Présentation

Article

1 - VIE PRIVÉE ET DONNÉES PERSONNELLES

2 - CADRE RÉGLEMENTAIRE EN VIGUEUR

  • 2.1 - Principes du traitement des données personnelles
  • 2.2 - Droits des personnes concernées
  • 2.3 - Obligations des responsables de traitement
  • 2.4 - Vers des sanctions plus sévères et plus homogènes

3 - DROIT À L’OUBLI

  • 3.1 - Droit à l’oubli et à l’effacement dans le RGPD
  • 3.2 - Quels outils techniques pour le droit à l’oubli ?
  • 3.3 - Auditabilité et aspects opérationnels du droit à l’effacement

4 - ANONYMISATION ET RÉIDENTIFICATION

  • 4.1 - Anonymat, pseudonymat et bases de données anonymes
  • 4.2 - Principe des attaques en réidentification
  • 4.3 - Métriques de l’anonymat dans les bases de données
  • 4.4 - Techniques d’anonymisation et de pseudo-anonymisation

5 - CONCLUSION

Article de référence | Réf : H5455 v2

Vie privée et données personnelles
Protection des données personnelles dans le système d’information

Auteur(s) : Guillaume PIOLLE

Date de publication : 10 sept. 2018

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

La protection des données personnelles est devenue un aspect crucial de la gestion et de la sécurité des systèmes d'information. Il est désormais nécessaire pour les décideurs comme pour les ingénieurs d'être familiarisés avec la réglementation et les bonnes pratiques en la matière, afin que les outils informatiques ne deviennent pas un risque pour la vie privée des personnes ni pour la sécurité juridique de l'organisation. Cet article détaille le lien entre droit à la vie privée et protection des données personnelles, il présente le cadre juridique applicable et son évolution au niveau européen. Les problématiques et outils liés au droit à l'oubli et à l'effacement sont ensuite détaillés, ainsi qu'un aperçu des principales techniques d'anonymisation et de leurs limitations.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Personal data protection within the information system

Personal data protection has become a critical aspect of information systems management and security. Both decision-makers and engineers now need to be well-acquainted with the regulations and good practices in the domain, to prevent computing tools from becoming a risk for the privacy of individuals and for the legal security of the organization. This paper explains the link between privacy and personal data protection; it presents the applicable legal context and its evolution at the European level. The issues and tools related to the right to be forgotten and erasure are set out, together with an overview of the main anonymization techniques and their limitations.

Auteur(s)

  • Guillaume PIOLLE : Enseignant-chercheur en informatique - CentraleSupélec / Inria, équipe CIDRE, - CS47601, Avenue de la Boulaie, 35576 Cesson-Sévigné Cedex, France.

INTRODUCTION

La protection des données personnelles est parfois considérée comme une contrainte pour une organisation, mais également comme le domaine réservé d’un membre bien identifié des services juridiques ou de la direction des systèmes d’information, chargé de s’assurer que les bons formulaires de déclaration sont envoyés et que les mentions obligatoires apparaissent là où elles sont attendues. Néanmoins, les règles et les contraintes administratives, qui peuvent apparaître pénibles pour les personnes chargées de concevoir ou d’exploiter les systèmes, ne sont qu’une portion particulièrement visible d’un ensemble de règlementations instauré et maintenu pour éviter que des individus (qu’ils soient des salariés, des clients, des partenaires, des utilisateurs, des prospects…) ne soient atteints dans leur vie privée.

Une « brèche de vie privée » est un risque juridique et opérationnel réel pour une organisation, que cette organisation soit une entreprise, une association, une administration… Elle prend généralement sa source dans une défaillance de la confidentialité d’informations personnelles et peut prendre la forme d’une divulgation incontrôlée, d’une usurpation d’identité, d’une intrusion ou ingérence indésirable dans la sphère privée, ou de diverses formes de discrimination et de harcèlement. Lorsque des personnes subissent de telles atteintes par le fait d’une organisation, les conséquences pour elles sont souvent bénignes, mais parfois catastrophiques. Une brèche de vie privée peut avoir un impact plus ou moins sérieux sur les relations sociales (pouvant aller, dans les cas extrêmes, jusqu’à des tentatives de suicide), entraîner des pertes financières, des désagréments administratifs, des risques de poursuites pénales (dans le cas d’une usurpation d’identité par exemple), ainsi bien sûr que des désagréments plus mineurs comme des communications non sollicitées. Les conséquences pour l’organisation en question peuvent affecter sa réputation ou son positionnement sur le marché. De plus, sa responsabilité juridique peut être retenue au civil comme au pénal.

Pour ces raisons, les risques pesant sur les données personnelles manipulées par l’organisation sont de plus en plus intégrés au périmètre opérationnel du responsable de la sécurité des systèmes d’information et pris au sérieux au même titre que la protection du patrimoine informationnel de l’entreprise (dont les données personnelles sont souvent une composante essentielle). Afin que cette protection soit assurée efficacement, il est essentiel que tous les membres de l’organisation, et en particulier les personnes interagissant avec les systèmes de traitements automatisés de données, aient une réelle conscience de la nature des risques, de leur responsabilité dans le traitement des données et des motivations et principes qui sous-tendent les règles et contraintes existantes.

