« Accueil » : différence entre les versions
Aucun résumé des modifications |
mAucun résumé des modifications |
||
| Ligne 3 : | Ligne 3 : | ||
<p>Pour une définition très précise reportez vous à [[wikipedia:fr:Système_d'information]].</p> | <p>Pour une définition très précise reportez vous à [[wikipedia:fr:Système_d'information]].</p> | ||
<p>Quelque soit la taille de l'entreprise, il semble qu'aujourd'hui 100% des entreprises aient créé une dépendance plus ou moins importante en vers leur système d'information. Le S.I. est devenu une composante transversale des biens de l'entreprise et mérite une attention accrue</p> | <p>Quelque soit la taille de l'entreprise, il semble qu'aujourd'hui 100% des entreprises aient créé une dépendance plus ou moins importante en vers leur système d'information. Le S.I. est devenu une composante transversale des biens de l'entreprise et mérite une attention accrue</p> | ||
<p>Imaginez les possibles conséquences pour un médecin qui n'a pas accès au dossier médical d'un patient "compliqué", qu'il doit traité en urgence! ou d'une entreprise de dépannage qui n'a plus accès à | <p>Imaginez les possibles conséquences pour un médecin qui n'a pas accès au dossier médical d'un patient "compliqué", qu'il doit traité en urgence! ou d'une entreprise de dépannage qui n'a plus accès à ses lignes de reception d'appels!</p> | ||
<h4> Data pour données de l'entreprise</h4> | <h4> Data pour données de l'entreprise</h4> | ||
| Ligne 15 : | Ligne 15 : | ||
<h6> Données personnelles:</h6> <p> Toute information qui permet d'être informé sur une personne physique, qu'elle soit interne ou externe à l'entreprise; la loi informatique et liberté (enrichi du RGPD) encadre les droits et devoirs concernant le traitement de ces données.</p> | <h6> Données personnelles:</h6> <p> Toute information qui permet d'être informé sur une personne physique, qu'elle soit interne ou externe à l'entreprise; la loi informatique et liberté (enrichi du RGPD) encadre les droits et devoirs concernant le traitement de ces données.</p> | ||
**Données sensibles: selon la définition du RGPD, elles caractérisent les personnes par leur appartenance: | **Données sensibles (art.9 RGPD) (art.10 RGPD): selon la définition du RGPD, elles caractérisent les personnes par leur appartenance: | ||
*** religieuse, philosophique | *** religieuse, philosophique | ||
*** ethnique, raciale | *** ethnique, raciale | ||
| Ligne 45 : | Ligne 45 : | ||
<h4> Base légale du traitement des données</h4> | <h4> Base légale du traitement des données</h4> | ||
<p>Bien définir la base légale du traitement n'est pas aisé, mais a une incidence sur les droits des personnes concernées.</p> | <p>Bien définir la base légale du traitement n'est pas aisé, mais a une incidence sur les droits des personnes concernées.</p> | ||
*le consentement | *le consentement de la personne concernée | ||
* | *la nécessité contractuelle | ||
*l' | *le respect d'une obligation légale | ||
* | *la sauvegarde d'intérêts vitaux | ||
*l'exécutif d'une mission d'intérêt public | |||
*les intérêts légitimes du responsable de traitement | |||
<h4>Droits des personnes concernées</h4> | <h4>Droits des personnes concernées</h4> | ||
<p>Fonction de la base légale déclarée (peut être redéfinie par un jugement!) les personnes concernées par un traitement de données personnelles peuvent faire valoir leurs droits:</p> | <p>Fonction de la base légale déclarée (peut être redéfinie par un jugement!) les personnes concernées par un traitement de données personnelles peuvent faire valoir leurs droits:</p> | ||
* | *(art.15 RGPD) Droit d'accés | ||
*rectification | *(art.16 RGPD) Droit de rectification | ||
*d'effacement | *(art.17 RGPD) Droit d'effacement | ||
* | *(art.18 RGPD) Droit à la limitation des données | ||
* | *(art.20 RGPD) Droit à la portabilité | ||
* | *(art.21 RGPD) Droit d'opposition | ||
<h4>Responsable des traitements ou Sous-traitant</h4> | <h4>Responsable des traitements ou Sous-traitant</h4> | ||
| Ligne 65 : | Ligne 67 : | ||
<p>Le contrat de sous-traitance doit suivre les règles édictées par la [https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32021D0915&from=FR DÉCISION D’EXÉCUTION (UE) 2021/915 DE LA COMMISSION du 4 juin 2021 relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants...]</p> | <p>Le contrat de sous-traitance doit suivre les règles édictées par la [https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32021D0915&from=FR DÉCISION D’EXÉCUTION (UE) 2021/915 DE LA COMMISSION du 4 juin 2021 relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants...]</p> | ||
==== Territorialité des traitements ==== | |||
Dans EU - libre circulation | |||
Principe interdiction vers "paradis de données" | |||
(art.45 RGPD) reconnaissance d'adéquation: Andorre -Argentine - Suisse -Canada -iles Féroé -ile de Man -Guernesey -Jersey -Israel -Urugay -New zeland -Islande -Liechtenstein -Norvège | |||
Protection contractuelle (art.46 RGPD): Modèle de contrats definie par Commision Europ. | |||
BCR: Binding Corporate Rules) (art.47 RGPD): | |||
Politique interne d'un groupe pour le traitement des données de façon international. Doit etre validé par un Régulateur local (type cnil) et valable dans toute l'UE. | |||
(art.49 RGPD > exception si non répétitif non systématique - défendant intérêt de la personne concernée - sous conditions | |||
LA CNIL° et l'ANSSI°° ont édité des formulaires d'auto-évaluation pour permettre aux entreprises de prendre des mesures de protection et de se conformer à la législation. | LA CNIL° et l'ANSSI°° ont édité des formulaires d'auto-évaluation pour permettre aux entreprises de prendre des mesures de protection et de se conformer à la législation. | ||
°CNIL = Commission nationale de l'informatique et des libertés | °CNIL = Commission nationale de l'informatique et des libertés | ||
°°ANSSI = Agence nationale de la sécurité des systèmes d'information | °°ANSSI = Agence nationale de la sécurité des systèmes d'information | ||
Version du 14 octobre 2021 à 19:12
S.I. pour système d'information
Un S.I. est composé de l'ensemble des instruments informatiques par les quels les données de l'entreprise transitent, sont stockées, archivées ou supprimées.
