La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Présentée par Présentée par M. Chemseddine Ethani BARNAT Enseignant Faculté des Sciences Economiques et de Gestion de Nabeul

Présentations similaires


Présentation au sujet: "Présentée par Présentée par M. Chemseddine Ethani BARNAT Enseignant Faculté des Sciences Economiques et de Gestion de Nabeul"— Transcription de la présentation:

1 Présentée par Présentée par M. Chemseddine Ethani BARNAT Enseignant Faculté des Sciences Economiques et de Gestion de Nabeul Tunis, 14 avril

2 PROBLEMATIQUE ? Quel est limpact de ladministration électronique sur lidentité numérique ? 2

3 La notion de lidentité numérique Lidentité est «lensemble des composantes grâce auxquelles il est établi quune personne est bien celle qui se dit ou que lon présume telle (nom, prénoms, nationalité, filiation) » Lidentité est «lensemble des composantes grâce auxquelles il est établi quune personne est bien celle qui se dit ou que lon présume telle (nom, prénoms, nationalité, filiation) » Lidentité numérique est lensemble des informations traitées par les moyens électroniques, permettant didentifier une personne. Lidentité numérique est lensemble des informations traitées par les moyens électroniques, permettant didentifier une personne. 3

4 Deux catégories didentité numérique Identité numérique « privée » Identité numérique « privée » Identité numérique « publique » Identité numérique « publique » 4

5 Identité numérique privée Déclaratoire Déclaratoire Aléatoire Aléatoire Non vérifiable Non vérifiable Multiple Multiple Non règlementée Non règlementée Libre Libre Reflet de la personnalité subjective Reflet de la personnalité subjective 5

6 Identité numérique « publique » Règlementée Règlementée Officielle Officielle Vérifiable Vérifiable Toute fausse déclaration est sanctionnée Toute fausse déclaration est sanctionnée Sécurisée Sécurisée Reflet de la personnalité objective Reflet de la personnalité objective Plus fidèle à lidentité réelle Plus fidèle à lidentité réelle 6

7 La notion de lidentité numérique est en rapport avec la notion de données personnelles Les données personnelles: ( art. 4 Loi organique n° du 27 juillet 2004): « Toutes les informations quelle que soit leur origine ou leur forme et qui permettent directement ou indirectement didentifier une personne physique ou la rendent identifiable, à lexception des informations liées à la vie publique ou considérées comme telles par la loi ». 7

8 De quoi sagit-il exactement ? Données didentification directe: Données didentification directe: Nom et prénom Nom et prénom Photo Photo Empreinte digitale, rétinienne…etc. Empreinte digitale, rétinienne…etc. Données didentification indirecte: Données didentification indirecte: Adresse IP, Adresse IP, Numéro daffiliation à une caisse de sécurité sociale…etc. Numéro daffiliation à une caisse de sécurité sociale…etc. 8

9 Y a-t-il un droit à lanonymat? 9

10 Chaque personne a le droit à lanonymat Mais lorsque cette volonté de rester anonyme interfère avec un intérêt général, la loi intervient pour restreindre cette liberté: Cas du traitement des données par ladministration 10

11 Cadre juridique du traitement des données personnelles Article 9 de la constitution Article 9 de la constitution « L'inviolabilité du domicile, le secret de la correspondance et la protection des données personnelles sont garantis, sauf dans les cas exceptionnels prévus par la loi ». Loi organique du 27 juillet 2004 relative à la protection des données personnelles. Loi organique du 27 juillet 2004 relative à la protection des données personnelles. 11

12 Parmi les exceptions prévues par la constitution: Le traitement des données personnelles par ladministration (Loi organique du 27 juillet 2004) 12

13 Quel est limpact de ladministration électronique sur lidentité numérique ? 13

14 La réalisation de plusieurs programmes dinformatisation de ladministration : Des traitements automatisés de données personnelles didentification par toutes les administrations 14

15 Quelques programmes dinformatisation de ladministration La première génération de ladministration électronique : La première génération de ladministration électronique : SINDA (Système dInformation de Dédouanement Automatique) SINDA (Système dInformation de Dédouanement Automatique) INSAF (Système de Gestion des Affaires Administratives du Personnel de lEtat) INSAF (Système de Gestion des Affaires Administratives du Personnel de lEtat) ADEB (Système dAide à la Décision Budgétaire) ADEB (Système dAide à la Décision Budgétaire) SICAD (Système dInformation et de Communication Administrative) SICAD (Système dInformation et de Communication Administrative) 15