Cet article vise à proposer une vision concrète et pragmatique de ce cadre réglementaire. Il ne s’agit pas ici d’un ouvrage de droit, ni d’un guide juridique exhaustif, mais de la vision d’un ingénieur et d’un informaticien sur un cadre juridique trop souvent fantasmé, perçu comme plus ou moins contraignant qu’il ne l’est et parfois critiqué, à tort ou à raison, comme échouant à atteindre son objectif de protection des personnes. Une première partie propose un aperçu des concepts et des textes applicables en matière de protection de la vie privée et des données personnelles. Le cadre réglementaire actuellement applicable en France est ensuite détaillé, avant une présentation des récentes évolutions à l’échelle européenne. Un éclairage particulier, à la fois juridique et technique, sera enfin apporté sur le droit à l’oubli, ainsi que sur les problématiques liées à l’anonymisation et à la réidentification.

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

regulation   |   Privacy   |   personal data protection   |   computing   |   information systems   |   GDPR

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-h5455


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais En anglais

1. Vie privée et données personnelles

Les concepts de vie privée et de protection de la vie privée ne se limitent pas à la protection des données personnelles, qui peut en être considérée comme un outil.

1.1 Origines du droit à la vie privée

Le concept de droit à la vie privée remonte au XIXe siècle. Jusqu’à cette période, la délimitation entre vie privée et vie publique était simple et naturelle : il s’agissait de l’enceinte du domicile. Ce qui se déroulait à l’intérieur était d’ordre privé, ce qui se passait à l’extérieur pouvait éventuellement être connu d’autrui. Ce statu quo a peu à peu été brisé par la conjonction de deux changements sociétaux significatifs : l’avénement des médias de masse et la démocratisation de la photographie. En effet, dorénavant, un photographe que l’on convie chez soi, qui s’y introduit ou qui s’en approche, peut saisir des images relevant de la vie familiale ou intime et, éventuellement, les communiquer à un grand nombre de personnes, brisant ainsi la frontière naturelle de la sphère privée. Les juristes américains Warren et Brandeis analysent en 1890 ce changement de paradigme, dans un article séminal, The Right to Privacy , arguant de la nécessaire introduction d’un « droit à la vie privée » permettant de se préserver d’éventuelles divulgations non désirées. La réflexion issue de cet article est à la base de l’introduction des concepts juridiques correspondants dans la plupart des législations occidentales.

Il est évidemment intéressant de mettre en parallèle cette rupture technologique et sociétale de la deuxième moitié du XIXe siècle, introduisant de nouveaux risques pour les personnes et requérant de nouvelles normes pour les protéger, avec celles de la fin du XXe et du début du XXIe, à savoir l’apparition de moyens de traitements automatiques de données en grande quantité, l’interconnexion des réseaux informatiques et la diversification...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Vie privée et données personnelles
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - Article 29 Data Protection Working Party -   Guidelines on the implementation of the Court of Justice of the European Union judgment on « Google Spain and Inc v. Agencia Española de Protección de Datos (AEPD), Mario Costeja González » CC-131/12.  -  Technical report, European Commission, November 2014.

  • (2) - Article 29 Data Protection Working Party -   Opinion 05/2014 on anonymization techniques.  -  Technical Report 0829/14/EN WP216, European Union, Brussels, Belgium, April 2014.

  • (3) - Article 29 Data Protection Working Party -   Opinion 8/2014 on the on Recent Developments on the Internet of Things.  -  Technical report, European Commission, September 2014.

  • (4) - BACKES (M.), GERLING (S.), LORENZ (S.), LUKAS (S.) -   X-pire 2.0 – a user-controlled expiration date and copy protection mechanism.  -  In Proceedings of the 29th Annual ACM Symposium on Applied Computing (SAC’14), pages 1633-1640. ACM (2014).

  • (5) - BOUGET (S.), GAMBS (S.), PIOLLE (G.) -   Dégradation de données par...

1 Sites Internet

Agence Nationale de la Sécurité des Systèmes d’Information. https://www. ssi.gouv.fr/. (page consultée le 2 mars 2018).

Commission Nationale de l’Informatique et des Libertés. https://www.cnil.fr/. (page consultée le 2 mars 2018).

Commission Nationale de l’Informatique et des Libertés. Gérer les risques. https://www.cnil.fr/fr/gerer-les-risques. (page consultée le 2 mars 2018).

David Dechenaud et al. Le droit à l’oubli. http://www.gip-recherche-justice.fr/?publication=le-droit-a-loubli, 2011-2014. (page consultée le 2 mars 2018).

Maryline Boizard et al. Le droit à l’oubli. http://www.gip-recherche-justice.fr/?publication=le-droit-loubli-2, 2011-2014. (page consultée le 2 mars 2018).

Éric Freyssinet. Décret d’application de la LCEN sur la conservation des données par les FAI et les hébergeurs. https://blog.crimenumerique.fr/2011/03/04/decret-dapplication-de-la-lcen-sur-la-conservation-des-donnees-par-les-fai-et-hebergeurs/, 4 mars 2011. (page consultée le 2 mars 2018).

...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS