::: warning # RGPD formation CNAM ::: [TOC] https://www.cnil.fr/fr/thematique/services-publics/education # Session 1 le 9 avril (DNT 104) Formatrice : Alexandra GUERIN FRANCOIS ### Un peu d'histoire :  Directive et réglement Une directive est une direction pour créer des lois. Le projet SAFARI avec le n° se secu social La france fait la LIL 1 en 1978 et LIL 2 zen 2004 et 20 octobre 2005 un décrêt d'application Avant 20216 il y avait des directtives et depuis 2016 on a un règlement. La LIL est une loi qui est un texte national Une loi peut être du copier colier de RGPD **Différence loi et décrêt :**  La loi à trois vollets, on utilise le rgpd et en fonction des cas de figure on utilise https://www.famidac.fr/?La-hierarchie-des-Lois-decrets-arretes-directives Les cookies ne sont pas lié au RGPD mais à la directives e-privacy (vie privée). En 95 directive qui permet de sanctionner les abus sur les net. Après le 11 septembre on se rend compte que nos données sont utilsié par les GAFMA et autres RG. La cnil informe que même lorse l'on a rien à se reprocher il faut protéger ses données. C'est quoi la CNIL ? <iframe width="560" height="315" src="https://www.youtube.com/embed/i_k8ozkY2I4" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe> ### Conception européenne : Il faut comprendre l'histoire de notre continent pour comprendre cette loi LIL3. Donnée personnel = attribut de la personnalité Toutes exploitation de fonnée soncstitue une violation potentielle d'un droit fondamental. Au US : il y a une protection des données personnelles mais sur des secteurs spécifiques (sant, baque assurance etc.) Il n'y a pas une grande loi comme LIL3 ou RGPD. Une donnée personnelle peut être vue comme un bien marchant au US. Il y a les loire des états et fédérale. en californie il viennt d'adopter une loi qui se rapproche du RGDP. ça se répend même dans les pays d'asie ### RGPD, une révolution ? Les sanctions liées au RGPD :  Dans le RGPD il n'y a pas d'élément sur l'autorité de controle. Tous les détails pratiques sont dans les lois nationales. Il y a donc eu beaucoup de dérogation. Il a donc fallu que chaque état se positionne et on a donc dans les lois nationales des états uropéen des différences entre les mises en application et dérogaions. La formaton ,restreintes est un petit tribunal de la CNIL ou RGDP ?? EDPB : [Européen DATA Protection BOARD](https://edpb.europa.eu/edpb_en) rassemblement de toutes les CNIL nationale des états européens. CEPD : c'est l'acronyme francais de l'EDPB. C'est pas le CNIL des CNIL. C'est un comité, qui travail ensemble. G29 : c'est l'ancètre de l'EDPB. WP : Working paper c'est les décisions liées au EDPB EDPS : supervisor c'est l'autorité de contrôle. les agences européennes ne dépendent pas des états. elles sont supervisé par les EDPS (secrétatriat de l'EDPB) ICO : CNIL anglaise CPCE: code des poste électtronique DPA : autorié de controle en angais DPIA et AIVP : analyse d'impact Opt-in : accepter un Opt-out : refuser SAN : sanction 95/46 : c'est l'ancien RGPD, mais avec les mêmes principes. ### table des matières du RGPD : 1 - Dispositions générales 2 - Les grands principes 3 - Les drotis des personnes : on considère que la personne est au coeur 4 - Responsable du traitement : n en parle mais après les personnes 5 - 6 - les 7 - coopéraiton de mécanisme de cohérence 8 - Recours, responsabilité et santions 9 - Situation particulière # le RGPD il y a les considérenat et les articles. Les articles sont utilié pour le droit qu'on applique. ## Chapitre 1 : dispotions générales Ce qu'il faut voir c'est qu'on a une double clé d'entrée : Le donénes à caract peso des personens pysique laction sur cette données qui est le traiteement L'objectif: donner des règles sur les DAP et les traitements l'article 2 : Les traitements s'appliquent aussi pour le papier. Ca ne s'applique pas dans le cadre domestique (on peut avoir des fichier perso) Le fait d'être dans un cadre profesionnel les droits ne sont pas amoindris. Pour les personnes physiques et non morales. Pour les personnes en vie, ça ne s'applique pas pour les personnes décédées l'article 4 : *C'est notre ami.* 60" C'est les définitions, mais il est essentiel. Infromatino se rapportant à une personnes phy identifié ou identifiable Cas conrêt : je vais enlever le nom prénom et mettre n numéro (pseudonymisation). On a donc dans une table des numéro avec des données derrière. Attention cette base est anonyme mais on peut retrouver en faisant des croisement sur internet. **donc indirectement.** meme si on ne trouve pas le nom de la personne est ce que je suis capable de la singulariser. Comme **le Qui est-ce ?** et là on est dans un traitement de données à caractère personnel **La donnée à caractère personnel : **  **Sur les adresse IP :** Les iIP dynamiques sont enregistrées et constituent des DCP. A partir du moment ou c'est possible de savoir qui est derrière les FI à la liste, c'est donc un DCP. Dès qu'on récupère des adresses IP, c'est une données à caractère perso. **Les Drones :** Utilisation par le ministère de l'intérieur. Avec ces drones, on peut zoomer et donc identifier des personnes. Le conseil d'état indique que l'usage des drones qui filme de façon non flouté est de lusage de données à caractère personnel. Même non enregistré c'est des DCP. En pratique : Il n'y a pas de règle sur le nombre de champ à avoir pour identifier une personne. Tout est une question d'interprétation et de contexte. Il ne suffit d'enlever des champs comme la date de naissance pour anonymiser. M. Martin dans une petite ville ou Paris c'est pas pareil. **Le traitement / fichier :** Lire les §21 à 31 de google Spain Est-ce qu'un moteur de recherche est responsable de traitement ? On dit que comme les données des sites internet sont des DCP et que le moteur de recherche indexe, donc trie, enregistre et présente ça veut dire qu'il y a un traitement. Un traitement ne veut ps forcement dire modification. La collecte, l'enregistrement, lindexation etc. sont la définition du traitement dans le réglement européen. On dit que le moteur de recherche décide des moyens et des finalités et ajoute une présentation. Responsabilité conjointe. Editeur de site et moteur de recherche peuvent être ensemble responasbles de traitement. **Le sous traitant :** Le terme sous traitment dans le RGPD est particulière. Tableau très utile pour savoir qui est responsable de traitement ou pas.  Si on utilise une socité qui utilise mes données pour faire un traitment que je demande. je suis RT. Si vous donnez des données à une mutuelle, c'est elle qui va être responsable de son traitement de mutuelle avec les données que je lui ai données. C'est la Mutuel qui est RT. Exemple : les page FB. L'admin de la page est autant responsable que FB. Même si l'un est responsable des données et l'autres fait des traitements. Il y a donc deux RT dès lors que les finalités sont les mêmes. La responsabilité n'est pas forcement équivalente. **Destinataire :** Les tiers , c'est celui qui n'a rien à vior avec la personne concernée, le traitant et sous traitant. Lorsque deux entités qui ne sont pas liées mais qui ont des activités conjointes qui ne peuvent fonctionner l'une sans l'autre fait qu'elle deviennent responsable conjointe de traitement. **Le lieu de situation :** Avoir une langue ne constitue pas mon intiension de viser tel ou tel pays et personne d'un état. Mais proposer des livraison et des moyens de paiement de l'état indique que vous serez RT sur cet état. La LIL III dit qu'elle s'applique dès lors que la personne concernée est en france même si le RT ne l'est pas. Dès lors que la socité est en France même si les données sont de personnes à l'étranger le RGPD doit s'appliquer. (Cf article 3 §1) **Représentant** La question se pose pour le TIM par exemple qui peut être le représentant. **Autorité chef de fil** Exemple de twitter qui a mis son chef de fil en Irlande. La lil ne s'applique pas en Irlande. Dans ce cas c'est le RGPD qui s'applique. C'est ensuite l'autorité Irlandaise qui prpose au CEPD. **Transfer de données** Lorsque c'est hors UE, il faut garantie le protection jurique. Le privacy shield n'existe plus, il a été invalidé par la cours de justice européenne. Il ne peut donc plus fonctionner. Soit le pays à les mêmes regelmentation que nous = décision d'adéquation. Dans ce cas pas pb. Si ce n'est pas le cas, il afut voir q'il y a des garantie adéquate = clause contractuelles S'il n'y a rien de tout ça on ne peut pas envoyer de la donnée en dehors des frontières.  **Donnée sensibles** ou catégories particulières des données Dans les DCP il y en a certaine qui sont sensibles. C'est données sont interdites de collecte par déafut sauf en cas de condiions particulière, **avec consentement**. ### Article 5 (principe des traitement des DCP) § 1 les DCP a) transparence b) collecte c) minisation des données d) les DCP exacte et à jour et supression des mauvaises (exactitude) e) la durée nécessaire (limitation de la conservation) f) protection technique et intégrité §2 le RT est responsable de §1 et doit démontrer qu'il a fait ce qu'il fallait pour ça. #### Principe de finalité des données : Chaque traitement doit respecter la finalité. on ne peut pas colelctier pour une finalité a et les utilsier ensuite pour une finalité b. ATTENTION aux zones commentaires **La proportionnalité** Ne pas dériver une collecte pour autre chose **Minisation** Le consentement ne justifie pas collecte d'une donnée. Ex de Spartoo : On ne peut pas enregistrer l'intégrité et de façon permanente. Dès qu'on collecte beaucoup d'information il faut jsutifier pourquoi o nen collecte autant. Comme c'est tout le temps et le client ne peut pas s'opposer. Dans ce cas on a un pb de proportionnalité Le problème n'est pas le fait d'enregistrer mais c'est le moyen de faire. Pendant ces enregistrements des données sensibles sont enregistrés qui ne sont pas dans la finalité principale. Le principe c'est qu'on contrevient à la minisation des données #### Traitement des données légitime Il faut une identificaiton du caractère "légitime" . Ex : dans son SI on met en place des outils pour la sécurité informatique. 