Vie privée et sécurité La recherche en droit à UT1C

Slides:



Advertisements
Présentations similaires
COMMISSION DEPARTEMENTALE DE LA COOPERATION INTERCOMMUNALE DE LA COOPERATION INTERCOMMUNALE DE LA GIRONDE Le 29 avril 2011.
Advertisements

Intégration et usages innovants de la vidéo dans les pratiques pédagogiques en Economie et Gestion. Réunion du 11 mars 2016 – Usages numériques et TRAAM.
Quelques principes du Droit de la consommation
Comité technique du 30/03/2012 Point d'étape sur l'assistance de la DISI Ouest.
Université Cergy Pontoise Master projets européens 30 septembre 2009 Cadre national Cadrage du PO FSE Les différents.
Cluster expérimental « De la prévention des risques professionnels au bien-être au travail et à la qualité de vie au travail » dans les établissements.
Équipe technique PDALHPD 20 mai 2016 Décret du
«Une majorité silencieuse» Président John F. Kennedy.
LE PROJET D’ECOLE Information à destination des directeurs d’école
Les droits et responsabilités dans l’e-santé Jean-Marc Van Gyseghem
Arnaud David Juriste Senior - Microsoft
Noms prénoms des élèves du groupe
BTS Comptabilité et Gestion
Transparence économique et financière des organisations et Compte d’emploi des ressources Formation transparence économique et financière et CER.
Les Lois récentes. SALMON & Associés
Combien de PIX avez-vous ?
GDPR : QUELS DROITS POUR LES PERSONNES ?
Le secret professionnel : un reflet de la société
LE NOUVEAU DNB JUIN 2017.
2ème partie – mise en oeuvre
EXERCICE N°1 TRAITE PAR LE GROUPE 3.
OPEN DATA ET PROTECTION DES DONNÉES PERSONNELLES :
INRODUCTION a la comptabilité générale
Tableau de bord des risques
Le Règlement européen sur la protection des données personnelles
Études post-bac et mathématiques
SIAAP ACHERES CLIC du 09/02/2012
Épreuve E5 Diagnostic opérationnel et proposition de solutions
Institut Universitaire Virtuel de Formation des Maîtres
Processus « Contrôler les subventions réglementaires» Harmonisation et simplification administrative – 11 mai CSS.
Commerce électronique Elbekri Sarra Hamdi Amel Zriba Mariam
Ordonnances du 22 septembre 2017
Contrôle et contentieux
données personnelles La protection des
Règlement général sur la protection des données
2 REFORME DU COLLEGE Application rentrée 2016
Le travail sur la législation phytosanitaire
Etude d’impact et d’opportunité dans la mise en place d’une Blockchain
Qu’est ce qu’un Système foncier?
Programme financé par l’Union européenne
Le développement durable dans la Loi minière au Brésil: les aspects environnementaux actuels, le nouveau cadre réglementaire et les défis pour la croissance.
Présentation de suderiane
Présentation des nouveaux programmes de Technologie Mai 2008
L’évolution des droits et moyens syndicaux dans la fonction publique
L’encadrement juridique du libre accès aux thèses en droit
Agence Nationale de Sécurité des Systèmes d’Information (ANSSI)
Critères de sélection des projets Grand Emprunt Action 1 - Campus d’excellence (Source PLFR 2010) un potentiel scientifique élevé, créant de la visibilité.
LE SECRET MEDICAL.
Délégation départemental de la Dordogne
Le nouveau règlement sur la vie privée
Le modèle français en matière d’inspection
Centre de Recherches Informatique et Droit (CRID)
Le conventionnement: D’une obligation à une réelle démarche politique
Théorie générale de la nationalité
Réforme du Lycée
STMG Au lycée Camille Corot MORESTEL
Groupe de travail « Gestion des données de l’université »
La dématérialisation des marchés publics
Module 2 : désignation du CIL
LE RGPD ET LES DROITS A LA PERSONNE - LE DROIT D’ACCES
Economie Droit Management
Conseiller de l’information et de la communication au Maghreb
INTRODUCTION Le RGPD est le règlement général de la protection des données personnelles. il s’agit selon l’article 4 alinéa 1 du RGPD de toute information.
Gouvernance de la technologie de l’information (IT)
Dahlia AOUN Yasmine BOUDRARENE
Référentiel DU BACCALAURÉAT PROFESSIONNEL Métiers DE L’ACCUEIL
RAPPORT DU GROUPE 4 Rapporteur: Jacques DOUKA
le nouveau projet de 3e version
Rencontres techniques pour la reconquête du bon état des eaux en Outre-mer DATE: 10,04,2019.
Finances publiques Contrôle de l’exécution du budget
Transcription de la présentation:

Vie privée et sécurité La recherche en droit à UT1C Céline Castets-Renard Professeur, Université Toulouse Capitole Membre de l’Institut Universitaire de France

I. Quelques remarques en droit sur le thème du chantier De nouvelles approches scientifiques : pour concilier les deux principes de sécurité et de respect de la vie privée. Il convient donc de : développer des technologies qui protègent la vie privée sans menacer la sécurité et développer des technologies de sécurité sans impact sur les libertés individuelles. Il convient aussi de confronter les solutions et les pratiques utilisées dans différents domaines d'application, dans un objectif d'enrichissement mutuel.

1. Sécurité informatique et respect de la vie privée : des intérêts convergents Lien sécurité informatique et vie privée : Obligations légales de sécuriser les données personnelles Pseudonymisation, anonymisation Notification des failles de sécurité

1) Obligations légales de sécuriser les données personnelles (loi 78, dir. 95/46/CE, règlement 2016/679/UE) Enjeux : susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques

2) Chiffrement, pseudonymisation, anonymisation Art. 32§1 règlement 2016/679/UE : obligation de sécurité des données Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: a) la pseudonymisation et le chiffrement des données à caractère personnel «pseudonymisation» : définition le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;

3) Notification des failles de sécurité et DP Règlement UE 2016/679 sur la protection des données personnelles. Entrée en vigueur en mai 2018 (art. 31) Art. 33 : obligation de notifier les failles de sécurité à l’autorité de contrôle (CNIL) sauf si pas de risques pour les droits et libertés des personnes physiques. Indique notamment : - nature de la violation - conséquences probables de la violation - mesures prises Art. 34 : notification à la personne concernée si risques élevés d’atteinte à sa vie privée et droits fondamentaux Mêmes informations Mêmes obligations à la charge du sous-traitant

Notification des failles et sécurité des OIV La cybersécurité des opérateurs d’importance vitale (OIV) Loi n° 2013-1168 de programmation militaire promulguée le 19 décembre 2013 : article 22 prévoit l’adoption de mesures de renforcement de la sécurité des opérateurs d’importance vitale (OIV) et confère à l’ANSSI de nouvelles prérogatives : mesures de sécurité et des contrôles de leurs systèmes d’information les plus critiques (SIV). De plus, l’article 22 rend obligatoire la déclaration des incidents constatés par les OIV sur ces systèmes (failles de sécurité) Sécurité informatique : loi Godfrain (art. 323-1 à 323-8 du Code pénal)

2. Des technologies qui protègent la vie privée : menace sur la sécurité ? Controverses sur la cryptologie : Loi n° 90-1170 du 29 décembre 1990 : accès à la cryptologie mais régimes stricts d’autorisation et de déclaration. Obstacle au commerce électronique donc ouverture avec la loi n° 2004°575 dite LCEN du 21 juin 2004 = libéralisation Ex. whatsapp. Atteinte aux intérêts de l’Etat, lutte contre le terrorisme : dans quelle mesure l’Etat contraint les équipementiers et prestataires de services de cryptologie à l’ouverture des données chiffrées ? Coopération ? Back door ? Actions en justice (Etats-Unis), San Bernardino, affaire de drogue Capacité de l’Etat à accéder aux données ? Etat français (ANSSI, DGSI/DGSE), Etats-Unis, NSA et NIST En France, annonce le 22 août 2016 du ministre B. Cazeneuve : le contenu des échanges est illisible pour les enquêteurs. Affaiblir les systèmes de chiffrement ébranle l’ensemble du dispositif

II. Recherche menée en droit et objectifs du chantier L'objectif de ce chantier est : de partager les connaissances et les expertises dans ce domaine, au niveau des besoins, des verrous et des solutions et de réfléchir collectivement sur des pistes de recherche prioritaires et de nouvelles méthodes et techniques pertinentes pour différents domaines d'application. L'objectif est aussi de renforcer les synergies Recherche-Formation- Industrie

1) Données personnelles interdépendantes Tentative de définition Exemples Lacune légale 3 cas de figure Pas de lacune législative Lacune législative pas souhaitable de légiférer (périmètre trop large ou prématuré) Lacune législative et souhaitable de légiférer Travail de Thibault Brunel ancien étudiant du Master 2 Droit et Numérique, UT1C au CNRS LAAS (TSF)

2) Transparence algorithmique Art. 22 : mesures fondées sur le profilage et décisions individuelles 1.   La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. 2.   Exceptions : a) décision nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement; b) décision est autorisée par le droit de l'Union ou le droit de l'État membre c) décision est fondée sur le consentement explicite de la personne concernée. 3.   le responsable du traitement respecte le droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision. Gouvernance des algorithmes / politique des algorithmes Travaux avec INSA et TSE (statisticiens-mathématiciens)

Rendre compte des règles (accountability) LOI n° 2016-1321 du 7 octobre 2016 « Pour une République numérique » dite loi Lemaire Article 4 : Nouvel article L. 311-3-1 du Code des relations entre le public et l’administration : «une décision individuelle prise sur le fondement d'un traitement algorithmique comporte une mention explicite en informant l'intéressé. Les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre sont communiquées par l'administration à l'intéressé s'il en fait la demande. « Les conditions d'application du présent article sont fixées par décret en Conseil d'Etat. »

Transparence de l’administration ART 6 Loi Lemaire « Art. L. 312-1-3.-Sous réserve des secrets protégés en application du 2° de l'article L. 311-5, les administrations mentionnées au premier alinéa de l'article L. 300-2, à l'exception des personnes morales dont le nombre d'agents ou de salariés est inférieur à un seuil fixé par décret, publient en ligne les règles définissant les principaux traitements algorithmiques utilisés dans l'accomplissement de leurs missions lorsqu'ils fondent des décisions individuelles. » Ex. Admission Post Bac ?

Transparence des plateformes Article 49 de la Loi Lemaire I. - Le livre Ier du code de la consommation est ainsi modifié : « Art. L. 111-7. - I. - Est qualifiée d'opérateur de plateforme en ligne toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur : « 1° Le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; « 2° Ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service. « II. - Tout opérateur de plateforme en ligne est tenu de délivrer au consommateur une information loyale, claire et transparente sur : « 1° Les conditions générales d'utilisation du service d'intermédiation qu'il propose et sur les modalités de référencement, de classement et de déréférencement des contenus, des biens ou des services auxquels ce service permet d'accéder (…) Un décret précise les conditions d'application.

Merci de votre attention. celine. castets@ut-capitole. fr www Merci de votre attention ! celine.castets@ut-capitole.fr www.castetsrenard.org Twitter : @CastetsRenard