Présentation
RÉSUMÉ
La protection des données personnelles est devenue un aspect crucial de la gestion et de la sécurité des systèmes d'information. Il est désormais nécessaire pour les décideurs comme pour les ingénieurs d'être familiarisés avec la réglementation et les bonnes pratiques en la matière, afin que les outils informatiques ne deviennent pas un risque pour la vie privée des personnes ni pour la sécurité juridique de l'organisation. Cet article détaille le lien entre droit à la vie privée et protection des données personnelles, il présente le cadre juridique applicable et son évolution au niveau européen. Les problématiques et outils liés au droit à l'oubli et à l'effacement sont ensuite détaillés, ainsi qu'un aperçu des principales techniques d'anonymisation et de leurs limitations.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Guillaume PIOLLE : Enseignant-chercheur en informatique - CentraleSupélec/Inria, équipe CIDRE - Rennes, France
INTRODUCTION
La protection des données personnelles est parfois considérée comme une contrainte pour une organisation, mais également comme le domaine réservé d'un membre bien identifié des services juridiques ou de la direction des systèmes d'information, chargé de s'assurer que les bons formulaires de déclaration sont envoyés et que les mentions obligatoires apparaissent là où elles sont attendues. Néanmoins, les règles et les contraintes administratives, qui peuvent apparaître pénibles pour les personnes chargées de concevoir ou d'exploiter les systèmes, ne sont qu'une portion particulièrement visible d'un ensemble de réglementations instauré et maintenu pour éviter que des individus (salariés, clients, partenaires, utilisateurs, prospects...) soient atteints dans leur vie privée.
Une « brèche de vie privée » est un risque juridique et opérationnel réel pour une organisation, que cette organisation soit une entreprise, une association, une administration... Elle prend généralement sa source dans une défaillance de la confidentialité d'informations personnelles et peut prendre la forme d'une divulgation incontrôlée, d'une usurpation d'identité, d'une intrusion ou ingérence indésirable dans la sphère privée, ou de diverses formes de discrimination et de harcèlement. Si des personnes subissent de telles atteintes par le fait d'une organisation, les conséquences pour elles peuvent être bénignes mais également catastrophiques, allant d'un impact plus ou moins grave sur leurs relations sociales, à des pertes financières, ou même à des risques de poursuites pénales. Les conséquences pour l'organisation en question peuvent affecter sa réputation ou son positionnement sur le marché. De plus, sa responsabilité juridique peut être retenue au civil comme au pénal.
Pour ces raisons, les risques pesant sur les données personnelles manipulées par l'organisation sont de plus en plus intégrés au périmètre opérationnel du responsable de la sécurité des systèmes d'information et pris au sérieux, au même titre que la protection du patrimoine informationnel de l'entreprise (dont les données personnelles sont souvent une composante essentielle). Afin que cette protection soit assurée efficacement, il est essentiel que tous les membres de l'organisation, et en particulier les personnes interagissant avec les systèmes de traitement automatisés de données, aient une réelle conscience de la nature des risques, de leur responsabilité dans le traitement des données et des motivations et principes qui sous-tendent les règles et contraintes.
Cet article vise à proposer une vision concrète et pragmatique de ce cadre réglementaire. Il ne s'agit pas ici d'un ouvrage de droit, mais de la vision d'un ingénieur et d'un informaticien sur un cadre juridique trop souvent fantasmé, perçu comme plus ou moins contraignant qu'il ne l'est et parfois critiqué, à tort ou à raison, comme échouant à atteindre son objectif de protection des personnes. Une première partie propose un aperçu des concepts et des textes applicables en matière de protection de la vie privée et des données personnelles. Le cadre réglementaire actuellement applicable en France est ensuite détaillé, avant une présentation des évolutions imminentes à l'échelle européenne. Un éclairage particulier sera enfin apporté sur le droit à l'oubli, ainsi que sur les problématiques liées à l'anonymisation et à la réidentification.
L'ensemble des textes réglementaires et normatifs cités sont présentés en partie documentation de l'article.
