Aspects réglementaires sur l'utilisation des données et des logiciels PDF

Summary

This document provides an overview of regulatory aspects related to data and software usage, emphasizing the importance of data security and compliance. It outlines key concepts, competencies; and potential regulations related to this.

Full Transcript

Aspects réglementaires sur lʼutilisation des données et des logiciels Tous droits réservés à STUDI - Reproduction interdite Table des matières Table des matières I. Compétences attendues,...

Aspects réglementaires sur lʼutilisation des données et des logiciels Tous droits réservés à STUDI - Reproduction interdite Table des matières Table des matières I. Compétences attendues, savoirs associés 3 II. Aspects réglementaires sur lʼutilisation des données 4 III. Exercice : Quiz 12 IV. Aspects réglementaires sur lʼutilisation des logiciels 14 V. Auto-évaluation 21 VI. L'essentiel 23 Solutions des exercices 23 2 Tous droits réservés à STUDI - Reproduction interdite I. Compétences attendues, savoirs associés Contexte Le programme du DSCG suppose connu celui du DCG. Il est ainsi courant de retrouver dans lʼétude de cas DSCG UE5 des questions en lien avec ces fondamentaux de DCG, supposés acquis à ce stade (facture électronique, RGPD, rôle des ESN, etc). Ce cours rappelle des notions essentielles du module 3 du référentiel DCG UE8 : « Sécurité et fiabilité des SI à lʼère de la communication numérique ». Le numérique sʼimpose dans les échanges entre acteurs économiques comme un facteur de compétitivité, mais aussi comme une contrainte résultant dʼobligations de plus en plus nombreuses. Le fonctionnement des échanges numériques conduit à sʼinterroger sur lʼutilisation des données stockées, sur leur sécurité, puis à trouver des solutions pour y répondre. La collecte et le traitement des données à caractère personnel par les organisations font lʼobjet dʼune attention croissante de la part du législateur. Des organismes de contrôle français et internationaux veillent à lʼapplication des lois et règlements qui concernent les libertés des personnes, la nature et la sécurité des données, les obligations des responsables des traitements. Les différents acteurs doivent connaître les principaux textes réglementant lʼutilisation des données au sein de lʼorganisation. Lʼutilisateur doit être sensibilisé aux droits et obligations relatifs aux différents types de licences de logiciels utilisés. Nous souhaitons aborder quelques définitions et concepts essentiels – il vous appartient ensuite dʼaller plus loin en consultant les cours dédiés à cette matière (via Scholarvox par exemple). Voyez donc ce cours comme un glossaire, une revue des bases nécessaires à une prise de hauteur attendue pour le niveau de master, à savoir la vision managériale du SI. Par ailleurs, le choix est fait de ne pas détailler certaines notions qui seront approfondies dans le cours de Management des SI du DSCG. Enfin, le module 2, en lien avec la conception du SI (modélisation des processus, à lʼaide du tableur, des bases de données, etc.) nʼest pas revu, car il nʼa pas dʼutilité directe pour la compréhension des savoirs de lʼUE DSCG 5 portant sur le management des SI. Lien avec le référentiel DCG UE8 Module 1 – Sécurité et fiabilité des SI à lʼère de la communication numérique Voir le document diffusé dans le Bulletin Officiel1. Sens et portée de l'étude « La collecte et le traitement des données à caractère personnel par les organisations font lʼobjet dʼune attention croissante de la part du législateur. Des organismes de contrôle français et internationaux veillent à lʼapplication des lois et règlements qui concernent les libertés des personnes, la nature et la sécurité des données, les obligations des responsables des traitements. […] Les différents acteurs doivent connaître les principaux textes réglementant lʼutilisation des données au sein de lʼorganisation. […] Lʼutilisateur doit être sensibilisé aux droits et obligations relatifs aux différents types de licences de logiciels utilisés. » 1 https://cache.media.enseignementsup-recherche.gouv.fr/file/25/01/5/ensup135_annexe1_1142015.pdf Aspects réglementaires sur lʼutilisation des données Compétences attendues Savoirs associés La législation réglementant l'utilisation des données : Rôle de l'autorité nationale de Identifier dans le système d'information les protection des données. données assujetties à réglementation. Caractéristique des données soumises Vérifier la mise en oeuvre des principaux à la législation. textes réglementaires sur l'utilisation et la conservation des données. Obligations du responsable des traitements. Identifier les principales catégories de licences de logiciels. Droits des personnes dont les données sont collectées. Les différents catégories de licences de logiciels. Source : Bulletin officiel no 25 du 26.06.2019. II. Aspects réglementaires sur lʼutilisation des données Fondamental « Le volume des données détenues par les entreprises ne cesse de croître, les traitements appliqués concernent aussi bien les données relatives aux salariés de lʼorganisation que les tiers avec qui elles échangent ces données. La responsabilité de lʼentreprise est engagée aussi bien par la traçabilité quʼelle met en place que par les actions engagées par ses salariés. » (Guide pédagogique UE8.) Les organisations manipulent au quotidien des données personnelles au sein des processus courants (gestion commerciale, ressources humaines, etc.). Au niveau européen, le cadre juridique du RGPD (Règlement Général sur la Protection des Données, entré en application le 25 mai 2018) sʼimpose. Celui-ci a entraîné une mise en conformité de la loi française informatique et libertés (apparue dès 1978). Rôle de la CNIL En France, la CNIL (Commission Nationale Informatique & Libertés) analyse hebdomadairement, de manière générale, les conséquences des nouveautés technologiques sur la vie privée. Elle examine aussi les projets de textes (lois, décrets) et peut prononcer des sanctions à lʼencontre des responsables de traitement qui ne respectent pas le RGPD. Ses missions sont présentées dans lʼillustration suivante (source : CNIL). 4 Tous droits réservés à STUDI - Reproduction interdite Aspects réglementaires sur lʼutilisation des données Depuis lʼentrée en vigueur du RGPD (25 mai 2018), la CNIL, qui avait été créée en 1978, est lʼautorité chargée du contrôle du RGPD et de veiller au respect et à lʼapplication conforme du RGPD. Elle a donc un devoir de vigilance, de dissuasion et de fermeté vis-à-vis des manquements des responsables de traitement et de leurs sous- traitants. Comme toute autorité de contrôle, elle a le droit dʼimposer elle-même des sanctions administratives quand les conditions sont réunies. Données personnelles et données sensibles De nombreux organismes ont été et sont toujours concernés par une mise en conformité des traitements réalisés sur les données. Ainsi sont définies 2 catégories de données nécessitant une approche rigoureuse : les données personnelles (ou à caractère personnel, DCP) et les données sensibles, qui sont aussi des DCP, mais qui, dans lʼécrasante majorité des cas, ne doivent pas être manipulées. Attention Il nʼest pas uniquement question de données textuelles : un film (vidéosurveillance par exemple), une image (ou photographie), un enregistrement sonore est tout autant concerné. Tous droits réservés à STUDI - Reproduction interdite 5 Aspects réglementaires sur lʼutilisation des données Définition Données personnelles (source : CNIL) Une « donnée personnelle » (ou « Donnée à Caractère Personnel », DCP), cʼest « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée directement (exemple : nom, prénom) ou indirectement (exemple : par un identifiant comme le numéro client, un numéro de téléphone, une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou lʼimage). Remarque Ainsi, lʼidentification dʼune personne physique peut être réalisée à partir dʼune seule donnée (exemple : numéro de sécurité sociale, ADN) ou à partir du croisement dʼun ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association). Définition Données sensibles (source : CNIL) Les données sensibles forment une catégorie particulière des données personnelles : ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou lʼappartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins dʼidentifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou lʼorientation sexuelle dʼune personne physique. Attention Le règlement européen interdit de recueillir ou dʼutiliser ces données, sauf, notamment, dans les cas suivants : Si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée). Si les informations sont manifestement rendues publiques par la personne concernée. Si elles sont nécessaires à la sauvegarde de la vie humaine. Si leur utilisation est justifiée par lʼintérêt public et autorisé par la CNIL. Si elles concernent les membres ou adhérents dʼune association ou dʼune organisation politique, religieuse, philosophique ou syndicale. 6 Tous droits réservés à STUDI - Reproduction interdite Aspects réglementaires sur lʼutilisation des données Définition Traitement de données personnelles (source : CNIL) Un « traitement de données personnelles » est une opération ou un ensemble dʼopérations portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement). Qui est concerné ? Quelle que soit sa taille, le pays dʼimplantation et lʼactivité développée, un organisme public ou privé qui traite des données personnelles est concerné par le RGPD du moment quʼil est établi sur le territoire de lʼUE ou que son activité cible des résidents européens. Le RGPD concerne aussi les sous-traitants. Attention Toutes les administrations publiques, les entreprises et associations des États membres, ainsi que celles issues des pays hors UE, mais collectant et traitant des données de résidents européens (comme Google, Facebook ou Amazon par exemple), y sont soumises. Quelles sont les obligations des organisations ? Les organisations soumises doivent : Garantir la sécurité maximale des données personnelles. Demander en aval le consentement des personnes concernées. Être transparentes dans le traitement des données, cʼest-à-dire une obligation dʼinformation et de conseil des personnes concernées. Respecter les droits de la personne concernée lors du traitement des données. Tenir un registre des activités de traitement. Nommer un Délégué à la Protection des données (DPO). Effectuer des analyses dʼimpact préalables aux traitements des données personnelles (AIPD, Analyse dʼImpact relative à la Protection des Données) permettant dʼanticiper les risques éventuels lors du traitement (une fuite des données par exemple). Remarque Lʼobligation de documenter en interne et de notifier la CNIL en cas dʼincident Lʼobligation de notifier la CNIL des violations de données à caractère personnel concerne tous les responsables de traitement de données à caractère personnel. Dans tous les cas, lʼincident doit être documenté en interne (nature, nombre de personnes concernées, conséquences probables, mesures prises) et notifié à la CNIL dans un délai de 72 heures à lʼadresse suivante : notifications CNIL1 Dans le cas où la violation de données à caractère personnel est susceptible dʼengendrer un risque élevé pour les droits et libertés dʼune personne physique, le RGPD impose de notifier ces dernières. 