Archives de Tag: Vie privée

Règlement européen sur la protection des données personnelles – article 14

image Le projet de règlement européen sur la protection des données personnelles est actuellement examiné par Bruxelles.

Dans ce document, on retrouve :
a) Les principes fondamentaux qui sont déjà inscrits dans notre législation,
b) Des précisions utiles sur certains points (sous-traitance, documentation, transferts vers des pays tiers, …),
c) Des principes nouveaux ou largement développés (consentement, informations à fournir aux personnes, droit à l’oubli, portabilité des données, profilage, privacy by design, notification des failles de sécurité, analyse d’impact, désignation du CIL, certification, …),
d) Des articles régissant les autorités de contrôle, le Comité européen de la protection des données, les sanctions administratives.

Examinons l’article 14 : « Informations à fournir à la personne concernée ».

Lorsque les données sont collectées directement auprès de la personne concernée, le responsable du traitement devra informer la personne :
– Des coordonnées du responsable du traitement, et le cas échéant, du CIL (Correspondant Informatique & Libertés),
– Des clauses contractuelles concernées, dans le cas où le traitement est fondé sur l’exécution d’un contrat,
– De la durée de conservation des données,
– Du droit de déposer une réclamation auprès de la CNIL,
– D’autres éléments déjà prévus dans la législation actuelle.
Lorsque les données ne sont pas collectées auprès de la personne concernée, le responsable du traitement devra en outre informer la personne de l’origine des données collectées.

Attention, ces évolutions sont importantes car elles impactent les processus et les systèmes d’information : il est donc nécessaire d’effectuer les analyses d’impact sans attendre. Les D&IM doivent le faire savoir !

Philippe SICARD
Consultant expert Informatique & Libertés

Protection des données à caractère personnel

La France est un des premiers pays au monde (en 1978, sous la présidence de Valéry Giscard d’Estaing) à s’être doté d’une législation protégeant les données à caractère personnel.

Dix-sept ans après, en 1995, l’Europe a adopté une directive généralisant les principes de protection de la vie privée des citoyens, et apportant quelques innovations très intéressantes : des formalités administratives allégées au profit d’une recherche plus effective de conformité ; un transfert de charge de travail sur les entreprises, qui purent désigner en leur sein un « Correspondant Informatique & Libertés ». Cette directive fut transposée en droit français… en 2004 et 2005.

image Une nouvelle étape est aujourd’hui franchie par l’Union Européenne, avec l’examen du projet de règlement sur la protection des données personnelles.
Ce projet de règlement, qualifié d’explosif par certains, est l’aboutissement d’une logique engagée en 1995.
Il généralise le rôle du Correspondant Informatique & Libertés (il en existe déjà 10.000 en France). Il renforce les sanctions, qui deviennent réellement dissuasives.
Il se positionne sur toutes les questions d’actualité : failles de sécurité, cloud computing, droit à l’oubli, consentement préalable pour les internautes …

Attention, un règlement européen ne nécessite pas de transposition par les états membres. Il pourrait donc être applicable dès 2014.
Informaticiens, juristes, Document & Information Managers : préparez-vous !

Philippe SICARD
Consultant expert Informatique & Libertés

Identité numérique

Vous êtes-vous déjà demandé ce qu’est votre identité numérique ou celle de vos collègues ou de vos proches ?

image Cette étude impressionnante conduite par Adeline Lory de Pole Documentation va vous aider à répondre à cette question.

image Elle a recensé pour vous les outils de recherche d’information sur des personnes dans un livre blanc pour la recherche:
– de personnes: pas moins de 27 sites de recherche que vous pouvez immédiatement exploiter;
– de photos
– d’information sur annuaires inversés;
– dans des réseaux sociaux:
image
– de CV en ligne;
– d’adresses email;
– d’adresses IP;
– d’ancêtre, d’amis et proches…
Autant d’outils permettant de mesurer clairement une e-Réputation.

Les D&IM pourront faire bon usage… modéré… des conseils et outils mis à disposition.

Jean-Pierre BLANGER
Vice-président fi-D&IM
Directeur R&D et des Offres de Services Ricoh

Consent: Prononcez-vous !

clip_image002Lisez-vous (jamais/quelque-fois/toujours) les conditions d’admission des sites communautaires et autres réseaux sociaux ?
Etudiez-vous les conditions contractuelles proposées par les sites marchands ?
Vérifiez-vous l’existence juridique d’un organisme derrière ces sites ? Et l’engagement de confidentialité du site sur lequel vous ou vos collaborateurs déposez annonces, offres de services et CV ?
Savez-vous quelle utilisation (exhaustive) sera faite de vos données, de votre adresse IP (chopée à votre insu) ?
Avez-vous lu et quelle est la durée des accords « conclus » ; lorsqu’ils le sont ?
Etes-vous vigilant à l’httpS lorsque vous payez en ligne ?

