5mn d'Histoire

Dans les précédents épisodes

Ficher les citoyens

Vieux comme l'Église : L'État civil

Richelieu fiche ses opposants

Registres électoraux

1914 : Impôt sur le revenu

1941 : Le fichier René Camille

La base de notre numéro de Sécurité Sociale

1 : Les hommes

2 : Les femmes

3 et 4 pour les indigènes des colonies

5 et 6 pour les juifs des colonies

7 et 8 pour les étrangers

1972 : Le fichier SAFARI

On va croiser le numéro de Sécurité Sociale

- avec les fiches de police

- avec les impôts

- avec les banques

- avec les assurances

...

1978 : Loi n°78-17 du 6 janvier 1978

dite

Loi Informatique & Libertés

« L'informatique doit être au service de chaque citoyen […] Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme ni à la vie privée, ni aux libertés individuelles et publiques »

sera révisée, étendue,...

passera dans le droit Européen en 1995.

Création de la C.N.I.L.

- contrôle et censure les fichiers de l'État

- contrôle et punit les fichiers des entreprises

- instaure un droit du particulier à la rectification

Popularisation d'internet

Nuagique, données privées cédées aveuglément, droit non-EU des services

2001 : Lois antiterroristes

La CNIL n'a qu'un avis consultatif sur les fichiers de l'État

2003, la Californie crée une nouvelle obligation

California data security breach notification law

2015 : Transposé au niveau fédéral

2002, EU : E-Privacy directive
révisée 2009 : « C is for COOKIES »

OUPS

En poursuivant l'écoute de cette conférence, vous acceptez nos CGV et l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts et vous permettre l'utilisation de boutons de partages sociaux. En savoir plus et gérer ces paramètres, demander Simon sur la mailing-list orga@capitoledulibre.org.

2012 : Dépoussiérage par
le Parlement Européen

- Mise à jour en fonction des pratiques

- Tenter de limiter l'ardeur sécuritaire de certains

This is Sparta GRDP *

* General Data Protection Regulation

(mais on va garder l'accronyme fr-FR : RGPD)

Le Grand Défi : Appliquer la RGPD

« Pas mal d'opportunistes incompétents proposent de l'accompagnement RGPD »

Paul-Olivier Gibert, 27 octobre 2017
(Président de l'Association Française des Correspondants à la Protection des Données Personnelles)

Define : donnée personnelle

>- Qu'est-ce qu'une donnée à caractère personnel

>- Qu'est-ce qu'un traitement de donnée à caractère personnel

>- Qu'est-ce qu'un responsable de traitement […]

Et maintenant :
Un quizz !

N'ayez pas peur : d'autres parlent plus du RGPD que nous mais en savent bien moins que vous !

Jusqu'ici, il est impossible de se faire retirer d'une liste de démarchage publicitaire ?

Wii ?… NaN ?… Uhh ?…

Non

Le RGPD n'est pas la Révolution

Jusqu'ici, la CNIL a très peu sévi ?

Wii ?… NaN ?… Uhh ?…

Non

La CNIL a fait avec les moyens qu'elle avait jusque-là.
Le RGPD ne pose pas que des sanctions (pécuniaires ou non),
Mais, d’une manière générale l’objectif du RGPD est l'amélioration continue du respect de la vie privée.

Une adresse IP, une adresse MAC ne sont pas des données à caractère personnel ?

Wii ?… NaN ?… Uhh ?…

Non

Si elles permettent d'identifier. Coucou Hadopi.

Le RGPD est illisible, il est écrit en anglais technocrate de Bruxelles comme les autres règlements européens (!)

Wii ?… NaN ?… Uhh ?…

Non

100 pages, dans un Français plus lisible que du Marc Levy

Le RGPD a-t-il été créé pour que les GAFAM prennent encore plus nos données personnelles ?

Wii ?… NaN ?… Uhh ?…

Non

Mais vous étiez où au début du cours ?

Le RGPD a été écrit par les GAFAM pour empêcher les entreprises européennes d'être compétitives

Wii ?… NaN ?… Uhh ?…

Non

Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Les entreprises américaines sont bien mieux préparées que les entreprises européennes ?

Wii ?… NaN ?… Uhh ?…

Oui

Eux, ils étaient là avant le début du cours

Le Privacy Shield va-t-il rester ?

Wii ?… NaN ?… Uhh ?…

Honnêtement ?

On espère bien que non

Si une entreprise met ses données sur AWS, est-elle en tord avec le/la RGPD ?

Wii ?… NaN ?… Uhh ?…

C'est « Le »

parce que « Règlement »

Non

Ils sont sûrement plus conformes
que le Cloud Souverain™

Si un sous-traitant est en faute, l'entreprise cliente est-elle aussi en faute ?

Wii ?… NaN ?… Uhh ?…

Oui, si vous vous en doutiez

Donc ne sous-traitez pas vos erreurs

Si j'achète un téléphone Chinois pas cher sur Amazon, le constructeur n'est pas soumis au RGPD et peut continuer à récupérer un max de données sur moi ?

Wii ?… NaN ?… Uhh ?…

La réponse Eeeeuuuh

Si notre site est mal conçu ou mal sécurisé, cette fois-ci c'est panpan cul-cul !

