Contactez-nous

Contact

Poser une question en ligne Contacter nos équipes

Aide en ligne

Tutos FAQ Chatbot d'assistance
Droit à l'oubli
Protection des données personnelles dans le système d'information
H5455 v1 Archive

Droit à l'oubli
Protection des données personnelles dans le système d'information

Auteur(s) : Guillaume PIOLLE

Date de publication : 10 oct. 2015

Logo Techniques de l'Ingenieur Cet article est réservé aux abonnés
Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?

Présentation

1 - Vie privée et données personnelles

  • 1.1 - Origines du droit à la vie privée
  • 1.2 - Tour d'horizon du paysage réglementaire
  • 1.3 - Du droit à la vie privée à la protection des données personnelles
  • 1.4 - Définition de la donnée à caractère personnel

2 - Cadre réglementaire en vigueur

  • 2.1 - Principes du traitement des données personnelles
  • 2.2 - Droits des personnes concernées
  • 2.3 - Obligations des responsables de traitements

3 - Évolutions récentes et à venir du cadre réglementaire

  • 3.1 - Privacy Impact Assessments
  • 3.2 - Privacy by design
  • 3.3 - Obligations de notification
  • 3.4 - Évolution des sanctions

4 - Droit à l'oubli

  • 4.1 - Droit à l'oubli et à l'effacement dans le projet de règlement
  • 4.2 - Quels outils techniques pour le droit à l'oubli ?
  • 4.3 - Auditabilité et aspects opérationnels du droit à l'effacement

5 - Anonymisation et réidentification

  • 5.1 - Anonymat, pseudonymat et bases de données anonymes
  • 5.2 - Principe des attaques en réidentification
  • 5.3 - Métriques de l'anonymat dans les bases de données
  • 5.4 - Techniques d'anonymisation et de pseudo-anonymisation

6 - Conclusion

Sommaire

Présentation

RÉSUMÉ

La protection des données personnelles est devenue un aspect crucial de la gestion et de la sécurité des systèmes d'information. Il est désormais nécessaire pour les décideurs comme pour les ingénieurs d'être familiarisés avec la réglementation et les bonnes pratiques en la matière, afin que les outils informatiques ne deviennent pas un risque pour la vie privée des personnes ni pour la sécurité juridique de l'organisation. Cet article détaille le lien entre droit à la vie privée et protection des données personnelles, il présente le cadre juridique applicable et son évolution au niveau européen. Les problématiques et outils liés au droit à l'oubli et à l'effacement sont ensuite détaillés, ainsi qu'un aperçu des principales techniques d'anonymisation et de leurs limitations.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Guillaume PIOLLE : Enseignant-chercheur en informatique - CentraleSupélec/Inria, équipe CIDRE - Rennes, France

INTRODUCTION

La protection des données personnelles est parfois considérée comme une contrainte pour une organisation, mais également comme le domaine réservé d'un membre bien identifié des services juridiques ou de la direction des systèmes d'information, chargé de s'assurer que les bons formulaires de déclaration sont envoyés et que les mentions obligatoires apparaissent là où elles sont attendues. Néanmoins, les règles et les contraintes administratives, qui peuvent apparaître pénibles pour les personnes chargées de concevoir ou d'exploiter les systèmes, ne sont qu'une portion particulièrement visible d'un ensemble de réglementations instauré et maintenu pour éviter que des individus (salariés, clients, partenaires, utilisateurs, prospects...) soient atteints dans leur vie privée.

Une « brèche de vie privée » est un risque juridique et opérationnel réel pour une organisation, que cette organisation soit une entreprise, une association, une administration... Elle prend généralement sa source dans une défaillance de la confidentialité d'informations personnelles et peut prendre la forme d'une divulgation incontrôlée, d'une usurpation d'identité, d'une intrusion ou ingérence indésirable dans la sphère privée, ou de diverses formes de discrimination et de harcèlement. Si des personnes subissent de telles atteintes par le fait d'une organisation, les conséquences pour elles peuvent être bénignes mais également catastrophiques, allant d'un impact plus ou moins grave sur leurs relations sociales, à des pertes financières, ou même à des risques de poursuites pénales. Les conséquences pour l'organisation en question peuvent affecter sa réputation ou son positionnement sur le marché. De plus, sa responsabilité juridique peut être retenue au civil comme au pénal.

Pour ces raisons, les risques pesant sur les données personnelles manipulées par l'organisation sont de plus en plus intégrés au périmètre opérationnel du responsable de la sécurité des systèmes d'information et pris au sérieux, au même titre que la protection du patrimoine informationnel de l'entreprise (dont les données personnelles sont souvent une composante essentielle). Afin que cette protection soit assurée efficacement, il est essentiel que tous les membres de l'organisation, et en particulier les personnes interagissant avec les systèmes de traitement automatisés de données, aient une réelle conscience de la nature des risques, de leur responsabilité dans le traitement des données et des motivations et principes qui sous-tendent les règles et contraintes.

Cet article vise à proposer une vision concrète et pragmatique de ce cadre réglementaire. Il ne s'agit pas ici d'un ouvrage de droit, mais de la vision d'un ingénieur et d'un informaticien sur un cadre juridique trop souvent fantasmé, perçu comme plus ou moins contraignant qu'il ne l'est et parfois critiqué, à tort ou à raison, comme échouant à atteindre son objectif de protection des personnes. Une première partie propose un aperçu des concepts et des textes applicables en matière de protection de la vie privée et des données personnelles. Le cadre réglementaire actuellement applicable en France est ensuite détaillé, avant une présentation des évolutions imminentes à l'échelle européenne. Un éclairage particulier sera enfin apporté sur le droit à l'oubli, ainsi que sur les problématiques liées à l'anonymisation et à la réidentification.

L'ensemble des textes réglementaires et normatifs cités sont présentés en partie documentation de l'article.

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5455

Lecture en cours
Présentation

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(82 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

4. Droit à l'oubli

Depuis quelques années, la protection de la vie privée et la protection des données personnelles sont de plus en plus associées à la notion de droit à l'oubli. Ce concept, qui n'a pas d'existence autonome en droit français, fait référence à des éléments de plusieurs domaines abordés par le droit (vie privée, propriété littéraire et artistique, droit à l'image, droit pénal, état civil, droit du travail, droit de la famille...) et dans lesquels il peut paraître légitime de faire disparaître une information après une période donnée, de la rendre indisponible, plus difficile à trouver ou plus difficile à exploiter.

La Cour de Justice de l'Union européenne a récemment eu à traiter deux cas en lien avec le droit à l'oubli. Le premier arrêt (Google Spain SL et Google Inc. contre Agencia Espagñola de Protección de Datos (AEPD) et Mario Costeja González) a imposé à Google de mettre en place une plate-forme permettant aux personnes de formuler des demandes de déréférencement de contenus les concernant. Le deuxième (Digital Rights Ireland Ltd (C-293/12) contre Minister for Communications, Marine and Natural Resources et autres, et Kärntner Landesregierung (C-594/12) et autres) fait rare, a invalidé la directive européenne régissant la conservation des données dans les réseaux de télécommunications, à cause notamment d'un défaut de motivation, d'harmonisation et de précision dans les durées de conservation imposées. Les états membres ont eu des réactions très diverses vis-à-vis de cet arrêt, certains remettant en cause les lois nationales de transposition et d'autres l'ignorant totalement.

Ce droit semble être une attente significative de la population, au point qu'il puisse parfois être considéré comme bien défini, voire même acquis (au point d'être invoqué par certains juges). C'est pour cela que le ministère de la justice a lancé en 2011, dans le cadre de la mission de recherche Droit et Justice, deux projets de recherche  ...

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

Lecture en cours
Droit à l'oubli

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(82 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - WARREN (S.D.), BRANDEIS (L.D.) -   The right to privacy.  -  Harvard Law Review, 4, p. 193-195 (1890).

  • (2) - Commission Nationale de l'Informatique et des Libertés -   Guide du droit d'accès.  -  (2010-2015). http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL_Droit_d_acces.pdf

  • (3) - DE HERT (P.), KLOZA (D.), WRIGHT (D.), WADHWA (K.), HOSEIN (G.), DAVIES (S.) -   Recommendations for a privacy impact assessment framework for the European Union.  -  PIAF deliverable D3, nov. 2012.

  • (4) - DECHENAUD (D.) et al -   Le droit à l'oubli.  -  Page consultée le 30 avril 2015 (2011-2014). http://www.gip-recherche-justice.fr/?publication=le-droit-a-loubli

  • (5) - BOIZARD (M.) et al -   Le droit à l'oubli.  -  Page consultée le 30 avril 2015 (2011-2014). http://www.gip-recherche-justice.fr/?publication=le-droit-loubli-2

  • (6)...

DANS NOS BASES DOCUMENTAIRES

ANNEXES

  1. 1 Sites Internet
    1. 2 Normes et standards
      1. 3 Réglementation

        1 Sites Internet

        Agence nationale de la sécurité des systèmes d'information http://www. ssi.gouv.fr/ (page consultée le 30 avril 2015)

        Commission Nationale de l'Informatique et des Libertés http://www.cnil.fr/ (page consultée le 30 avril 2015)

        Information and Privacy Commissioner/Ontario. Privacy by Design https:// www.privacybydesign.ca/ (page consultée le 30 avril 2015)

        PIAw@tch. PIA guidance material http://www.piawatch.eu/piaguidance-material (page consultée le 30 avril 2015)

        Privacy Impact Assessment Framework. PIAF http://www.piafproject. eu/ (page consultée le 30 avril 2015)

        HAUT DE PAGE

        2 Normes et standards

        Agence nationale de la sécurité des systèmes d'information - 2010-2014 - Le Référentiel général de sécurité (RGS) http://www.ssi.gouv. fr/administration/ reglementation/administration- electronique/le-referentiel-general- de-securite-rgs/ - -

        European Parliament Policy Department C - 2012 - Citizens′ rights and constitutional affairs. Fighting cyber crime and protecting privacy in the cloud. European Parliament - -

        ISO 15408-2 -...

        Logo Techniques de l'Ingenieur

        Cet article est réservé aux abonnés.
        Il vous reste 94 % à découvrir.

        Pour explorer cet article Consulter l'extrait gratuit

        Déjà abonné ?

        Article inclus dans l'offre

        "Sécurité des systèmes d'information"

        (82 articles)

        Une base complète d’articles

        Actualisée et enrichie d’articles validés par nos comités scientifiques.

        Des contenus enrichis

        Quiz, médias, tableaux, formules, vidéos, etc.

        Des modules pratiques

        Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

        Des avantages inclus

        Un ensemble de services exclusifs en complément des ressources.

        Voir l'offre

        Ressources documentaires

        Introduction à la sécurité des systèmes d'information (SSI)

        La Sécurité des systèmes d'information (SSI) est un domaine extrêmement vaste puisqu'elle fait appel à ...

        Internet et cybercriminalité

        Les attaques informatiques font régulièrement les Unes de l’actualité. Les pirates s’en prennent aux ...

        Analyses juridiques et techniques du nouveau règlement Machines

        Cet article aborde en profondeur le nouveau règlement Machines. Son fonctionnement général y est ...

        Traçabilité des échanges électroniques et droit

        De nos jours, les internautes ne peuvent s’affranchir du respect des règles de droit. Les risques que ...

        Tous les livres blancs
        Toutes les actualités
        Toutes les conférences en ligne