Ceci est une version archivée de CompteRendu à 2019-09-10 03:38:49

Compte-Rendu collaboratif

Lien vers le pad (s'il ne s'ouvre pas)


#Formation de sensibilisation au

Règlement Général sur la Protection des Données
Villeréal - 20 et 21 mai 2019

Bienvenue sur ce pad pour un compte-rendu collaboratif et collectif !

N'oubliez pas de préciser votre prénom en cliquant sur l'icône coloré en haut à droite de la fenêtre !
(commencez à écrire à partir de la ligne 10 !)




  • * Le meilleur moyen de gérer les données personnelles, c'est de ne pas les collecter.
Données personnelles, ce qui permet d'identifier une personne.
Données sensibles : santé, judiciaires, mineurs, ...
numéro inscription au registre des personnes physiques NIRPP
Anonymisation : enlever les données qui permettent de reconnaitre, ex adresse mail = pseudo, ce n'est pas anonyme
PSEUDO / Reduit le risque mais pas anonyme
Fichier adhés, on garde les infos car légitimement besoin des infos
Pour mesurer la fréquentation, pas besoin des infos perso, on anonymise. Intéressant d'avoir ce débat avec les financeurs pour être dans la légalité.

TRAITEMENT DE données personnelles : à partir du moment où on collecte, on tri, ...
Qui fait le traitement ? celui qui fait le traitement ? La personne morale
Personne concernée : personne physique

Si citoyen UE à hors UE, tu restes bénéficiaire RGPD
Idem, si tu es ressortissant étranger sur le territoire européen

DCP ou non :
Prénom ? Difficile, ex Lowen ?question de contexte ...la fréquence
Prénom + Nom, oui !!
Date de naissance ? Idem, contexte, une crêche
N°INSEE? OUI !!
Mail : oui car info, derrière
Adresse IP, oui... car cela nous trace...

DPO, délégué à la protection des données. Une fonction identifiée et tenue par une personne, nommée, qui assure la responsabilité. Obligatoire pour les structures de plus de 250 employés, et gérant des données sensibles. FCSF ?? Mutualiser la fonction DPO (au même titre qu'un comptable. Dans la loi Allemande, il est protégé, au même titre qu'un syndicaliste);;; Il est co-responsable de l'utilisation des données personnelles au sein de sa structure
En attendant, désigner un pilote.

Liste de diffusion : ex les com com si on a le nom des personnes on est dans la données perso et PAS si c'est une adresse mail qui renvoie au nom de la structure/collectivité.
  • Obscura cam : pour flouter les visages sur les photos
  • Data gunGpe personne catégorisée
  • A faire : consentement pour collecter et conserver des données - Déclaration orale sur utilisation des données - Case à cocher, "je refuse" par défaut. Gérer/faire apparaitre le consentement.
  • Profilage par algorithme, il faut que l'humain puisse reprendre la main à un moment pour informer...
  • Toute donnée doit avoir une date de péremption. Ne pas conserver ultérieurement.
  • Comment s'assurer que les sous traitants soient ok avec RGPD ? : Vous connaissez ?


  • responsable de traitement: dès lors que l'on traite des données perso
  • dcp : donnée à caractère perso
  • nom prénom oui
  • date de naissance oui selon contexte
  • adresse mail
  • adresse ip
  • donnée tel crèche oui
  • -
  • underlineOutils/infos utiles :underline

--


underlineDirective underline: texte qui demande à l'ensemble des pays membres de l'UE de le ratifier et l'intégrer dans leurs textes législatifs (proposition). Directive 95/46/CE : 9 ans à à mettre en place pour la France (mais la protection était déjà en place via loi informatique et liberté)

underlineAffaire Snowden underline: \url{https://fr.wikipedia.org/wiki/R%C3%A9v%C3%A9lations\_d%27Edward\_Snowden}
\url{http://imagotv.fr/php/movie.php?type\_id=documentary\&content\_id=meeting\_snowden}

underlineRGPDunderline : pas une directive, mais un règlement général = s'applique dès lors qu'il est adopté par l'UE, retranscription dans la loi nationale n'est pas nécessaire pour son application par les États.
L'actualité a permis de faire un texte très protecteur, rapidement, les lobbys n'ont pas eu beaucoup de temps pour agir et le règlement est très protecteur pour les citoyens.

underlineMajorité légale des enfants pour leur données personnellesunderline : 15 ans , en deçà la responsabilité est parentale. Les données personnelles sont donc soumises à l'autorisation parentale.

Une donnée à caractère personnelle (DCP) = une information qui permet d'identifier directement/indirectement un individu
-> nom et prénom
-> numéro de sécurité sociale

underlineDonnées sensibles : underline
  • données de santé
  • judiciaires
  • ethniques
  • religieuses
  • enfance (gestion des fichiers des mineurs par ex)
  • NIR (Numéro d'Inscription au Répertoire des personnes physiques = n° INSEE = n° de sécurité sociale)

  • underlinePseudonymisation / anonymisation underline:
    • Pseudonymisation permet une identification via pseudonyme (code aléatoire, surnom etc)
    • Anonymisation : pas de pseudo, n'est pas toujours possible (ex un fichier adhérent ne peut pas être anonymisé -> question du besoin réel)

Terms of service : didn't read : site qui permet de voir les utilisations / la sécurisation de des données récoltées par les services web : \url{https://tosdr.org/}
Extension de navigateur web Lightbeam (visualisation interactive des relations entre les sites web) : \url{https://fr.wikipedia.org/wiki/Lightbeam}

Traitement de données à caractère personnelle : le traitement débute par la collecte des données

Responsable de traitement = personne qui fait le traitement -> responsabilisation de l'ensemble de la chaîne puisque chaque personne qui collecte / donne les données est responsable
Les responsables sont les personnes morales ; les personnes concernées / bénéficiaires sont personnes physiques. Personnes concernées citoyens de l'UE. Un citoyen de l'UE à l'étranger est bénéficiaire ; un étranger sur le sol européen est bénéficiaire.

NB : un répertoire téléphonique est un fichier de données personnelles. Les informations inscrites appartiennent à la structure.

underlineDCP / Pas DCP underline:
  • Prénom : en fonction du contexte peut permettre une identification (prénom rare, territorialité ...)
  • Prénom + nom : DCP
  • date de naissance : dépend du contexte et de la précision demandée
  • NIRP/ n° INSEE : DCP + donnée sensible
  • adresse email : DCP
  • adresse IP : DCP
  • n° de téléphone : selon le contexte (n° de collectivité...)
  • n° de facture : selon le contexte : seul il n'est pas DCP ; avec les coordonnées du client ou de l'émetteur elles peut être donnée personnelle
-> C'est le contexte qui détermine le plus souvent s'il s'agit ou non d'une DCP

DPO (Data Protector officor) = Délégué à la protection des données
Il est obligatoire pour les structure de plus de 250 employés et les structures qui gèrent/collectent des données sensibles c'est une personne physique qui assume toutes les responsabilités liées à la protection des données/ rgpd
Possibilité d'externaliser et mutualiser le DPO (possibilités avec les Fédérations par exemple)
Les structures peuvent désigner un pilote (CNIL : \url{https://www.cnil.fr/fr/dpo-par-ou-commencer} \url{https://www.cnil.fr/fr/designer-un-pilote)}
Ce n'est pas (forcément) la personne qui traite les données (!)
-> ce n'est pas de l'informatique, c'est de la qualité et du juridique.(rôle peut être similiaire à celui d'un expert comptable : audit et vérification pour prendre la responsabilité de ce qui est fait)

Éviter les adresses mail nom.prenom@structure.fr mais favoriser les mails type poste@structure.fr
Obscuracam : application qui floute les photos automatiquement (pour android \& Iphone) : \url{https://play.google.com/store/apps/details?id=org.witness.sscphase1\&hl=fr}

Petit reportage "DataGueule " sur la marketing politique : \url{https://www.youtube.com/watch?v=xO\_dH2oANWY}

underlineNotes sur les devoirs du responsables du traitement des données : underline
- /!\ Par défaut c'est le refus qui est pris en compte par la CNIL (le principe de base = on ne collecte pas / l'usager est contre la collecte) --> l'accord doit être explicite
- Le consentement doit être enregistré et vérifiable afin de pouvoir être modifié / retiré
- Ghostery \url{https://fr.wikipedia.org/wiki/Ghostery} extension de navigateur pour bloquer les traceurs publicitaires/ cookies. A utiliser en complémentarité avec le bloqueur de pub Ublock Origin \url{https://fr.wikipedia.org/wiki/UBlock\_Origin}
- /!\ Faire des sauvegarde des données : il ne faut pas perdre les données que je collecte : si j'affirme les conserver pendant 3 ans, je dois les conserver pendant 3 ans afin de permettre le droit de modifications et de suppression.
- Obligation de prévenir les risques :

  • * - Ne pas collecter
  • * - Anonymisation / pseudonymisation : lorsqu'on envoie les données à un organisme financeur, on supprime les données personnelles (supprimer le nom / les coordonnées...)
  • * - Mener des études d'impact : certains outils permettent de le faire (PIA)- Dès lors qu'il y a des fuites de données personnels --> obligation de prévenir les usagers + la CNIL si données sensibles, même s'il n'y a pas d'utilisation des données. (ex. : des fichiers sont stockés sur mon pc portable et je me fais voler mon pc : je dois prévenir toutes les personnes concernées)
- Les actions de groupe : associations de consommateurs, fédérations (etc) qui peuvent saisir la CNIL
- Prévention des fuites de données : le chiffrement (à minima le support de sauvegarde) : \url{https://www.cnil.fr/fr/comment-chiffrer-ses-documents-et-ses-repertoires}
\url{https://www.cnil.fr/fr/comprendre-les-grands-principes-de-la-cryptologie-et-du-chiffrement}
Se méfier des wifi ouverts
Gestion des identités et des accès : il faut éviter un accès à tous : chacun doit avoir un accès en fonction de ses besoins et des restrictions pour certaines informations.
- Durée de conservation des données : toute donnée doit avoir une date de péremption et doit être supprimée après cette date (= on ne conserve pas au delà de la date sauf obligation spécifique !!!) \url{https://www.cnil.fr/fr/limiter-la-conservation-des-donnees}

Comment s'assurer que les sous-traitants soient conformes au RGPD :
  • Poser la question de la connaissance du dispositif


Jour 2

Interdiction de demander des pièces d'identité (réservé officier de police judiciaire et maire)

Distinguer l'accès à l'information et le stockage/gestion de cette information.

Sensibiliser le bureau et CA, notamment dans la suppression des données lorsqu'ils quittent leur postes (info GRH, infos adhérents etc stockées sur les pc personnels)

Infographie Solidatech : \url{https://www.solidatech.fr/utiliser/ressources/infographie-5-points-pour-etre-conforme-au-rgpd}

FCSF : RGPD et centres sociaux : \url{http://www.centres-sociaux.fr/2018/08/28/rgpd-et-centres-sociaux-la-foire-aux-questions/}

Consentement : intégrer dans le RI le fait que l'asso collecte les données qui sont disponibles à l'accueil ; le consentement doit être exprimé et pas sous entendu : case à cocher par exemple, et qui ne doit pas être pré-cochée

Le pilote à la protection des données : mise en place d'une fiche de mission (possibilité d'un bénévole de la structure) ; Le DPO est une personne, identifiable et qui prend la responsabilité de dire que la structure est en conformité (ex. l'expert comptable).
Le pilote peut être un groupe de personnes, associé bénévoles/salariés, mais pas les personnes du pilotage de la structure.

MOOC CNIL RGPD : \url{https://www.cnil.fr/fr/la-cnil-lance-sa-formation-en-ligne-sur-le-rgpd-ouverte-tous}
pour former le(s) pilote(s) (le lien direct : \url{https://atelier-rgpd.cnil.fr/)}
MOOC du CNAM (inscriptions closes) : \url{https://www.fun-mooc.fr/courses/course-v1:CNAM+01032+session02/about}

Le registre / cartographie des données personnelles est un document public, qui doit être à disposition des adhérents.
/!\ Stockage des données comptables (facturation, RH etc) : où sont stockées les données ? Domicilations des serveurs ? Idem pour les newsletter

CNIL : les infos demandées pour une inscription ALSH ou école : \url{https://www.cnil.fr/cnil-direct/question/numero-de-securite-sociale-nir-des-enfants-en-ecole-primaire-une-mairie-peut}

CNIL : l'employeur peut-il demander l'extrait de casier judiciaire : \url{https://www.cnil.fr/fr/cnil-direct/question/extrait-de-casier-judiciaire-lemployeur-peut-il-le-demander-et-le-conserver}

Service public : durée de conservation des informations professionnelles : \url{https://www.service-public.fr/professionnels-entreprises/vosdroits/F10029}