LA GESTION DE LA PROTECTION DES DONNEES PERSONNELLES

LA GESTION DE LA PROTECTION DES DONNEES PERSONNELLES

Définitions

La notion de vie privée d’un individu (ainsi que la question de sa protection) est apparue et a évolué dans les sociétés occidentales parallèlement à l’émergence de l’ensemble des libertés individuelles. La Magna Carta, la Glorieuse Révolution britannique, les textes des Lumières, la Déclaration d’Indépendance des Etats-Unis d’Amérique ou la Déclaration des Droits de l’Homme et du Citoyen sont quelques une des étapes historiques témoignant de l’importance croissante donnée à l’individu dans la société. On y voir poindre les délicats équilibres et points de compromis qui existent entre les libertés individuelles et le bien collectif. La gestion de ces équilibres occupe toujours une place prépondérante dans l’organisation de la chose publique des nations policées. Parmi ces libertés individuelles, le droit à la vie privée et à sa protection apparait historiquement assez tôt, mais uniquement dans son principe. L’apparition de la photographie, notamment, sera à la source d’études fondatrices comme l’article « the right of privacy » de Samuel D.Warren et Louis D. Brandeis, posant en 1890 les fondements du droit des individus à protéger leur image et, de manière plus générale, leur vie privée [1].

La délimitation du droit à la vie privée (et à sa protection) n’est pas un problème trivial, car cette notion dépend de la culture, de l’histoire locale et des sensibilités individuelles. La conscience collective d’un besoin de protection de la vie privée peut notamment être influencée par la mise au grand jour de failles significatives dans cette dernière. L’avènement de l’ère numérique, dans le dernier quart du vingtième siècle, a déclenché de nouvelles réflexions sur le sujet, les nouveaux outils introduisant de nouveaux risques. De la même manière que la photographie a permis la propagation des images, Internet et les applications distribuées d’une manière générale permettent le partage, la duplication, le traitement automatisé de nombreux types d’informations. Le public prend assez rapidement conscience des possibilités offertes par les nouveaux développements techniques mais également des risques parallèlement encourus par leurs données personnelles. Néanmoins, il reste un fossé entre le droit formellement exprimé, son application plus ou moins stricte par les acteurs du monde informatique et sa compréhension par les usagers, souvent rebutés par la forme des textes.

Les exemples du commerce électroniques (auxquels nous nous intéressons) et des réseaux sociaux, sont des applications emblématiques associées à deux phases d’expansion du réseau internet, permettent d’illustrer ces difficultés. Dans le premier cas, l’utilisateur est forcé, pour acquérir un produit ou un service, de transmettre des informations personnelles et potentiellement sensibles, comme son adresse ou son numéro de carte de crédit au fournisseur de service (SP). Dans les réseaux sociaux, les utilisateurs sont incités, afin de profiter au mieux de l’environnement personnalisé, à dévoiler énormément d’informations sur eux-mêmes, sans toujours mesurer le risque associé.

Les notions liées à la vie privée peuvent difficilement être définies sans s’intéresser aux différentes significations du terme privacy en anglais. En effet, si l’on peut le faire correspondre en français à la notion assez générale de « caractère privé » d’une chose, ce mot semble être considéré comme recouvrant un certain nombre de concepts liés. Suivant leur culture et leur point de vue, les auteurs les plus consciencieux prennent soin de préciser ce que désigne pour eux le terme privacy, sans l’utiliser indifféremment pour le droit à la vie privée (right of privacy) ou la protection de la vie privée (privacy protection). Nous considérerons ici le terme privacy comme une traduction imparfaite de l’expression « vie privée », autorisant à définir des termes dérivés. Par la suite nous donnons les définitions de base introduites par [2] sur lesquelles nous nous somme basé dans ce travail. La mention du concept de vie privée éveille chez tout un chacun un ensemble de problématiques liées à notre vie quotidienne ou à notre perception de procédés techniques ou liées à un certain contexte professionnel. Ainsi, la capacité à cacher un certain nombre de choses sur soi au public en général, à des collègues, à des connaissances, relève nécessairement de notre droit à la vie privée. La notion de surveillance des activités d’un individu, l’enregistrement ou le traitement d’informations le concernant, le fait d’entrer en communication avec lui sur la base des résultats d’un tel traitement sont autant d’actions en lien étroit avec la notion de vie privée ou de sphère privée. Le concept semble donc composite et par conséquent difficile à cerner. Néanmoins, certains auteurs ont proposé des définitions très restreintes dont on peut se demander si elles correspondent vraiment à cette vision naïve et intuitive de la vie privée.