16 La deuxième génération de ladministration électronique: La deuxième génération de ladministration électronique:Ex.: RAFIC (système de Rationalisation des Actions Fiscales et Comptables) RAFIC (système de Rationalisation des Actions Fiscales et Comptables) SADEC (Système daide à la décision et au contrôle) SADEC (Système daide à la décision et au contrôle) RAKMIA 1 et 2 RAKMIA 1 et 2 E-Tasrih E-Tasrih MEDENIA 1 et 2 MEDENIA 1 et 2 16

17 Quels sont les problèmes qui menacent lidentité numérique ? 17

18 Principaux problèmes de la protection de lidentité numérique Problèmes techniques Problèmes techniques Problèmes de garanties juridiques Problèmes de garanties juridiques 18

19 Les problèmes techniques 19

20 Quest ce quun réseau sécurisé? Pour quun réseau soit sécurisé, il faut quil soit: Accessible en permanence (accessibilité) Accessible en permanence (accessibilité) Les données traitées soient fiables (intégrité) Les données traitées soient fiables (intégrité) Les données ne peuvent être portées quà la connaissance des personnes habilitées à le faire (confidentialité) Les données ne peuvent être portées quà la connaissance des personnes habilitées à le faire (confidentialité) 20

21 Quels sont les risques techniques ? Accès plus facile à un grand nombre dinformations personnelles Accès plus facile à un grand nombre dinformations personnelles Risque de manipulation des informations (modification ou suppression) Risque de manipulation des informations (modification ou suppression) Risque de recel dinformations surtout avec le développement des supports numériques et des réseaux de communication Risque de recel dinformations surtout avec le développement des supports numériques et des réseaux de communication Risque dattaque pirate (déni de service, usurpation didentité, cyber espionnage…etc.) Risque dattaque pirate (déni de service, usurpation didentité, cyber espionnage…etc.) 21

22 Témoignage Le Conseil de lEurope (2004) «il est devenu et il deviendra de plus en plus possible et de moins en moins cher d´enregistrer la vie de tous les individus de la planète (la nôtre et celle des autres …» Le Conseil de lEurope (2004) «il est devenu et il deviendra de plus en plus possible et de moins en moins cher d´enregistrer la vie de tous les individus de la planète (la nôtre et celle des autres …» 22

23 Quelques évènements marquants Zdnet (2005): Zdnet (2005): Entre : vingt pirates présumés chinois aurait attaqué et piraté des sites dinformation américains sensibles, notamment des centres militaires et la NASA (pas de détails côté gouvernement). Entre : vingt pirates présumés chinois aurait attaqué et piraté des sites dinformation américains sensibles, notamment des centres militaires et la NASA (pas de détails côté gouvernement). Avril 2007: Cyber-attaque sans précédent par des pirates russes contres les sites gouvernementaux estoniens. Avril 2007: Cyber-attaque sans précédent par des pirates russes contres les sites gouvernementaux estoniens. Résultat: paralysie totale des sites gouvernementaux et administratifs pour déni de service. 23

24 Le Figaro: Le Figaro: Juin 2007: larmée chinoise attaque le Pentagone provoquant une perturbation totale de son système dinformation et de communication. Juin 2007: larmée chinoise attaque le Pentagone provoquant une perturbation totale de son système dinformation et de communication. Der Spiegel: Der Spiegel: 2007: Le gouvernement allemand a été aussi victime dun cyber espionnage à cause des chevaux de Troie chinois. 2007: Le gouvernement allemand a été aussi victime dun cyber espionnage à cause des chevaux de Troie chinois. Le Monde (sept.2007) Le Monde (sept.2007) Attaque contre des sites de ladministration française par des virus (dommages importants selon des sources non officielles) Attaque contre des sites de ladministration française par des virus (dommages importants selon des sources non officielles) 24

25 DONC Tant quil y a contact avec lextérieur, il y a risque dattaques Tant quil y a contact avec lextérieur, il y a risque dattaques Il y a dans le monde près de pirates doués qui travaillent jours et nuits pour provoquer tout genre de dommages aux systèmes informatiques du monde Il y a dans le monde près de pirates doués qui travaillent jours et nuits pour provoquer tout genre de dommages aux systèmes informatiques du monde Certains pirates travaillent comme des mercenaires et sont capables de tout faire Certains pirates travaillent comme des mercenaires et sont capables de tout faire 25

26 Il existe sur le marché mondial des kits de piratage très performants pour 700$ au plus. Il existe sur le marché mondial des kits de piratage très performants pour 700$ au plus. Lidentité numérique est menacée au même titre que les systèmes informatiques dans lesquels elle gite. 26

27 Les mesures de protection Un cadre législatif et règlementaire imposant des mesures de sécurité technique: Un cadre législatif et règlementaire imposant des mesures de sécurité technique: Loi du 03 février 2004, relative à la sécurité informatique Loi du 03 février 2004, relative à la sécurité informatique (elle a instauré laudit obligatoire de tous les organismes publics, sauf les ministères de la défense et de lintérieur, une fois au moins tous les douze mois) 27

28 Décret n° du 25/05/2004, fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et à sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit. Décret n° du 25/05/2004, fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et à sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit. Circulaire n° , relative au renforcement des mesures de sécurité informatique dans les établissements publics. Circulaire n° , relative au renforcement des mesures de sécurité informatique dans les établissements publics. 28

29 Des garanties pénales: Des garanties pénales: La loi n° du 2 août 1999 modifiant et complétant certaines dispositions du code pénal (notamment les articles 172 et 199 bis): La loi n° du 2 août 1999 modifiant et complétant certaines dispositions du code pénal (notamment les articles 172 et 199 bis): Le législateur a prévu des sanctions à légard de celui qui : Le législateur a prévu des sanctions à légard de celui qui : Altère ou détruit le fonctionnement de données existantes dans un système de traitement automatisé de données. Altère ou détruit le fonctionnement de données existantes dans un système de traitement automatisé de données. Introduit une modification de quelque nature quelle soit sur le contenu des documents informatisés ou électroniques… ». Introduit une modification de quelque nature quelle soit sur le contenu des documents informatisés ou électroniques… ». 29

30 Mais… Les garanties pénales ne sont pas dissuasives à légard des auditeurs: Les garanties pénales ne sont pas dissuasives à légard des auditeurs: Larticle 9 de la loi du 03 février 2004, prévoit lapplication de larticle 254 du code pénal en cas de divulgation dun secret par les agent effectuant laudit obligatoire (sanction: six mois demprisonnement et 120 dinars damende) Larticle 9 de la loi du 03 février 2004, prévoit lapplication de larticle 254 du code pénal en cas de divulgation dun secret par les agent effectuant laudit obligatoire (sanction: six mois demprisonnement et 120 dinars damende) (En France: art du Code pénal: un an demprisonnement et damende) Il y a donc risque de social engineering 30

31 Les problèmes juridiques 31

32 Il sagit des problèmes relatifs aux garanties juridiques mises en places afin dassurer une protection de lidentité numérique dans le cadre de ladministration électronique 32

33 Lapport de la loi de Létablissement dune Instance nationale de protection des données personnelles - Deux régimes de protection des données personnelles: Un régime général Un régime général Un régime spécial Un régime spécial 33

34 Le régime général Article 1 er à 52 Article 1 er à 52 Applicable aux organismes privés de traitement de données personnelles Applicable aux organismes privés de traitement de données personnelles Établit des garanties pour assurer la protection des données personnelles. Établit des garanties pour assurer la protection des données personnelles. 34

35 Les garanties établies par le régime général Linterdiction de traitement de certains types de données (ex. : art.13) ; Linterdiction de traitement de certains types de données (ex. : art.13) ; Soumission de principe des opérations de traitement de données à une déclaration préalable (ex. : art 7) ; Soumission de principe des opérations de traitement de données à une déclaration préalable (ex. : art 7) ; Soumission exceptionnelle de certains types de traitement à une autorisation préalable (ex. : articles 15, 24, 28, 46, 47, 49, 52…etc.) ; Soumission exceptionnelle de certains types de traitement à une autorisation préalable (ex. : articles 15, 24, 28, 46, 47, 49, 52…etc.) ; Exigence du consentement de la personne concernée lors du traitement des données (art. 27) ; Exigence du consentement de la personne concernée lors du traitement des données (art. 27) ; Droit daccès, dinformation, dopposition et de rectification aux personnes concernées par le traitement des données (art. 32…)…etc. Droit daccès, dinformation, dopposition et de rectification aux personnes concernées par le traitement des données (art. 32…)…etc. 35

36 Le régime spécial Article 53 et suivants Article 53 et suivants Applicable aux organismes publics: Applicable aux organismes publics: Les autorités publiques, Les autorités publiques, Les collectivités locales, Les collectivités locales, Les établissements publics à caractère administratif, « dans le cadre de la sécurité publique ou de la défense nationale ou pour procéder aux poursuites pénales, ou lorsque ledit traitement s'avère nécessaire a l'exécution de leurs missions conformément aux lois en vigueur ». Les établissements publics à caractère administratif, « dans le cadre de la sécurité publique ou de la défense nationale ou pour procéder aux poursuites pénales, ou lorsque ledit traitement s'avère nécessaire a l'exécution de leurs missions conformément aux lois en vigueur ». 36

37 Le deuxième paragraphe a ajouté deux autres catégories de personnes : Le deuxième paragraphe a ajouté deux autres catégories de personnes : Les établissements publics de santé, Les établissements publics de santé, Les établissements publics « dans le cadre des missions qu'ils assurent en disposant des prérogatives de la puissance publique ». Les établissements publics « dans le cadre des missions qu'ils assurent en disposant des prérogatives de la puissance publique ». 37

38 Dans quel cadre ? Sécurité publique Sécurité publique Défense nationale Défense nationale Poursuite pénale Poursuite pénale Lorsque le traitement est nécessaire pour lexécution de leur mission Lorsque le traitement est nécessaire pour lexécution de leur mission 38

39 Mais… Larticle 54 exonère ladministration de toutes les contraintes relatives aux garanties de traitement des données personnelles. 39

40 Il est donc possible pour ladministration de: Traiter les données interdites par les articles 13 et 14, Traiter les données interdites par les articles 13 et 14, Traiter les données personnelles sans lautorisation de lInstance nationale de protection des données personnelles (ANPDP) et sans déclaration préalable, Traiter les données personnelles sans lautorisation de lInstance nationale de protection des données personnelles (ANPDP) et sans déclaration préalable, Traiter tout genre de données sans le consentement de la personne concernée et sans droit dopposition Traiter tout genre de données sans le consentement de la personne concernée et sans droit dopposition Traiter des informations concernant des enfants sans avoir besoin de lautorisation du juge de la famille Traiter des informations concernant des enfants sans avoir besoin de lautorisation du juge de la famille 40

41 Possibilité de dépasser la durée de traitement nécessaire pour la réalisation du but du traitement, Possibilité de dépasser la durée de traitement nécessaire pour la réalisation du but du traitement, Utiliser la vidéosurveillance sans le consentement de la personne concernée et sans autorisation préalable de lInstance, dans tout endroit, sans informer le public, avec la possibilité de communiquer les enregistrement sans restriction et sans être obligée de les détruire. Utiliser la vidéosurveillance sans le consentement de la personne concernée et sans autorisation préalable de lInstance, dans tout endroit, sans informer le public, avec la possibilité de communiquer les enregistrement sans restriction et sans être obligée de les détruire. 41

42 Donc Il sagit dune franchise totale en faveur de ladministration qui risque de porter atteinte à lidentité numérique 42

43 Or, les garanties juridiques ne sont pas toujours suffisantes Risques de bavures Ex. La CNIL a rapporté en 2003 quun requérant sest vu refuser un stage dans une juridiction parce quil était signalé dans le STIC (Système de Traitement des Infractions Constatées) comme « mis en cause » dans une affaire de vol de cyclomoteur. Alors quon aurait dû supprimer ces informations du système. 43

44 Doù la question sur le droit à loubli 44

45 Lidentité numérique dépend étroitement de son environnement il est impératif de revoir le cadre juridique relatif au traitement des données personnelles par ladministration électronique 45

46 Merci pour votre attention 46

47 Présentée par Présentée par M. Chemseddine Ethani BARNAT Enseignant Faculté des Sciences Economiques et de Gestion de Nabeul Tunis, 14 avril


Télécharger ppt "Présentée par Présentée par M. Chemseddine Ethani BARNAT Enseignant Faculté des Sciences Economiques et de Gestion de Nabeul"

Présentations similaires


Annonces Google