1 https://notifications.cnil.fr/notifications/index Tous droits réservés à STUDI - Reproduction interdite 7 Aspects réglementaires sur lʼutilisation des données Le non-respect de lʼune de ses nombreuses obligations réglementées dans le RGPD peut engager sa responsabilité et engendrer des sanctions lourdes de conséquences pour lʼentreprise ou lʼorganisme. En cas de manquement à ces obligations, les citoyens pourront se tourner vers lʼautorité référente (la Commission nationale de lʼinformatique et des libertés, ou CNIL, en France). Les sanctions encourues sont assez lourdes puisquʼelles peuvent aller jusquʼà 20 millions dʼeuros ou 4 % du chiffre dʼaffaires. Lʼinformation préalable des personnes Pour être loyale et licite, la collecte de données personnelles doit sʼaccompagner dʼune information préalable claire et précise des personnes sur : Lʼidentité du responsable du fichier, La finalité du fichier, Le caractère obligatoire ou facultatif des réponses et des conséquences dʼun défaut de réponse, Les destinataires des données, Leurs droits (droit dʼaccès, de rectification, et dʼopposition), Les éventuels transferts de données vers des pays hors UE. Le consentement explicite des personnes Le consentement est une démarche active de lʼutilisateur, explicite et de préférence écrite, qui doit être libre, spécifique et informée. Dans un formulaire en ligne, il peut se matérialiser, par exemple, par une case non cochée par défaut (démarche opt-in, par lʼopposition à lʼopt-out où la case, si elle existe, est cochée par défaut et donc le consentement nʼest pas optionnel). 8 Tous droits réservés à STUDI - Reproduction interdite Aspects réglementaires sur lʼutilisation des données Le consentement préalable de la personne concernée est notamment requis en cas : De collecte de données sensibles, De réutilisation des données à dʼautres fins, Dʼutilisation de cookies pour certaines finalités, Dʼutilisation des données à des fins de prospection commerciale par voie électronique. Les droits des personnes Les droits des personnes physiques concernées par une collecte et/ou une conservation de données personnelles sont définis par le RGPD. La personne ou son ayant droit (parent pour un mineur, par exemple) dispose de plusieurs droits : Droit de questionnement ou droit à la curiosité : demander des informations sur le traitement de ses données à caractère personnel. Droit dʼaccès aux données à caractère personnel détenues à votre sujet. Droit de rectification : demander que les données à caractère personnel incorrectes, inexactes ou incomplètes soient corrigées. Droit à la portabilité : récupérer vos données personnelles, dans un format utilisé et lisible par une machine, pour un usage personnel ou pour les transférer à un autre organisme. Droit à lʼeffacement ou droit à lʼoubli : demander que les données à caractère personnel soient effacées lorsquʼelles ne sont plus nécessaires ou si leur traitement est illicite. Droit de demander la limitation du traitement de vos données à caractère personnel dans des cas précis. Droit de sʼopposer au traitement de vos données à caractère personnel à des fins de prospection ou pour des raisons liées à votre situation particulière. Droit à la considération, à lʼexpression et à la contestation : demander que les décisions fondées sur un traitement automatisé qui la concerne ou lʼaffecte de manière significative, et fondées sur ses données à caractère personnel, soient prises par des personnes physiques et non uniquement par des ordinateurs. Dans ce cas, elle a également le droit dʼexprimer son avis et de contester ces décisions. Si la personne estime subir un dommage matériel ou moral lié à la violation du RGPD, elle dispose dʼun droit de recours. Sans réaction appropriée de lʼorganisme visé, la personne peut déposer une réclamation auprès de la Commission Nationale Informatique et Libertés (CNIL) ou introduire une action collective faisant notamment appel aux associations nationales agréées de défense des consommateurs. La mise en conformité de lʼorganisme Avant de lancer une mise en conformité, il faut identifier les responsables des traitements, cʼest-à-dire des collaborateurs dans lʼentreprise chargés de mettre en œuvre ces décisions assurant la conformité des procédures de traitement des données personnelles. Attention Les sous-traitants doivent être inclus dans le périmètre du projet, car le donneur dʼordre reste responsable des pratiques des entreprises auxquelles il a confié des missions de collecte et de traitement des données personnelles. Fondamental Le Délégué à la Protection des Données (DPO/DPD) La désignation dʼun pilote, appelé « Délégué à la Protection des Données » (abrégé DPD ou DPO pour Data Protection Officer) et qui sera le chef dʼorchestre de la mise en conformité, doit être faite dès le démarrage du projet. Tous droits réservés à STUDI - Reproduction interdite 9 Aspects réglementaires sur lʼutilisation des données La mise en conformité est un projet transverse qui affecte toutes les dimensions de lʼorganisation et suppose un pilotage dédié : le DPO est impliqué à toutes les étapes du processus. Le DPO peut être intégré à lʼentreprise ou externalisé (cabinet dʼavocats, société de conseil), il peut aussi intervenir dans plusieurs structures (les filiales dʼune même société, les cabinets dʼun même groupe, etc.). Le DPO nʼest néanmoins pas responsable des traitements : son rôle est celui dʼun veilleur/lanceur dʼalertes. Il est chargé de mettre en œuvre la conformité au sein de lʼorganisme qui lʼa désigné au sujet de lʼensemble des traitements mis en œuvre par cet organisme. Sa désignation est recommandée dans la plupart des cas. Elle est obligatoire pour les organismes publics, les entreprises dont lʼactivité de base nécessite de réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions. Pour garantir lʼeffectivité de ses missions, le délégué doit disposer de qualités professionnelles et de connaissances spécifiques, mais aussi bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant dʼexercer ses missions. Rôle de la DSI Le contexte technologique de ces traitements explique que la DSI (Direction des Systèmes dʼInformation) doive exercer un rôle majeur, tant au niveau de lʼaccompagnement que de la mise en œuvre des actions de mise en conformité. La mise en sécurité des données (chiffrement, protection contre le vol ou la consultation non autorisée, conservation sur des supports adaptés) suppose la maîtrise de techniques. En conséquence, les DPD doivent être épaulés par les membres de la DSI et/ou par des consultants extérieurs spécialisés. Dans une démarche qualité, cette mise en conformité sera un processus permanent qui devra sʼadapter aux évolutions des technologies et des pratiques de lʼorganisme. 