Wii ?… NaN ?… Uhh ?…

Non

C'est déjà le cas. Sauf que cette fois-ci, vous aurez une

grosse amende

et même une

très grosse amende

... Une TRÈS TRÈS grosse amende

ou pas

On a 3 jours pour prévenir nos clients que nous avons eu une brèche dans leurs données ‽

Wii ?… NaN ?… Uhh ?…

Non

C'est plus subtil, mais en gros, vous avez l'idée : mieux vaut prévenir que se prendre une mauvaise pub.

Notification à la CNIL sous 72h

Notification aux personnes concernées en cas de risques sur sa vie privée

Si quelqu'un le demande, devons-nous lui envoyer TOUTES les données qu'on a sur lui ? dans un format “utilisable” ?

Wii ?… NaN ?… Uhh ?…

Oui

Mais ce droit à la portabilité se limite aux données fournies par la personne concernée

Et dans le même esprit que la réversibilité

Si j'ouvre un compte bancaire, je pourrais exiger que mon nom n'apparaisse pas dans leur informatique, j'ai donc un compte anonyme ?

Wii ?… NaN ?… Uhh ?…

Non

Bien tenté, Cahuzac.

Un vendeur d'électro-ménager n'est pas obligé d'effacer mon nom, même si je l'exige ?

Wii ?… NaN ?… Uhh ?…

Non

Car l'intérêt du consommateur peut primer : cas d'un rappel pour sécurité

Un DPO, c'est comme un CIL, mais en anglais, l'intitulé de poste sur Linkedin est plus chic (!)

Wii ?… NaN ?… Uhh ?…

Non

3 lettres sur Linkedin, c'est court

Le rôle de DPO est d'être un fusible ?

Wii ?… NaN ?… Uhh ?…

Non

Bien tenté

La CNIL a vraiment dit qu'ils ne feraient pas du zèle dès le 28 Mai ?

Wii ?… NaN ?… Uhh ?…

Oui

... mais ne le dites pas à votre patron comme ça

Le RGPD, ce qui va vraiment arriver

Car, oui, y'en a qui l'ont lu et relu et rerelu et rererelu.

Une grande passion...

Démystifions le RGPD

Capitole du Libre, J-188

DaScritch & Benjamin Benifei

5mn d'Histoire

Dans les précédents épisodes

Ficher les citoyens

1941 : Le fichier René Camille

1972 : Le fichier SAFARI

1978 : Loi n°78-17 du 6 janvier 1978

Loi Informatique & Libertés

Création de la C.N.I.L.

Popularisation d'internet

2001 : Lois antiterroristes

2003, la Californie crée une nouvelle obligation

California data security breach notification law

2015 : Transposé au niveau fédéral

OUPS

2012 : Dépoussiérage parle Parlement Européen

This is Sparta GRDP *

Le Grand Défi : Appliquer la RGPD

Define : donnée personnelle

Et maintenant :Un quizz !

Jusqu'ici, il est impossible de se faire retirer d'une liste de démarchage publicitaire ?

Non

Jusqu'ici, la CNIL a très peu sévi ?

Non

Une adresse IP, une adresse MAC ne sont pas des données à caractère personnel ?

Non

Le RGPD est illisible, il est écrit en anglais technocrate de Bruxelles comme les autres règlements européens (!)

Non

Le RGPD a-t-il été créé pour que les GAFAM prennent encore plus nos données personnelles ?

Non

Le RGPD a été écrit par les GAFAM pour empêcher les entreprises européennes d'être compétitives

Non

Les entreprises américaines sont bien mieux préparées que les entreprises européennes ?

Oui

Le Privacy Shield va-t-il rester ?

Honnêtement ?

Si une entreprise met ses données sur AWS, est-elle en tord avec le/la RGPD ?

C'est « Le »

Non

Si un sous-traitant est en faute, l'entreprise cliente est-elle aussi en faute ?

Oui, si vous vous en doutiez

Si j'achète un téléphone Chinois pas cher sur Amazon, le constructeur n'est pas soumis au RGPD et peut continuer à récupérer un max de données sur moi ?

La réponse Eeeeuuuh

Si notre site est mal conçu ou mal sécurisé, cette fois-ci c'est panpan cul-cul !

Non

grosse amende

très grosse amende

... Une TRÈS TRÈS grosse amende

On a 3 jours pour prévenir nos clients que nous avons eu une brèche dans leurs données ‽

Non

Si quelqu'un le demande, devons-nous lui envoyer TOUTES les données qu'on a sur lui ? dans un format “utilisable” ?

Oui

Si j'ouvre un compte bancaire, je pourrais exiger que mon nom n'apparaisse pas dans leur informatique, j'ai donc un compte anonyme ?

Non

Un vendeur d'électro-ménager n'est pas obligé d'effacer mon nom, même si je l'exige ?

Non

Un DPO, c'est comme un CIL, mais en anglais, l'intitulé de poste sur Linkedin est plus chic (!)

Non

Le rôle de DPO est d'être un fusible ?

Non

La CNIL a vraiment dit qu'ils ne feraient pas du zèle dès le 28 Mai ?

Oui

Le RGPD, ce qui va vraiment arriver

3 grands principes

Privacy first Security first Accountability

Les données personnelles seront comme les matières radioactives:

Si tu sais pas les ramasser, tu ramasses pas

Si tu sais pas les stocker, tu ramasses pas

Si tu sais pas t'en débarasser, tu ramasses pas

Q/R

benifei.fr

dascritch.net

Démystifions
le RGPD

2012 : Dépoussiérage par
le Parlement Européen

Et maintenant :
Un quizz !

Privacy first
Security first
Accountability