La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

JRES 2011 - 1 FÉDÉRATION D'IDENTITÉS ET PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Béatrice CASTETBON - UNIVERSITÉ DE PAU ET DES PAYS DE L’ADOUR CORRESPONDANT.

Présentations similaires


Présentation au sujet: "JRES 2011 - 1 FÉDÉRATION D'IDENTITÉS ET PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Béatrice CASTETBON - UNIVERSITÉ DE PAU ET DES PAYS DE L’ADOUR CORRESPONDANT."— Transcription de la présentation:

1 JRES 2011 - 1 FÉDÉRATION D'IDENTITÉS ET PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Béatrice CASTETBON - UNIVERSITÉ DE PAU ET DES PAYS DE L’ADOUR CORRESPONDANT INFORMATIQUE ET LIBERTÉS beatrice.castetbon@univ-pau.fr Mehdi Hached – GIP RENATER Mehdi.hached@renater.fr

2 JRES 2011 - 2 PLAN La fédération d'identités Les données à caractère personnel Les obligations Le développement de la fédération d'identités à l'international Des outils pour accompagner les établissements Conclusion

3 JRES 2011 - 3 LA FÉDÉRATION ÉDUCATION-RECHERCHE UN CERCLE DE CONFIANCE 3 types d'acteurs : Opérateur de la fédération (GIP RENATER) Fournisseur de service Fournisseur d'identités Chacun des fournisseurs signe une charte unilatérale avec le GIP RENATER Chartes = engagements administratif et technique Obligations liées au respect de la Loi Informatique et Libertés

4 JRES 2011 - 4 Fédération Éducation- Recherche Le fonctionnement Id P Université X Id P EPST X Id P École X SPSP Ressource documentaire SPSP Outil collaboratif SPSP Accès Wi-Fi nomade

5 JRES 2011 - 5 FONCTIONNEMENT DE LA FÉDÉRATION D'IDENTITÉS IdP SP Identifiant de session + Ensemble d'attributs Identifiant de session SAML2 nameID Non corrélé avec le Login de l'utilisateur Volatile, opaque, stocké dans les log côté IdP et SP Login et nameID associés dans les logs côté IdP

6 JRES 2011 - 6 QU'EST-CE QU'UNE DONNÉE À CARACTÈRE PERSONNEL ? Toute information ou ensemble d'informations permettant d'identifier de manière directe ou indirecte une personne physique ; Le nameID est donc une donnée à caractère personnel = DCP

7 JRES 2011 - 7 FÉDÉRATION D'IDENTITÉS ET DCP Tout service mis en œuvre au travers de la fédération est un traitement de données à caractère personnel ; Le fournisseur d'identités et le fournisseur de service doivent se mettre en conformité avec la loi informatique et libertés ; Responsable de traitement = Le président de l'Université ou le directeur de l'établissement.

8 JRES 2011 - 8 LES OBLIGATIONS 5 PRINCIPES FONDAMENTAUX FINALITÉ PERTINENCE DURÉE CONSERVATION SÉCURITÉ DROIT DES PERSONNES FORMALITÉSPROTECTION DONNÉES PERSONNELLES LEVÉE ANONYMAT LOI INFORMATIQUE ET LIBERTÉS

9 JRES 2011 - 9 PRINCIPE N° 5 : L'OBLIGATION D'INFORMATION PRÉALABLE Le fournisseur d'identités / service doivent porter à la connaissance de l'utilisateur : L'identité du responsable de traitement ; La finalité ; Les destinataires ou catégories de destinataires ; Les modalités d'exercice du droit d'accès ; Les transferts de données hors communauté européenne. Comment respecter ce principe ? Dossier d'inscription ou lors de la prise de fonction ; Briques de fédération spécifique d'informations. FORMALITÉSPROTECTION DONNÉES PERSONNELLES LEVÉE ANONYMAT

10 JRES 2011 - 10 LES OBLIGATIONS PROTECTION DONNÉES PERSONNELLES LEVÉE ANONYMAT FORMALITÉS OUI NON REGISTRE DES TRAITEMENTS DES L'ÉTABLISSEMENT CNIL MESR + MEN + CNIL RÉVISION ARU-003 ENGAGEMENT DE CONFORMITÉ EN COURS SITUATIONACTUELLE À TERME, REMPLACÉ PAR

11 JRES 2011 - 11 LES OBLIGATIONS PROTECTION DONNÉES PERSONNELLES LEVÉE ANONYMAT FORMALITÉS FOURNISSEUR D'IDENTITÉS FOURNISSEUR DE SERVICE NameID + attributs opaques Levée d'anonymat ? Sauf requête judiciaire

12 JRES 2011 - 12 DÉVELOPPEMENT À L'INTERNATIONAL Besoin croissant de coopération à l'international ; Interconnexion des infrastructures en cours pour des besoins d'échanges extra-nationaux ; Certaines ressources ou infrastructures de fédération d'identités sont situées dans des pays n'assurant pas un niveau de protection adéquat.

13 JRES 2011 - 13 DÉVELOPPEMENT À L'INTERNATIONAL - FORMALITÉS PARTICULIÈRES ? Signature de la charte RENATER par le fournisseur de service situé dans un pays ne disposant pas d'un niveau de protection des données personnelles adéquat. → Exception listée à l'alinéa 6 de l'article 69. CETTE POSITION EST SOUMISE À L'AVIS DE LA PRÉSIDENCE DE LA CNIL.

14 JRES 2011 - 14 DES OUTILS POUR ACCOMPAGNER LES ÉTABLISSEMENTS GUIDE DE BONNES PRATIQUES CADRE TECHNIQUE DOCUMENTATIO N BRIQUES TECHNIQUES GUIDE Informatique & Libertés ESR - FICHE 10

15 JRES 2011 - 15 RÉCAPITULATIF SIGNATURE CHARTE RENATER ; LIMITATION STRICTE DES ATTRIBUTS ; INSCRIPTION DU TRAITEMENT AU REGISTRE ÉTABLISSEMENT / CNIL → À TERME, ENGAGEMENT CONFORMITÉ ARU-003 ; INFORMATION PRÉALABLE. ACTIONS À RÉALISER PAR L'IdP ET PAR LE SP :

16 JRES 2011 - 16 CONCLUSION L'utilisateur est au cœur du système. Son identité numérique est préservée. Le développement de la fédération à l'international devrait être grandement facilité. Les formalités devraient se résumer à la signature de la charte RENATER pour les fournisseurs de service.

17 JRES 2011 - 17 QUESTIONS ? EN VOUS REMERCIANT DE VOTRE ATTENTION


Télécharger ppt "JRES 2011 - 1 FÉDÉRATION D'IDENTITÉS ET PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Béatrice CASTETBON - UNIVERSITÉ DE PAU ET DES PAYS DE L’ADOUR CORRESPONDANT."

Présentations similaires


Annonces Google