Le D&IM de votre entreprise a-t-il informé et mis en place une stratégie de gestion des cookies de traçage des visites de sites web ?

clip_image004CONSENT est le plus important investissement de l’UE pour la recherche de solutions de nature à protéger le sentiment vie privée et les consentements (interindividuels) indispensables à établir cette confiance sans laquelle aucune affaire n’est, sinon possible, durable entre les utilisateurs.
La démarche de CONSENT m’apparait comme tardive mais il faut s’en réjouir tant la sophistication des outils informatiques et des processus, devenus planétaires, l’a rendue nécessaire.
CONSENT lance une enquête qui vous intéresse à trois égards :
– ses résultats permettront aux politiques et aux juristes de refonder les « règles du jeu » d’un système numérique et planétaire d’information ; et qui dit règle du jeu dit consentement;
répondre au questionnaire CONSENT, c’est investir 15 minutes à son éveil d’internaute, et c’est apprendre à se protéger de malveillances dont le retard des conséquences n’aura sans doute d’égal que la gravité;
– C’est un outil pour le D&IM et sa réflexion,
alors
D&IM, répondez !!!   Au fait, l’enquête CONSENT est anonymisée.

Philippe BLOT-LEFEVRE
HUB2B
Membre de l’Académie de l’IE
Consultant DLM (Digital Legal Management)

Le D&IM doit-il s’intéresser aux réseaux sociaux ?

Depuis les origines se sont constitués des communautés, guildes, congrégations, clubs rassemblant des hommes. Ces réseaux se sont constitués autour d’intérêts communs. En favorisant le partage, la solidarité, l’entraide entre les membres, ils leur ont permis de développer des connaissances et expériences renforçant la compétence de chacun. Ils ont également contribué à renforcer l’influence du groupe dans son environnement.

Le 21eme siècle à permis l’éclosion de « réseaux sociaux » proposant de rassembler les internautes autour de thèmes d’échange. Sans acquitter de droit d’entrée, il est possible de créer un profil et de regarder « qui en est ». La rencontre, la convivialité, la relation professionnelle ont donné lieu à l’émergence de sites spécifiques qui ont suscité un engouement rapide. Entre curiosité, intérêt ou voyeurisme, tout un chacun peut maintenant établir des contacts en ligne. Ainsi, Facebook compterait aujourd’hui plus de 600 millions de membres (http://www.checkfacebook.com).

A quoi sert le réseau social ?
La plupart des réseaux sociaux actuels sont nés dans les années 2003/2004. L’apparition de Myspace, LinkedIn, Twitter, Facebook, Viadeo a permis de structurer des communautés de profils. En renseignant les données demandées par le réseau, l’internaute rend visible une partie de son identité. Ainsi, il divulgue ses goûts musicaux, le nom de sa société, sa vision de l’actualité, ses loisirs, son expérience professionnelle en espérant pouvoir consulter celles des autres membres du réseau.
Par le jeu du référencement, il gagne en visibilité. Et pourra être retrouvé aisément à l’aide de quelques données de base soumises à des moteurs de recherche.
Le réseau social sert à développer sa notoriété et par voie de conséquence, son influence. Si la génération Y y voit un moyen facile de devenir rapidement célèbre, les entreprises commencent à comprendre tout l’intérêt à pénétrer ces nouveaux réseaux.

Personne physique ou personne morale ?
Chaque réseau social se constitue un patrimoine des données confiées par les internautes. La question de son utilisation, encore un peu tabou, mérite d’être éclaircie. Car le modèle d’affaire des réseaux sociaux n’est pas encore finalisé et il apparait de plus en plus clairement que l’exploitation de ce patrimoine peut constituer une source de revenus significative. D’autant que rien n’empêche une personne morale de s’inscrire sur le réseau et de proposer de nouveaux contenus susceptibles d’influencer le comportement d’internautes physiques. Voilà un autre intérêt du réseau social ; il permet de faire cohabiter en un même endroit des identités numériques de nature différente. Et de rapprocher encore davantage l’entreprise de ses parties prenantes.
Certaines l’ont bien comprise et commencent à jeter les bases d’un réseau social « interne » (dont elle maîtrise le patrimoine) autour duquel elles développent de nouveaux échanges avec leurs fournisseurs, leurs clients, leurs collaborateurs, leurs partenaires : en se connaissant mieux, on avance plus vite.

Données personnelles et exploitation professionnelle
Les utilisateurs de prédilection d’un réseau social sont des personnes physiques. A ce titre, elles s’identifient et construisent leur identité numérique en faisant appel à leur patrimoine personnel. En renseignant son état civil, en diffusant une photo, en écrivant un texte original, en tweetant un lien, chacun délègue une part de sa personnalité au réseau social où il « existe ». Souvent sans se soucier des réalités juridiques concernant les droits et jurisprudence en vigueur. Ainsi, il ne faut pas confondre confidentialité des données personnelles (obligation légale pour toute entreprise), et commerce de données personnelles (évoqué généralement dans les CGU de chaque site, que personne ne lit véritablement dans le détail…). Le commerce de données personnelles numériques n’est qu’à ces débuts. Il est une opportunité séduisante pour toute organisation qui souhaite adresser une cible clairement identifiée. Sur ces promesses, la valorisation de Twitter a été estimée entre 8 et 10 milliards de dollars (Wall Street Journal, Mars 2011), celle de Facebook à 50 milliards (New York Times, Janvier 2011).

Identité numérique et socialisation
Ces opportunités nécessitent pour les parties prenantes de développer et maîtriser leur identité numérique afin de mieux organiser leurs échanges à travers le réseau social. Les personnes physiques doivent apprendre à préserver leur intimité pour s’affranchir de sollicitations non souhaitées. Les personnes morales doivent se définir une ligne de conduite afin de se rendre clairement identifiable auprès de leurs cibles. Ainsi les uns auront plaisir à se rapprocher des autres pour partager leurs envies ou répondre à leurs besoins. La maîtrise de ce changement se jugera dans le temps : le monde numérique a cette particularité de conserver longtemps les traces de ces acteurs. Inconséquent, vous devrez assumer votre réputation ; anonyme, vous n’existerez que par procuration. Sans oubli numérique, il faudra apprendre à composer avec l’éternité.

Le D&IM
Est-il besoin de commentaires pour comprendre que le D&IM doit s’intéresser aux réseaux sociaux… d’urgence !

Christophe CHAMBET-FALQUET
Directeur et Fondateur RuleIs

Charte du droit à l’oubli

image Le 13 octobre 2010, Madame Nathalie Kosciusko-Morizet – Secrétaire d’Etat chargée de la prospective et du développement de l’économie numérique, signe avec quelques acteurs de l’économie numérique la Charte du droit à l’oubli.
Cette signature conclue un travail de concertation engagée en novembre 2009 et engage les signataires à:
– Favoriser les actions de sensibilisation et d’éducation des internautes par:
. la mise en œuvre d’action de pédagogie,
. l’affichage clair sur la page d’accueil de leur site Web d’un lien vers leur politique de protection de la vie privée et
. Fournir dès la collecte des données concernant les internautes, une information claire sur la durée de conservation et les modalités d’accès et d’opposition de celles-ci.
– Protéger les données personnelles de l’indexation automatique par les moteurs de recherche;
– Faciliter la gestion des données publiées par l’internaute par:
. L’accès à la visualisation des données connues de l’internaute,
. La possibilité de suppression de l’enregistrement et
. L’information de l’internaute quant au opérations menées.
– Adopter des mesures spécifiques d’information pour les mineurs;
– Mettre en place un outil de signalement ou un bureau de réclamations;
-Transférer les données dans les mêmes conditions de protection en cas de transfert vers un prestataire tiers.

Il va de soi que les recommandations de la Charte du droit à l’oubli dans les sites collaboratifs et les moteurs de recherche constituent des avancées en matière de protection des données personnelle et qu’à ce titre le D&IM doit veiller à leur application dans son organisation.

Jean-Pierre BLANGER
Membre Aproged
Directeur R&D Ricoh

Informatique, Libertés, Identités

Le Président de la FING (Fondation Internet Nouvelle Génération ) Daniel Kaplan nous alerte dans son dernier livre « Informatique, Libertés, Identités » chez Fyp Éditions: Nous avons fort à apprendre de notre propre vie privée à partir des données que possèdent de nous et sur nous, les entreprises. L’inquiétude est justifiée et une fois de plus, la sécurité informatique sera impuissante face à ce nouveau risque (avéré).
Pour éviter une telle atteinte à la liberté et ses conséquence incommensurables à la fois sur la vie privée des individus et sur la responsabilité (civile ou pénale) des gouvernances d’entreprises, le D&IM doit se rendre compte de deux aspects de la question :
1/ On n’arrêtera pas le Cloud Computing car on n’arrête pas le progrès,
2/ Le Cloud Computing va très naturellement et rapidement parvenir à réaliser la syndication, en temps réel, de nos données personnelles éparpillées chez nos fournisseurs.
Seule la gestion du droit d’usage de nos données (DLM = Digital Legal Management) nous évitera, sinon la constitution de telles syndications, l’utilisation des données sources, des données syndiquées et des données calculées.

Philippe BLOT-LEFEVRE
Consultant D&IM
Expert en droit d’usage du numérique
Conseil en Digital Legal Management