10 Tous droits réservés à STUDI - Reproduction interdite Aspects réglementaires sur lʼutilisation des données Le site de la CNIL est une mine dʼor en matière de veille juridique, technologique, etc. On y retrouve, par exemple, un parcours adapté pour une mise en conformité de lʼorganisme au sein de la section RGPD : « Passer à lʼaction » (CNIL rgpd passer a laction1), dont voici une infographie adaptée aux néophytes (source : CINL rgpd par ou commencer2). Le registre des activités de traitement De fait, pratiquement toutes les structures qui disposent dʼun fichier des ressources humaines ou de renseignement sur leurs clients (ou leurs patients : les médecins libéraux se servent de plus en plus souvent dʼun tel fichier) sont affectées, et devraient donc tenir ce registre qui sera mis à jour en fonction des évolutions fonctionnelles et techniques des traitements de données… Celui-ci doit pouvoir être communiqué à la CNIL à sa demande. Pour les organismes publics, toute personne qui en fait la demande peut accéder à une version Remarque dont certaines parties resteront confidentielles (pour des raisons de sécurité du SI) Lʼarticle 30 du RGPD prévoit des obligations spécifiques pour le registre du responsable de traitement de données personnelles et pour le registre du sous-traitant. Si lʼorganisme agit à la fois en tant que sous-traitant et responsable de traitement, le registre doit donc clairement distinguer les 2 catégories dʼactivités. Son contenu est le suivant. Pour le responsable des traitements : Nom et coordonnées du responsable conjoint du traitement. Finalités du traitement (lʼobjectif en vue duquel vous avez collecté ces données). 1 https://www.cnil.fr/fr/rgpd-passer-a-laction 2 https://www.cnil.fr/fr/rgpd-par-ou-commencer Tous droits réservés à STUDI - Reproduction interdite 11 Exercice : Quizsolution Catégories de personnes, de données personnelles et de destinataires concernés. Transfert de données à caractère personnel vers un pays tiers/organisation internationale et garanties associées. Durée de conservation. Description générale des mesures de sécurité techniques et organisationnelles. Pour le sous-traitant : Nom et coordonnées de chaque client (ou représentant), responsable de traitement, pour le compte duquel vous traitez les données. Nom et coordonnées des sous-traitants auxquels vous-même faites appel. Catégories de traitements effectués pour le compte de chacun de vos clients. Transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale. Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles. Remarque Ce registre, sous forme écrite (papier ou électronique), peut sʼinspirer dʼun modèle de registre simplifié édité par la CNIL, proposé sous la forme dʼun fichier Excel et personnalisable : CNIL RGDP le registre des activités de traitement1 Exercice : Quiz [solution n°1 p.25] Question 1 Les choix politiques dʼune personne constituent une donnée :  Publique  Qui peut être stockée par toute organisation qui en demande lʼautorisation  Personnelle  Sensible Question 2 La CNIL est une entité européenne.  Vrai  Faux Question 3 La CNIL nʼintervient que sur les questions de conformité aux lois sur les données.  Vrai  Faux Question 4 1 https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement 12 Tous droits réservés à STUDI - Reproduction interdite Exercice : Quizsolution La CNIL regroupe des éditeurs de logiciels et des vendeurs e-commerce.  Vrai  Faux Question 5 Une donnée sensible :  Est la même chose quʼune donnée personnelle  Peut concerner la religion dʼune personne  Peut concerner lʼâge dʼune personne  Peut concerner le point de vue philosophique dʼune personne  Peut être une photo ou une image dʼune personne dans un contexte privé Question 6 Une clinique peut recueillir toutes les données sensibles.  Vrai  Faux Question 7 Une organisation politique peut recueillir les données liées à lʼidentité de ses adhérents.  Vrai  Faux Question 9 Quelles organisations sont concernées par le RGPD ?  Administration française  Entreprise localisée en Chine et ne vendant que localement  GAFA domicilié hors UE et manipulant les données de résidents européens  Entreprise localisée en Italie et ne vendant que localement Question 9 Pour obtenir un accord du client, il suffit de précocher une case dans laquelle il est mentionné quʼil accepte la réutilisation de ses données. Sʼil nʼest pas dʼaccord, il peut décocher la case.  Vrai  Faux Question 10 Tous droits réservés à STUDI - Reproduction interdite 13 Aspects réglementaires sur lʼutilisation des logiciels Le DPO/DPD :  Est responsable des traitements  À un rôle dʼaccompagnement  Peut être externalisé  Nʼintervient que sur une seule structure (notion dʼexclusivité) IV. Aspects réglementaires sur lʼutilisation des logiciels Propriété intellectuelle et droits dʼauteur Un logiciel (site internet, application mobile, progiciel, jeu vidéo, système dʼexploitation, etc.) est une œuvre de lʼesprit et, logiquement, le droit dʼauteur sanctionne son originalité. Ainsi, le logiciel conçu (sa propriété intellectuelle) appartient au concepteur de ce dernier (de sa création à 70 ans après le décès de lʼauteur), qui est en droit de céder la licence dʼutilisation du produit à des tierces personnes. Remarque La notion de propriété intellectuelle est rattachée à lʼaspect original du produit : il est le fruit dʼune création, il témoigne dʼun apport intellectuel certain. On peut protéger lʼinterface graphique, le titre (via un dépôt de marque), le manuel dʼutilisation, les codes sources et exécutables dʼun programme, les prototypes, etc. Par contre, on ne peut protéger ni lʼalgorithme (suite dʼidées) ni les fonctionnalités du logiciel (source : Legalstart1). Texte légal La loi du 3 juillet 1985 protège le logiciel par le droit dʼauteur. Elle est renforcée par la directive européenne du 23 avril 2009 concernant la protection juridique des programmes dʼordinateur. 1 https://www.legalstart.fr/fiches-pratiques/proteger-une-creation/protection-logiciel/ 14 Tous droits réservés à STUDI - Reproduction interdite Aspects réglementaires sur lʼutilisation des logiciels Remarque Bien évidemment, lorsquʼun développeur conçoit une application pour lʼentreprise qui lʼemploie, le logiciel est la propriété de son employeur. « Si plusieurs développeurs ont participé à la création du logiciel, chacun de ces développeurs est auteur et le logiciel est alors considéré comme une œuvre de collaboration régie par les règles complexes et contraignantes de lʼindivision. Il est donc indispensable, lorsquʼune personne fait appel aux services de développeurs, dʼorganiser contractuellement en amont la titularité des droits et prévoir que ceux-ci soient cédés à la personne, physique ou morale, qui exploite le logiciel une fois celui-ci achevé. » (Source : alatis1) Il existe une différence notable avec les auteurs des domaines littéraires ou artistiques : ce sont surtout des sociétés commerciales qui sont titulaires de ce droit dʼauteur, les concepteurs en étant leurs salariés. Peu dʼentre eux bénéficient du statut dʼauteur dans leur contrat de travail ! Cette classification est surtout intéressante pour garantir une protection de leur production face à une contrefaçon ou à une copie non autorisée. Différence supplémentaire : il existe des auteurs qui refusent le cadre juridique des droits dʼauteur et qui veulent pratiquer une redistribution libre des logiciels. Par le droit positif, un logiciel publié, distribué ou à plus forte raison commercialisé, est doté dʼun propriétaire apparent, qui peut de plus se révéler être lʼauteur. Pour échapper à cette présomption, il faut une volonté clairement manifestée. Il existe plusieurs cas de figure selon les parties prenantes, prenons trois exemples qui correspondent à des contextes interentreprises (dʼautres exceptions existent, citons les start-ups du numérique qui utilisent leurs solutions maison, ou encore Amazon qui sʼoppose fortement à lʼusage de progiciels ou développements externe). Solution construite ex nihilo, sur mesure Dans ce cas, le logiciel a été écrit et validé en fonction des besoins précis dʼun client. Si celui-ci accepte le logiciel (recette/réception du logiciel lors de sa livraison finale), il y a transfert de propriété du code au client, qui peut le faire évoluer comme il lʼentend. Lʼauteur nʼest plus propriétaire, son contrat lui a permis de vendre son œuvre. Mais il en reste toujours responsable en cas de malfaçon. Cette formule paraît un peu désuète, mais elle existe toujours, car elle répond à des besoins de grandes entreprises qui ont des cahiers des charges très précis et qui veulent garder la main sur les évolutions probables de leur logiciel, dont ils veulent être pleinement « propriétaires », même sʼils ne sont pas « auteurs » ! 1 http://alatis.eu/actualites/quelle-protection-pour-le-logiciel-en-france/ Tous droits réservés à STUDI - Reproduction interdite 15 Aspects réglementaires sur lʼutilisation des logiciels Achat dʼun progiciel et besoins dʼadaptations Il y a ici trois partenaires : Le client qui veut son logiciel pour son problème bien spécifique, sauf que pour des raisons qui lui sont propres, il a choisi un progiciel du marché. Lʼéditeur propriétaire de son logiciel. Une ESN qui va réaliser lʼintégration du progiciel pour lʼadapter aux besoins du client, avec des programmes supplémentaires (interfaces avec dʼautres applications) et des paramétrages (pour une adaptation aux processus de lʼentreprise). Dans ce cas, pas de difficultés pour les programmes supplémentaires spécifiques, le transfert de propriété entre lʼESN et le client se fera. Par contre, le code source du progiciel reste secret et le client devra signer une clause dans le contrat suivant laquelle il sʼengage à ne pas essayer de désassembler le code informatique pour le modifier ou le copier. En fait, un contrat de progiciel - puisque lʼéditeur veut par définition avoir le plus de clients possible - est un contrat de droit dʼusage sans plus. Lʼéditeur reste donc lʼauteur/propriétaire et les utilisateurs sont plutôt dans une situation de « locataire ». Remarque Attention, le terme est impropre, car il y a bien eu pour des raisons juridiques un « transfert de propriété » au moment de la réception. Propriété un peu spéciale, liée à un « droit dʼusage », mais fort utile pour obtenir un financement ou pour activer comptablement cette acquisition de la licence du progiciel. 16 Tous droits réservés à STUDI - Reproduction interdite Aspects réglementaires sur lʼutilisation des logiciels Tous droits réservés à STUDI - Reproduction interdite 17 Aspects réglementaires sur lʼutilisation des logiciels Troisième solution : la plus actuelle, semble-t-il, le logiciel est tout simplement loué avec une redevance périodique (mois, trimestre, année, etc.). Lʼauteur/propriétaire du logiciel le reste et un contrat locatif est établi. Dans cette solution, le plus souvent, le logiciel est hébergé sous la responsabilité du propriétaire/auteur. La formule SaaS (So ware-as-a-Service) qui est en pleine croissance correspond à cette situation. Remarque Pour les logiciels de grande diffusion, la situation est différente : il existe un problème de duplication incontrôlée des logiciels commercialisés par les éditeurs, le terme de « piratage » étant utilisé. Les outils de lutte dont se servent les éditeurs sont souvent de même nature que ceux des mondes audiovisuels et du jeu : protection logicielle, supports spéciaux, etc. (avec un succès aussi relatif). Microso , confrontée au même problème, a choisi de mener une politique très volontariste dʼincitation au mode locatif avec sa suite bureautique Office 365 (avec des évolutions plus fréquentes, rendant ainsi les licences onpremise moins attractives). Les solutions libres Les communautés du logiciel open source, souvent appelé « logiciel libre » (bien que les deux termes puissent présenter de subtiles différences), sont devenues une composante essentielle de lʼécosystème global de lʼinformatique. Attention Free is not free Il ne faut pas confondre « gratuit » et « libre ». Il est vrai que free peut se traduire en français par ces deux termes. Néanmoins, un « gratuiciel » ou freeware reste un logiciel propriétaire et ne deviendra un logiciel « libre » que si son code source est rendu public ! De même, un logiciel open source confère, au minimum, la liberté dʼaccéder au code source. Mais cela ne signifie pas forcément quʼil confère les autres libertés. Pour être libre, un logiciel doit respecter des principes fondamentaux. 18 Tous droits réservés à STUDI - Reproduction interdite Aspects réglementaires sur lʼutilisation des logiciels Définition Logiciel libre Un programme est un logiciel libre, si on a la liberté de : Lʼexécuter comme on le souhaite, pour quelque motif que ce soit. Modifier le programme afin quʼil corresponde mieux aux besoins (accès au code source). Redistribuer des copies, que ce soit de manière gratuite ou onéreuse (eh oui !). Distribuer des versions modifiées du programme, afin que la communauté puisse bénéficier des améliorations. Remarque Vendre un logiciel libre ? Puisque le mot free fait ici référence à la liberté et non au prix, il nʼest pas contradictoire de vendre des copies de logiciels libres. En réalité, cette liberté est cruciale : les compilations de logiciels libres vendues sur CD-ROM sont importantes pour la communauté, car le produit de leur vente permet de lever des fonds pour le développement du logiciel libre. Cʼest pourquoi on ne peut pas qualifier de « libre » un logiciel quʼon nʼa pas la liberté dʼinclure dans de telles compilations (source : GNU1). Liste des principaux contrats de licence en open source : GNU GPL de la Free So ware Foundation, APACHE de la fondation Apache. Des développeurs de programmes informatiques (appelés aussi « programmeurs » ou « codeurs »), qui dans un souci dʼefficacité veulent reprendre des programmes existants pour les améliorer ou les transformer, vont réutiliser du code existant sans avoir à payer des redevances aux auteurs dʼorigine. En retour, ces développeurs « libres » mettent à disposition de la communauté leurs nouveaux programmes, pour que dʼautres sʼen servent. Ainsi on parle de copyle (le signifiant « gauche », mais aussi « laissé » ou « abandonné ») plutôt que de copyright. Cʼest la solution préconisée par le projet GNU (créé par Richard Stallman, fondateur du mouvement du logiciel libre). Lorsquʼun logiciel en copyle est modifié, lʼutilisateur doit respecter les libertés de lʼœuvre originale : sʼil souhaite partager son œuvre, il doit la diffuser avec un copyle. Remarque Pourquoi ne pas simplement laisser un programme appartenir au domaine public, sans copyright et copyle ? Parce quʼune tierce personne (morale ou physique) pourrait se lʼapproprier et en revendiquer les droits pour ensuite le revendre, légèrement modifié, avec une protection de droits dʼauteurs ! Le copyle garantit ainsi aux utilisateurs la liberté de copier ou de modifier le programme auquel ils accèdent. 1 https://www.gnu.org/gnu/thegnuproject.html Tous droits réservés à STUDI - Reproduction interdite 19 Aspects réglementaires sur lʼutilisation des logiciels Complément Il existe plusieurs niveaux de copyle. LʼAgence de Protection des Programmes (APP) détaille les licences existantes telles que le copyle fort et le copyle faible : APP1. Si le développeur (ou la société qui lʼemploie) produit des logiciels avec une licence open source, qui le paie ? Qui paie la société qui lʼemploie ? Pour résoudre cette équation économique fondamentale (existentielle même, pour le développeur et sa famille !), plusieurs réponses ont été mises en place : Le développeur (individu ou société) met à disposition gratuitement son logiciel, mais facture des prestations liées : analyse du besoin du client, paramétrage, formation, adaptations spécifiques, etc. Dans certains cas limites, il ne crée pas grand-chose, il se contente dʼinstaller chez un client un logiciel provenant dʼun éditeur open source ou dʼhéberger/faire héberger la solution. Des fondations ont été créées pour financer les développeurs (ou les embaucher). Elles sont financées par le grand public (Wikipédia, par exemple, qui fait appel à ses lecteurs), des organisations caritatives qui veulent soutenir des causes éducatives ou autres. Mais aussi de grandes sociétés du secteur : IBM, Google, Microso , Oracle, etc. financent par exemple la fondation Apache qui produit de nombreux logiciels pour le Web. Remarque À une échelle plus modeste, il y a aussi le monde du freeware, qui nʼest pas le plus souvent de lʼopen source (le code source du logiciel reste secret, conservé entre les mains de son concepteur). Il sʼagit plutôt dʼune version limitée, dont lʼusage sera plein et entier en échange dʼune redevance fixe ou dʼun abonnement. Ainsi, « il ne faut pas confondre le logiciel libre avec le freeware, qui est un logiciel propriétaire distribué à titre gratuit, le shareware qui est un logiciel propriétaire gratuit pendant la période dʼessai et le freemium qui est une stratégie commerciale alliant accès gratuit et services complémentaires payants » (source : APP). La qualité de la production de ces logiciels sera-t-elle au niveau des productions commerciales ? La réponse est à lʼévidence très variable : dans le domaine de la bureautique, Open Office devenu LibreOffice nʼa pas pu « tenir la distance » face à Microso , qui a investi massivement dans sa suite Office, maintenant nommée Microso 365. Mais dʼautres logiciels continuent à se développer en open source : Odoo (anciennement OpenERP) poursuit son existence depuis 2005 alors que le marché des ERP est dominé par des mastodontes (SAP, Oracle, Microso , etc.). 1 https://www.app.asso.fr/centre-information/base-de-connaissances/code-logiciels/les-contrats/contrat-de-licence-dutilisation -logiciel-libre 20 Tous droits réservés à STUDI - Reproduction interdite Auto-évaluation Si le choix entre deux solutions (propriétaire et open source) se pose, on peut distinguer les avantages et inconvénients suivants : Critère Open source Propriétaire En général gratuit, mais peut être vendu (pour rappel, « open Dépend du coût de la licence, source » ne signifie pas type de licence (mono-poste, « gratuit »). etc.), etc. Aspect financier Attention, il faut inclure les coûts cachés et induits (formation, développements Note : un logiciel propriétaire complémentaires, maintenance, peut être gratuit (freeware). etc.). En général, cʼest possible (parfois, lʼaccès au code est bien Capacités limitées aux possible, mais pas la fonctionnalités. Le code source Modifications modification ou la distribution). nʼest pas fourni. En même temps, possibles Permet de concevoir des ne sʼadresse pas forcément à un extensions, de personnaliser les public de développeurs. applications, mais aussi de mutualiser les résultats obtenus. Les correctifs sont parfois édités Quand une faille est décelée, la avec une fréquence moindre Sécurité communauté propose une (attente de la sortie dʼune correction assez rapidement. nouvelle version). Cela dépend du temps libre de la communauté ! On ne peut pas En principe assuré par lʼéditeur, toujours parler de support avec une remontée continue de « officiel ». Ainsi, il faut parfois feed-back clients et une volonté Support des compétences en interne dʼassurer une satisfaction pour des modifications et maximale. Rappelons quʼun améliorations (ou encore support nʼest pas garanti à vie. recourir à une ESN). Pratiques commerciales et gains Valeurs Partage, coopération, entraide associés V. Auto-évaluation Exercice 1 : Quiz [solution n°2 p.27] Question 1 Un logiciel :  Est protégé par les droits dʼauteur  Est une œuvre de lʼesprit  Est forcément une application mobile ou PC  Peut être un site internet Tous droits réservés à STUDI - Reproduction interdite 21 Auto-évaluation Question 2 Un développeur conçoit une application pour son employeur. Qui est propriétaire du résultat ?  Le développeur  Lʼemployeur Question 3 Une ESN développe un logiciel pour son client :  Les codes sources restent sa propriété  Les codes sources appartiennent au client  Cela dépend du contrat créé Question 4 Une ESN installe un progiciel chez son client, puis le paramètre et lʼintègre au SI :  Les codes sources du progiciel restent sa propriété  Les codes sources appartiennent au client  Les codes sources de lʼERP appartiennent à lʼéditeur  Les codes sources des développements complémentaires doivent être transférés au client Question 5 Une solution en ligne est proposée au client par un prestataire :  Un contrat locatif est établi  Le code source du logiciel appartient à lʼauteur/éditeur  Lʼentreprise paie une licence et installe la solution sur poste Question 6 Un logiciel libre est gratuit.  Vrai  Faux Question 7 Un logiciel libre est forcément moins cher quʼun logiciel propriétaire.  Vrai  Faux Question 8 Un logiciel libre est forcément moins sécurisé quʼun logiciel propriétaire.  Vrai  Faux 22 Tous droits réservés à STUDI - Reproduction interdite L'essentiel VI. L'essentiel « Le numérique sʼimpose dans les échanges entre acteurs économiques comme un facteur de compétitivité, mais aussi comme une contrainte résultant dʼobligations de plus en plus nombreuses. Le fonctionnement des échanges numériques conduit à sʼinterroger sur lʼutilisation des données stockées, sur leur sécurité, puis à trouver des solutions pour y répondre. La collecte et le traitement des données à caractère personnel par les organisations font lʼobjet dʼune attention croissante de la part du législateur : le volume des données détenues par les entreprises ne cesse de croître, et les traitements appliqués concernent aussi bien les données relatives aux salariés de lʼorganisation que les tiers avec qui elles échangent. Des organismes de contrôle français et internationaux veillent à lʼapplication des lois et règlements qui concernent les libertés des personnes, la nature et la sécurité des données, les obligations des responsables des traitements. Les différents acteurs doivent connaître les principaux textes réglementant lʼutilisation des données au sein de lʼorganisation. Lʼutilisateur doit être sensibilisé aux droits et obligations relatifs aux différents types de licences de logiciels utilisés. La responsabilité de lʼentreprise est engagée aussi bien par la traçabilité quʼelle met en place que par les actions engagées par ses salariés. » (Guide pédagogique UE8.) Solutions des exercices Tous droits réservés à STUDI - Reproduction interdite 23 Solutions des exercices Exercice p. 12 Solution n°1 Question 1 Les choix politiques dʼune personne constituent une donnée :  Publique  Qui peut être stockée par toute organisation qui en demande lʼautorisation  Personnelle  Sensible Les choix politiques dʼune personne constituent des données sensibles (et donc personnelles dans un premier temps). Certaines organisations peuvent obtenir le droit de les manipuler, mais uniquement dans la mesure où leur activité le justifie. Question 2 La CNIL est une entité européenne.  Vrai  Faux La CNIL est une autorité française. Depuis lʼentrée en vigueur du RGPD (25 mai 2018), la CNIL est lʼautorité chargée du contrôle du RGPD et de veiller au respect et à lʼapplication conforme du RGPD. Question 3 La CNIL nʼintervient que sur les questions de conformité aux lois sur les données.  Vrai  Faux Le rôle de la CNIL et le champ dʼapplication du RGPD ne se limitent pas à la régulation des usages des données personnelles (bien quʼil sʼagisse déjà dʼun énorme chantier !). Il est aussi question, entre autres, de cybersécurité, de lutte contre les escroqueries en ligne, de continuité dʼactivité, de publication de référentiels, etc. Question 4 La CNIL regroupe des éditeurs de logiciels et des vendeurs e-commerce.  Vrai  Faux La CNIL est une autorité administrative indépendante composée, en 2021, de 18 commissaires (parmi lesquels des parlementaires, des représentants des hautes juridictions et des personnalités qualifiées) et dʼune équipe dʼagents contractuels de lʼÉtat. Question 5 Une donnée sensible :  Est la même chose quʼune donnée personnelle  Peut concerner la religion dʼune personne Tous droits réservés à STUDI - Reproduction interdite 25 Solutions des exercices  Peut concerner lʼâge dʼune personne  Peut concerner le point de vue philosophique dʼune personne  Peut être une photo ou une image dʼune personne dans un contexte privé Les données sensibles forment une catégorie particulière des données personnelles : elles révèlent, par exemple, les convictions religieuses ou philosophiques, des données concernant la santé, etc. Il nʼest pas uniquement question de données textuelles : un film, une image ou un enregistrement sonore sont tout autant concernés. Question 6 Une clinique peut recueillir toutes les données sensibles.  Vrai  Faux Elle ne peut recueillir que les données nécessaires à la sauvegarde de la vie humaine. Question 7 Une organisation politique peut recueillir les données liées à lʼidentité de ses adhérents.  Vrai  Faux Si elles concernent les membres ou adhérents dʼune association/organisation politique, religieuse, philosophique ou syndicale, ces données peuvent être recueillies. Question 9 Quelles organisations sont concernées par le RGPD ?  Administration française  Entreprise localisée en Chine et ne vendant que localement  GAFA domicilié hors UE et manipulant les données de résidents européens  Entreprise localisée en Italie et ne vendant que localement Quelle que soit sa taille, le pays dʼimplantation et lʼactivité développée, un organisme public ou privé qui traite des données personnelles est concerné par le RGPD du moment quʼil est établi sur le territoire de lʼUE ou que son activité cible des résidents européens. Question 9 Pour obtenir un accord du client, il suffit de précocher une case dans laquelle il est mentionné quʼil accepte la réutilisation de ses données. Sʼil nʼest pas dʼaccord, il peut décocher la case.  Vrai  Faux Le consentement est une démarche active de lʼutilisateur, explicite et de préférence écrite, qui doit être libre, spécifique et informée. Dans un formulaire en ligne, il peut se matérialiser, par exemple, par une case à cocher non cochée par défaut (démarche opt-in qui, contrairement à lʼopt-out où le client est associé à un consentement explicite, implique un consentement explicite). 26 Tous droits réservés à STUDI - Reproduction interdite Solutions des exercices Question 10 Le DPO/DPD :  Est responsable des traitements  À un rôle dʼaccompagnement  Peut être externalisé  Nʼintervient que sur une seule structure (notion dʼexclusivité) Le délégué à la protection des données (en abrégé DPD ou DPO pour Data Protection Officer) est impliqué dans la mise en conformité. Il peut être intégré à lʼentreprise ou externalisé (cabinet dʼavocats, société de conseil), il peut aussi intervenir sur plusieurs structures (les filiales dʼune même société, les cabinets dʼun même groupe, etc.). Il nʼest néanmoins pas responsable des traitements. Exercice p. 21 Solution n°2 Question 1 Un logiciel :  Est protégé par les droits dʼauteur  Est une œuvre de lʼesprit  Est forcément une application mobile ou PC  Peut être un site internet Un logiciel est une œuvre de lʼesprit et le droit dʼauteur sanctionne son originalité. Le terme « logiciel » peut concerner un site internet, une application mobile, un progiciel, un jeu vidéo, un système dʼexploitation pour un serveur, etc. Question 2 Un développeur conçoit une application pour son employeur. Qui est propriétaire du résultat ?  Le développeur  Lʼemployeur Lorsquʼun développeur conçoit une application pour lʼentreprise qui lʼemploie, le logiciel est la propriété de son employeur. Question 3 Une ESN développe un logiciel pour son client :  Les codes sources restent sa propriété  Les codes sources appartiennent au client  Cela dépend du contrat créé Le contrat doit préciser le transfert de propriété du code au client. Tous droits réservés à STUDI - Reproduction interdite 27 Solutions des exercices Question 4 Une ESN installe un progiciel chez son client, puis le paramètre et lʼintègre au SI :  Les codes sources du progiciel restent sa propriété  Les codes sources appartiennent au client  Les codes sources de lʼERP appartiennent à lʼéditeur  Les codes sources des développements complémentaires doivent être transférés au client Le transfert de propriété entre lʼESN et le client permettra à ce dernier de disposer des codes sources des développements complémentaires. Par contre, le code source du progiciel reste secret et le client devra signer une clause dans le contrat suivant laquelle il sʼengage à ne pas essayer de désassembler le code informatique pour le modifier ou le copier. Question 5 Une solution en ligne est proposée au client par un prestataire :  Un contrat locatif est établi  Le code source du logiciel appartient à lʼauteur/éditeur  Lʼentreprise paie une licence et installe la solution sur poste Le logiciel est loué avec une redevance périodique : un contrat locatif est établi. Le logiciel est hébergé sous la responsabilité du propriétaire/auteur. Question 6 Un logiciel libre est gratuit.  Vrai  Faux Il ne faut pas confondre « gratuit » et « libre » : un « gratuiciel » ou freeware reste un logiciel propriétaire et ne deviendra un logiciel « libre » que si son code source est rendu public ! Question 7 Un logiciel libre est forcément moins cher quʼun logiciel propriétaire.  Vrai  Faux Des prestations liées peuvent être facturées (paramétrage, formation, etc.). Par ailleurs, rappelons quʼun logiciel propriétaire peut être gratuit ! Question 8 Un logiciel libre est forcément moins sécurisé quʼun logiciel propriétaire.  Vrai  Faux Quand une faille est décelée, la communauté propose une correction assez rapidement. Pour une solution propriétaire, les correctifs sont parfois édités avec une fréquence moindre (attente de la sortie dʼune nouvelle version). 28 Tous droits réservés à STUDI - Reproduction interdite

Use Quizgecko on...
Browser
Browser