MOTS-CLÉS
réglementation Vie privée protection des données personnelles informatique systèmes d'information RGPD
VERSIONS
- Version courante de sept. 2018 par Guillaume PIOLLE
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Archives > [Archives] Sécurité des systèmes d'information > Protection des données personnelles dans le système d'information > Évolutions récentes et à venir du cadre réglementaire
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(240 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
3. Évolutions récentes et à venir du cadre réglementaire
Le cadre réglementaire actuellement applicable en Europe date de 1995 et apparaît comme de plus en plus en décalage par rapport aux nouveaux usages liés à Internet, aux types de traitements maintenant pratiqués par les entreprises et les administrations, et aux nouveaux types de risques ayant émergé. Partant de ce constat, la Commission européenne a proposé en janvier 2012 un projet de règlement en remplacement de la directive de 1995. Ce nouveau texte vise à moderniser l'appareil législatif de la protection des données personnelles, tout en conservant et en réaffirmant les principes fondamentaux sur lesquels elle s'appuie.
Ce projet a fait l'objet de nombreux débats et rapports, avant d'être amendé et adopté par le Parlement européen en mars 2014.
À l'été 2015 cependant, le texte est toujours en attente d'adoption par le Conseil, ce qui a d'ailleurs suscité des critiques de la part du Parlement.
En droit communautaire, une directive de l'Union européenne et un règlement de l'Union européenne sont deux types d'acte normatifs. Tous deux sont proposés par la Commission, élaborés et examinés conjointement par le Parlement et le Conseil de l'Union européenne, puis adoptés par cette dernière instance. La différence entre les deux se situe dans leur mode d'application. Une directive, une fois adoptée, doit être transposée dans le droit national de chacun des états membres. Ceux-ci disposent alors d'une certaine liberté dans l'appréciation du texte et son adaptation à un contexte spécifiquement national, dans le cadre de l'adoption parlementaire de la ou des lois de transposition. Un règlement, au contraire, est d'application directe dans l'ensemble de l'Union dès son adoption par le Conseil. Il s'impose aux juridictions de la même manière que le droit national ou les traités internationaux dûment ratifiés.
Parmi les éléments particulièrement novateurs du règlement, le droit à l'oubli (ou à l'effacement) mérite une réflexion spécifique et sera abordé dans le paragraphe suivant, après une présentation de quelques autres évolutions majeures ou particulièrement attendues.
D'une manière générale, les rédacteurs du projet de règlement observent que la déclaration systématique des traitements à l'autorité nationale de protection des données induit un coût considérable pour les organisations,...
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(240 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Évolutions récentes et à venir du cadre réglementaire
BIBLIOGRAPHIE
-
(1) - WARREN (S.D.), BRANDEIS (L.D.) - The right to privacy. - Harvard Law Review, 4, p. 193-195 (1890).
-
(2) - Commission Nationale de l'Informatique et des Libertés - Guide du droit d'accès. - (2010-2015). http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL_Droit_d_acces.pdf
-
(3) - DE HERT (P.), KLOZA (D.), WRIGHT (D.), WADHWA (K.), HOSEIN (G.), DAVIES (S.) - Recommendations for a privacy impact assessment framework for the European Union. - PIAF deliverable D3, nov. 2012.
-
(4) - DECHENAUD (D.) et al - Le droit à l'oubli. - Page consultée le 30 avril 2015 (2011-2014). http://www.gip-recherche-justice.fr/?publication=le-droit-a-loubli
-
(5) - BOIZARD (M.) et al - Le droit à l'oubli. - Page consultée le 30 avril 2015 (2011-2014). http://www.gip-recherche-justice.fr/?publication=le-droit-loubli-2
-
(6)...
DANS NOS BASES DOCUMENTAIRES
Agence nationale de la sécurité des systèmes d'information http://www. ssi.gouv.fr/ (page consultée le 30 avril 2015)
Commission Nationale de l'Informatique et des Libertés http://www.cnil.fr/ (page consultée le 30 avril 2015)
Information and Privacy Commissioner/Ontario. Privacy by Design https:// www.privacybydesign.ca/ (page consultée le 30 avril 2015)
PIAw@tch. PIA guidance material http://www.piawatch.eu/piaguidance-material (page consultée le 30 avril 2015)
Privacy Impact Assessment Framework. PIAF http://www.piafproject. eu/ (page consultée le 30 avril 2015)
HAUT DE PAGE
Agence nationale de la sécurité des systèmes d'information - 2010-2014 - Le Référentiel général de sécurité (RGS) http://www.ssi.gouv. fr/administration/ reglementation/administration- electronique/le-referentiel-general- de-securite-rgs/ - -
European Parliament Policy Department C - 2012 - Citizens′ rights and constitutional affairs. Fighting cyber crime and protecting privacy in the cloud. European Parliament - -
ISO 15408-2 -...
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(240 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive