4.1. Législation et utilisation des données et licences de logiciels Flashcards
Article 1 de la loi “Informatique et libertés” (1978)
L’informatique doit être au service de chaqque citoyen.
Son développement doit s’opérer dans le cadre de la coopération internationale.
Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Quelles données peuvent être assijetties à la réglementation?
Données concernant tous les acteurs du SI (salariés, clients, fournisseurs, etc) :
Données à caractère personnel (DCP)
Données sensibles
Que sont les DCP?
Informations rattachées à une peronne physique qui permettent de l’identifier
4 informations présentes dans les DCP
Nom / Prénom
Identifiant
Caractéristique physique, génétique, économique, psychique, culturelle ou sociale
Donnée de géolocalisation (adresse, coordonnées GPS)
Qu’est-ce qu’une donnée sensible?
Donnée qui peut provoquer des risques importants pour la personne concernée
5 types de données sensibles selon le RGPD
Opinions politiques, convictions religieuses ou philosophiques
Données concernant la vie et l’orientation sexuelle
Données concernant la santé, la génétique, la biométrie
Appartenance syndicale
Condamnations pénales, infractions et mesures de sûreté
6 exceptions à l’interdiction du traitement des DCP
Consentement explicite
Obligations (ex : traitement d’un arrêt de travail)
Sauvegarde des intérêts vitaux (ex : personne dans l’incapacité physique ou juridique de donner son consentement)
Activités légitimes (traitement dans le cadre des membres d’un organisme à but non lucratif)
DCP rendues publiques (personne qui communique elle-même des infos personnelles aux média)
Santé (Médecine préventive et santé publique)
4 obligations majeures à respecter concernant le traitement des DCP dans le cadre du RGPD
Communiquer de façon transparente sur le traitement des données
S’assurer que le traitement des DCP est pertinent et limité par rapport aux besoins
Faire en sorte que les durées de conservation des données soient minimisées
S’assurer de la sécurité du SI pour empêcher la transmission des DCP à des destinataires non-autorisés
Sigle RGPD
Règlement Général pour la Protection des Données
Depuis quand et pour quels pays s’applique le RGPD
Depuis le 25 mai 2018 dans tous les pays de l’UE
Objectif du RGPD
Définir des conduites à tenir our protéger les personnes physiques à l’égard du traitement des données à caractère personnel, ainsi que pour la libre circulation de ces données au sein de l’UE
Dispositions générales des DCP pour être conformes au RGPD
Protection des DCP stockées dans des fichiers lors de traitements de l’information. Concerne toute personne se trouvant dans l’UE, que le traitement soit fait ou non dans l’UE.
Principe de la conformité des DCP au RGPD
Traitement doit être fait avec le consentement des personnes concernées. Sauf exception, il ne doit pas porter sur des données interdites.
Droits de la personne concernées par les DCP en accord avec le RGPD
Personnes doivent être informées sur la personne responsable du traitement des informations ainsi que leur droit de consultation, la durée de conservation et les objectifs du traitement.
Disposent également d’un droit à la rectification, effacement des DCP (droit à l’oubli) ainsi que d’un droit d’opposition à tout traitement des DCP
Responsabilités de l’organisation en matière de DCP
Organisation doit toujours désigner un responsable de traitement. C’est lui qui détermine les finalités et les moyens du traitement des données. En pratique, c’est généralement le représentant légal de la personne morale.
Quelle réglementation sur la transmission des DCP vers des pays hors UE (non concernés par le RGPD)?
Ne doit pas compromettre la protection des données des personnes concernées
Quel site internet permet de demander à des sites hébergeurs de DCP de les supprimer de leur base de données?
saymineapp.com
Acronyme CNIL
Commission Nationale de l’Informatique et des Libertés
Que prévoit le RGPD pour chaque Etat de l’UE dans le cadre de la surveillance de l’application du règlement?
Chaque Etat doit avoir une autorité publique indépendante
Triple mission de la CNIL
Informer des droits et obligations vis à vis du traitement des données
Accompagner les respponsables de traitement pour une mise en conformité avec les textes en vigueur
Anticiper et assurer une veille sur l’évolution des technologies et publier son appréciation des conséquences de ces évolutions
Quel est le rôle du responsable des traitements
Doit recenser tous les traitements (pas l’application utilisée) de DCP au sein de l’organisation
Le registre de traitement de données est-il facultatif ou obligatoire? Quel est son rôle?
Il est obligatoire et en cas de manquement, la CNIL peut être saisie.
Il doit informer toute personne concernée des conditions de collecte des DCP (durée, finalités, consentement) et de leurs différents droits (consultation, modification, suppression) sur les données.
4 étapes pour se mettre en conformité au RGPD et ce qu’elles recoupent
Constituer le registre des traitements (identifier les activités principales et une fiche par activité avec la finalité, catégorie des données utilisées, destinataire des données, durée de conservation)
Trier les données (vérifier que les données sont nécessaires aux acticités, aucune donnée sensible traitée sans raison valable, seules les personnes habilitées peuvent traiter les données, durée de conservation des DCP pertinente)
Respecter les droits des personnes (Informer de la finalité des données, accès aux données, durée de conservation, modalités de réclamation, respect des normes en cas de transfert de donénes hors UE)
Sécuriser les données (mise à jour des antivirus et logiciels, changements réguliers des mots de passe et avec un minimum de complexité, règles autonmatiques d’effacement en fonction des durées)
Rôle du DPD (Délégué à la Protection des Données)
Il doit conseiller le responsable des traitements et s’assurer que le RGPD est bien mis en place dans l’organisation.
3 cas pour lesquels il est obligatoire de désigner un DPD
Organisme public
Suivi à grande échelle de personnes (ex : Amazon)
Traitement de données sensibles à grande échelle (ex : Santé)
3 types de sanctions (selon le degré de gravité des infractions) en cas de non respect des obligations de la CNIL
Avertissement
Mise en demeure
Amende (Si aucune réaction de la part de l’organisation)
4 exemples de traitements faisant l’objet d’une sécurité renforcée par le RGPD
Données sensibles (ex : santé)
Traitement en masse de données (> 100000 personnes)
Données liées à la vidéosurveillance
Données liées à une segmentation comortementale (carte de fidélité)
3 étapes à suivre en cas de fuite, altération, divulgation ou destruction de données
Signaler dans les 72h à la CNIL la violation des DCP
Informer les personnes concernées en cas de risque élevé
Publier une notification sur le site de la CNIL
Dans quel champ d’application entre la protection des logiciels?
Propriété intellectuelle
De quelle protection bénéficient les logiciels?
Droits d’auteur
En achetant un logiciel, de quel droit dispose l’utilisateur
Exploiter ce logiciel
En créant un logiciel, qui en est responsable selon le contexte?
Soi-même en règle général.
Dans le cadre d’une activité professionnelle, c’est l’employeur qui possède ce droit.
La conception d’un logiciel (idée, principes) est-elle protégée?
Non, seule la traduction complète du concept peut l’être (programme, documentation, interface, architecture du logiciel)
3 éléments qui peuvent être protégés pour un logiciel
Le logiciel lui-même s’il intègre une invention technique
Le nom du logiciel (marque)
Les programmes peuvent être déposés afin de devenir un élément de preuve de la propriété (ex : INPI = Industrie Nationale de la Propriété Industrielle)
Qu’est-ce que la licence d’un logiciel?
C’est le fait pour l’auteur d’un logiciel de pouvoir concéder son droit d’utilisation à autrui.
4 catégories de licence (avec description brève)
Licence commerciale : payante avec droit d’utilisation, mais pas de copier, modifier ou diffuser
Licence shareware : Payant après une période d’essai avec droit d’utilisation, mais pas de copier, modifier ou diffuser
Licence freeware : Gratuit, liberté d’utilisation de copie, de modification et de diffusion
Open-source (libre) : Gratuit, liberté d’utilisation, de copie, de modification et de diffusion. Code source des programmes fourni.
