JRES FÉDÉRATION D'IDENTITÉS ET PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Béatrice CASTETBON - UNIVERSITÉ DE PAU ET DES PAYS DE L’ADOUR CORRESPONDANT INFORMATIQUE ET LIBERTÉS Mehdi Hached – GIP RENATER

JRES PLAN La fédération d'identités Les données à caractère personnel Les obligations Le développement de la fédération d'identités à l'international Des outils pour accompagner les établissements Conclusion

JRES LA FÉDÉRATION ÉDUCATION-RECHERCHE UN CERCLE DE CONFIANCE 3 types d'acteurs : Opérateur de la fédération (GIP RENATER) Fournisseur de service Fournisseur d'identités Chacun des fournisseurs signe une charte unilatérale avec le GIP RENATER Chartes = engagements administratif et technique Obligations liées au respect de la Loi Informatique et Libertés

JRES Fédération Éducation- Recherche Le fonctionnement Id P Université X Id P EPST X Id P École X SPSP Ressource documentaire SPSP Outil collaboratif SPSP Accès Wi-Fi nomade

JRES FONCTIONNEMENT DE LA FÉDÉRATION D'IDENTITÉS IdP SP Identifiant de session + Ensemble d'attributs Identifiant de session SAML2 nameID Non corrélé avec le Login de l'utilisateur Volatile, opaque, stocké dans les log côté IdP et SP Login et nameID associés dans les logs côté IdP

JRES QU'EST-CE QU'UNE DONNÉE À CARACTÈRE PERSONNEL ? Toute information ou ensemble d'informations permettant d'identifier de manière directe ou indirecte une personne physique ; Le nameID est donc une donnée à caractère personnel = DCP

JRES FÉDÉRATION D'IDENTITÉS ET DCP Tout service mis en œuvre au travers de la fédération est un traitement de données à caractère personnel ; Le fournisseur d'identités et le fournisseur de service doivent se mettre en conformité avec la loi informatique et libertés ; Responsable de traitement = Le président de l'Université ou le directeur de l'établissement.

JRES LES OBLIGATIONS 5 PRINCIPES FONDAMENTAUX FINALITÉ PERTINENCE DURÉE CONSERVATION SÉCURITÉ DROIT DES PERSONNES FORMALITÉSPROTECTION DONNÉES PERSONNELLES LEVÉE ANONYMAT LOI INFORMATIQUE ET LIBERTÉS

JRES PRINCIPE N° 5 : L'OBLIGATION D'INFORMATION PRÉALABLE Le fournisseur d'identités / service doivent porter à la connaissance de l'utilisateur : L'identité du responsable de traitement ; La finalité ; Les destinataires ou catégories de destinataires ; Les modalités d'exercice du droit d'accès ; Les transferts de données hors communauté européenne. Comment respecter ce principe ? Dossier d'inscription ou lors de la prise de fonction ; Briques de fédération spécifique d'informations. FORMALITÉSPROTECTION DONNÉES PERSONNELLES LEVÉE ANONYMAT

JRES LES OBLIGATIONS PROTECTION DONNÉES PERSONNELLES LEVÉE ANONYMAT FORMALITÉS OUI NON REGISTRE DES TRAITEMENTS DES L'ÉTABLISSEMENT CNIL MESR + MEN + CNIL RÉVISION ARU-003 ENGAGEMENT DE CONFORMITÉ EN COURS SITUATIONACTUELLE À TERME, REMPLACÉ PAR

JRES LES OBLIGATIONS PROTECTION DONNÉES PERSONNELLES LEVÉE ANONYMAT FORMALITÉS FOURNISSEUR D'IDENTITÉS FOURNISSEUR DE SERVICE NameID + attributs opaques Levée d'anonymat ? Sauf requête judiciaire

JRES DÉVELOPPEMENT À L'INTERNATIONAL Besoin croissant de coopération à l'international ; Interconnexion des infrastructures en cours pour des besoins d'échanges extra-nationaux ; Certaines ressources ou infrastructures de fédération d'identités sont situées dans des pays n'assurant pas un niveau de protection adéquat.

JRES DÉVELOPPEMENT À L'INTERNATIONAL - FORMALITÉS PARTICULIÈRES ? Signature de la charte RENATER par le fournisseur de service situé dans un pays ne disposant pas d'un niveau de protection des données personnelles adéquat. → Exception listée à l'alinéa 6 de l'article 69. CETTE POSITION EST SOUMISE À L'AVIS DE LA PRÉSIDENCE DE LA CNIL.

JRES DES OUTILS POUR ACCOMPAGNER LES ÉTABLISSEMENTS GUIDE DE BONNES PRATIQUES CADRE TECHNIQUE DOCUMENTATIO N BRIQUES TECHNIQUES GUIDE Informatique & Libertés ESR - FICHE 10

JRES RÉCAPITULATIF SIGNATURE CHARTE RENATER ; LIMITATION STRICTE DES ATTRIBUTS ; INSCRIPTION DU TRAITEMENT AU REGISTRE ÉTABLISSEMENT / CNIL → À TERME, ENGAGEMENT CONFORMITÉ ARU-003 ; INFORMATION PRÉALABLE. ACTIONS À RÉALISER PAR L'IdP ET PAR LE SP :

JRES CONCLUSION L'utilisateur est au cœur du système. Son identité numérique est préservée. Le développement de la fédération à l'international devrait être grandement facilité. Les formalités devraient se résumer à la signature de la charte RENATER pour les fournisseurs de service.

JRES QUESTIONS ? EN VOUS REMERCIANT DE VOTRE ATTENTION