La loi française 78-17 « Informatique et Libertés »

La spécificité des risques induits par les traitements automatisés des informations (et notamment ceux mis en œuvre par les administrations publiques), a motivé la création d’une nouvelle loi en 1978. La France est alors le premier pays européen à inclure dans son droit national des dispositions spécifiques concernant les traitements informatiques de données personnelles. La loi 78-17 du 6 janvier 1978 [4], « relative à l’informatique, aux fichiers et aux libertés » (dite loi « Informatique et Libertés ») parle de traitements automatisés sur des données nominatives. Ce texte pose des principes qui sont depuis rentrés dans la culture française, de par les mentions légales apparaissant systématiquement dans les formulaires de collecte de données. Les données nominatives sont définies comme celles pouvant être rattachées à une personne physique, de manière directe ou indirecte. Cette précision permet d’englober les données pouvant être liées à une personne après recoupement avec d’autres informations. Le responsable d’un traitement automatisé ou d’une base de données contenant ce type d’informations ne les possède pas, mais est responsable de leur sécurité. Le texte introduit l’obligation fondamentale d’informer l’intéressé sur divers points concernant le traitement et de recueillir son consentement (sauf dans certains cas particuliers prévus par la loi, comme par exemple l’accomplissement d’une mission de service public). L’intéressé jouit également d’un droit d’accès et de rectification des données collectées, exerçable auprès du responsable du traitement. La loi impose une limitation sur la durée de conservation des données. Celles-ci devront en effet être détruites une fois qu’elles ne sont plus nécessaires au traitement.

La loi française 2004-801

La loi française numéro 2004-801 « relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel » [5] a pour principal objectif de modifier la loi 78-17 déjà existante, pour la mettre en conformité avec les directives européennes de 1995 et 2002. Cette loi entérine le terme d’informations personnelles en remplacement des informations nominatives. La notion de justification de la collecte et du traitement (principe de collecte minimale) est transposée dans le texte français en utilisant les termes de la directive de 1995. Le texte de loi consolidé modifie également les pouvoirs de la CNIL. En particulier, l’étendue de la déclaration préalable est largement diminuée, et la commission dispose d’un rôle de contrôle plus important, assorti d’un pouvoir de sanction. La principale contribution de cette loi aux principes généraux de la protection des données à caractère personnel dans le cadre des traitements automatisés consiste en l’introduction dans la loi française de la notion de justification. Pour le reste, elle reformule la loi existante pour l’harmoniser avec la directive européenne. Enfin, en accord avec les directives européennes de 1995 et 2002, sept principes de protection des données personnelles ont été introduites par différents travaux.

Table des matières

INTRODUCTION GENERALE
1.INTODUCTION
1.1. Définitions
Définition 1.1
Définition 1.2
Définition 1.3
Définition 1.4
2.LA GESTION DE LA PROTECTION DES DONNEES PERSONNELLES COLLECTE ET STOCKEES PAR LES SPS
2.1. Les données personnelles collectées
2.2. L’usage des données
2.3. Durée de conservation des données
2.4. Protection des données
3.ASPECTS LEGAUX DU DROIT A LA SPHERE PRIVEE
3.1. La loi française 78-17 « Informatique et Libertés »
3.2. La loi française 2004-801
4.LES 7 PRINCIPES CLES DE LA PROTECTION DES DONNEES PERSONNELLES
4.1. Le principe de finalité
4.2. Le principe de proportionnalité
4.3. Le principe de pertinence des données
4.4. Le principe de durée limitée de conservation des données
4.5 .Le principe de sécurité et de confidentialité
4.6. Le principe de transparence
4.7. Le principe du respect du droit des personnes
4.7.1. Informer les intéressés
4.7.2 .Les droits d’accès et de rectification
4.7.3. Le droit d’opposition
5.TECHNOLOGIES DE PROTECTION DES DONNEES PERSONNELLES
5.1. Platform for Privacy Preferences
5.2. Sticky policies (politiques collantes)
5.3. Gestion déportée des données sensibles
5.4. Agents utilisateurs
CONCLUSION
1.INTRODUCTION
2.LANGAGES DE PROTECTION DES DONNEES PERSONNELLES EXISTANTS
2.1. Platform for Preferences Privacy P3P
2.2. Langages APPEL et XPref
3.INFRASTRUCTURES DE CONTROLE D’ACCES
3.1. Définition
3.2. Modèles de contrôle d’accès
3.3. Modèles de contrôle d’accès sensibles à la protection des données
4.EXTENSIBLE PRIVACY ACCESS CONTROL MARKUP LANGUAGE (XPACML)
4.1. Introduction
4.2. Principes du langage XPACML
4.3. Architecture de contrôle d’accès XPACML
CONCLUSION
INTRODUCTION
LES QUATRES PRINCIPAUX STANDARDS DU WEB SEMANTIQUE QU’EST CE QU’UNE ONTOLOGIE
Définition 1
Définition 2
POUR QUELLES RAISONS DEVELOPPER UNE ONTOLOGIE NOTRE TRAVAIL
5.1. Choix des éditeurs et de langage de programmation
5.2. Création de l’ontologie
5.3. Conception de système
CONCLUSION
CONCLUSION GENERALE ET PERSPECTIVES
REFERENCES BIBLIOGRAPHIQUES

Télécharger le rapport complet