitement lui a dit de le faire présence de contrat qui agit comme preuve numérique ? Proportionnalité et pertinence (nécessité au regard de la finalité du traitement) ⁃ ne collecter que les données vraiment nécessaires = ne pas collecter trop de données pour faire son travail. Amazon sanction de la CNIL 30 millions d’euro collecte trop de données = minimisation. C’est le responsable de traitement qui en est responsable et le DPO se charge de vérifier Durée de conservation des données (Archivage)intégrité , conformité et confidentialité. Comment conserver des données qu’on doit conserver pendant 100 ans ? Droit des personnes ⁃ consultation = demander à un réseau social, une administration et dira pas le droit de consulter les données. Regarder les données qui me concerne, rectifier des donees qui me concerne ⁃ Rectification ⁃ Suppression : supprimer des données : dépend des bases de données : exemple : contrat signé non ⁃ Limitation : le droit à la limitation ? exemple: vidéo de surveillance = obligation de les détruire selon un certain délai mais je suis mis en cause sur une affaire et que grâce à ces vidéos je peux être innocent Sécurisation des données (Chiffrement) la CNIL est tombé sur des entreprises pour être en conformité avec RGPD mais ton chiffrement est obsolète, le chiffrement n’est pas le bon Lanssi développe des idées de chiffrement et conseille, site à jour pour aider à la mise en sécurisation des donnés. Il faut faire attention au évolution de la légalité des chiffrements Constituer un registre des traitements de donnés Obligation RGPD pour tous les organismes (piégé et public) ⁃ dérogation pour les organisme de moins de 250 salariés Le registre doit se présenter sous forme écrite (papier ou électronique) => = effort de communication sur ouest France mais reste lourd à comprendre parfois traitement = pas que informatique Nantes université conserve les dossiers papiers 10 ans mais ça coûte cher car il faut assurer levolution de l’organe de stockage => en cas de cyber attaque faire des sauvegarde de sauvegarde + remplacer des serveurs. Cette année ouverture de pix+droit Il recense Partie prenantes (responsable de traitement ou de sous traitant, etc.) ⁃ contrat fortement recommandé (sous traitement, sous traite…) Catégories de personnes concernés et de données traités ⁃ Que collecte t-on ? ⁃ Où sont stockées les donnés ? ⁃ Qui accède aux données ? Administrative exemple note pas a d’autres personnes pour ne pas qu’elles soit modifiées ⁃ A qui les communique t-on ? (Destinataire des données) Combien de temps ces données sont-elles conservées ? (Efficacement)= légalement doit le faire Combien ces données sont elles sécurisées ? (etat de l’art- chiffrement ) = la conformité change souvent / veille juridique Un responsable (peut être le DPO) doit tenir le registre à jour -public : obligation légale de fournir le registre à toute personne qui le demande Prive : non chargé d’une mission de service public - pas d’obligation ⁃ entreprise chargée par une commune de la gestion de l’eau