Pour une définition très précise reportez vous à wikipedia:fr:Système_d'information.
Quelque soit la taille de l'entreprise, il semble qu'aujourd'hui 100% des entreprises aient créé une dépendance plus ou moins importante en vers leur système d'information. Le S.I. est devenu une composante transversale des biens de l'entreprise et mérite une attention accrue
Imaginez les possibles conséquences pour un médecin qui n'a pas accès au dossier médical d'un patient "compliqué", qu'il doit traité en urgence! ou d'une entreprise de dépannage qui n'a plus accès à ses lignes de reception d'appels!
Data pour données de l'entreprise
Biens intangibles de l'entreprise, les Data peuvent être décomposées comme suit:
- Données opérationnelles
- Données commerciales
- Données ressources humaines
- Données comptables: les enregistrements de toutes les pièces comptables dont la conservation est régie par le code des impôts notamment.
- Données stratégiques: ce qui fait la différence entre les entreprises d'un même secteur. À protéger jalousement!
Ces données sont croisées avec une notion importante de la loi informatique et liberté:
Données personnelles:
Toute information qui permet d'être informé sur une personne physique, qu'elle soit interne ou externe à l'entreprise; la loi informatique et liberté (enrichi du RGPD) encadre les droits et devoirs concernant le traitement de ces données.
- Données sensibles (art.9 RGPD) (art.10 RGPD): selon la définition du RGPD, elles caractérisent les personnes par leur appartenance:
- religieuse, philosophique
- ethnique, raciale
- syndicale, politique
- orientation sexuelle
- Santé, biométrique, génétique
- NIR (numéro de sécurité sociale)
- Condamnations pénales & qualifications pénales
- Données sensibles (art.9 RGPD) (art.10 RGPD): selon la définition du RGPD, elles caractérisent les personnes par leur appartenance:
L'utilisation est strictement encadrée (interdite dans une grande majorité des cas).
Le responsable du traitement et ses sous-traitants doivent être en mesure de garantir:
- la confidentialité
- l'intégrité
- la disponibilité
Le traitement des données
peut être décomposé comme suit:
- la collecte des données
- l'utilisation des données
- la conservation des données
- l'archivage des données
- l'anonymisation des données
- l'effacement des données
Finalité du traitement des données
- La notion de minimalisation des données traitées est bien respectée?
- Pourquoi les données sont traitées?
- les durées de conservation sont bien identifiées?
Base légale du traitement des données
Bien définir la base légale du traitement n'est pas aisé, mais a une incidence sur les droits des personnes concernées.
- le consentement de la personne concernée
- la nécessité contractuelle
- le respect d'une obligation légale
- la sauvegarde d'intérêts vitaux
- l'exécutif d'une mission d'intérêt public
- les intérêts légitimes du responsable de traitement
Droits des personnes concernées
Fonction de la base légale déclarée (peut être redéfinie par un jugement!) les personnes concernées par un traitement de données personnelles peuvent faire valoir leurs droits:
- (art.15 RGPD) Droit d'accés
- (art.16 RGPD) Droit de rectification
- (art.17 RGPD) Droit d'effacement
- (art.18 RGPD) Droit à la limitation des données
- (art.20 RGPD) Droit à la portabilité
- (art.21 RGPD) Droit d'opposition
Responsable des traitements ou Sous-traitant
Pas toujours évident de définir le rôle de chacun. Dépend de nombreuses notions, comme celui qui apporte les moyens ou le taux d'indépendance dans les décisions pour la réalisation du traitement.
Par exemple,Un expert comptable peut être soit sous traitants soit responsable du traitement pour un même client.
Le contrat de sous-traitance doit suivre les règles édictées par la DÉCISION D’EXÉCUTION (UE) 2021/915 DE LA COMMISSION du 4 juin 2021 relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants...
Territorialité des traitements
Dans EU - libre circulation
Principe interdiction vers "paradis de données"
(art.45 RGPD) reconnaissance d'adéquation: Andorre -Argentine - Suisse -Canada -iles Féroé -ile de Man -Guernesey -Jersey -Israel -Urugay -New zeland -Islande -Liechtenstein -Norvège
Protection contractuelle (art.46 RGPD): Modèle de contrats definie par Commision Europ.
BCR: Binding Corporate Rules) (art.47 RGPD):
Politique interne d'un groupe pour le traitement des données de façon international. Doit etre validé par un Régulateur local (type cnil) et valable dans toute l'UE.
(art.49 RGPD > exception si non répétitif non systématique - défendant intérêt de la personne concernée - sous conditions
LA CNIL° et l'ANSSI°° ont édité des formulaires d'auto-évaluation pour permettre aux entreprises de prendre des mesures de protection et de se conformer à la législation. °CNIL = Commission nationale de l'informatique et des libertés °°ANSSI = Agence nationale de la sécurité des systèmes d'information