1. On identifie 2. on évlue l'atteint aux intérêts des personnes. 3. On mets en balance ces éléments. 4. On prévoit d'éventuelles mesures additionnelles ::: success En bref la finalité, la base légale, les données Ces trois point vont ensemble. ::: ### Le consentement Article 7 * Le RT doit démontrer que la personne a donnée son consentement (si besoin) * La personne peut le retirer à tout moment.(pour la sécurité c'est difficile d'utiliser cette base légale) Le consentement doit être libre, spécifique et éclairé (transparent) C'est une manifestation positive (case à cocher). Le fait de donner son consentement ne donne pas accès à tout. **Age légale et cas particulier des enfants** Article 8. EN frane la majorité numérique au sens RGPD c'est 15ans. Au delas de 15 c'est une personne comme une autre. Le droit à l'image c'est 18 ans. ::: danger LE RGPD ::: Sommaire CHAPITRE I - Dispositions générales Article premier - Objet et objectifs Article 2 - Champ d'application matériel Article 3 - Champ d'application territorial Article 4 - Définitions CHAPITRE II - Principes Article 5 - Principes relatifs au traitement des données à caractère personnel Article 6- Licéité du traitement Article 7 - Conditions applicables au consentement Article 8 - Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information Article 9 - Traitement portant sur des catégories particulières de données à caractère personnel Article 10 - Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions Article 11 - Traitement ne nécessitant pas l'identification CHAPITRE III - Droits de la personne concernée Section 1 - Transparence et modalités Article 12 - Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée Section 2 - Information et accès aux données à caractère personnel Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée Article 15 - Droit d'accès de la personne concernée Section 3 - Rectification et effacement Article 16 - Droit de rectification Article 17 - Droit à l'effacement («droit à l'oubli») Article 18 - Droit à la limitation du traitement Article 19 - Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement Article 20 - Droit à la portabilité des données Section 4 - Droit d'opposition et prise de décision individuelle automatisée Article 21 - Droit d'opposition Article 22 - Décision individuelle automatisée, y compris le profilage Section 5 - Limitations Article 23 - Limitations CHAPITRE IV - Responsable du traitement et sous-traitant Section 1 - Obligations générales Article 24 - Responsabilité du responsable du traitement Article 25 - Protection des données dès la conception et protection des données par défaut Article 26 - Responsables conjoints du traitement Article 27 - Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union. Article 28 - Sous-traitant Article 29 - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant Article 30 - Registre des activités de traitement Article 31 - Coopération avec l'autorité de contrôle Section 2 - Sécurité des données à caractère personnel Article 32 - Sécurité du traitement Article 33 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel Article 34 - Communication à la personne concernée d'une violation de données à caractère personnel Section 3 - Analyse d'impact relative à la protection des donnés et consultation préalable Article 35 - Analyse d'impact relative à la protection des données Article 36 - Consultation préalable Section 4 - Délégué à la protection des données Article 37 - Désignation du délégué à la protection des données Article 38 - Fonction du délégué à la protection des données Article 39 - Missions du délégué à la protection des données Section 5 - Codes de conduite et certification Article 40 - Codes de conduite Article 41 - Suivi des codes de conduite approuvés Article 42 - Certification Article 43 - Organismes de certification CHAPITRE V - Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales Article 44 - Principe général applicable aux transferts Article 45 - Transferts fondés sur une décision d'adéquation Article 46 - Transferts moyennant des garanties appropriées Article 47 - Règles d'entreprise contraignantes Article 48 - Transferts ou divulgations non autorisés par le droit de l'Union Article 49 - Dérogations pour des situations particulières Article 50 - Coopération internationale dans le domaine de la protection des données à caractère personnel CHAPITRE VI - Autorités de contrôle indépendantes Section 1 - Statut d'indépendance Article 51 - Autorité de contrôle Article 52 - Indépendance Article 53 - Conditions générales applicables aux membres de l'autorité de contrôle Article 54 - Règles relatives à l'établissement de l'autorité de contrôle Section 2 - Compétence, missions et pouvoirs Article 55 - Compétence Article 56 - Compétence de l'autorité de contrôle chef de file Article 57 - Missions Article 58 - Pouvoirs Article 59 - Rapports d'activité CHAPITRE VII - Coopération et cohérence Section 1 - Coopération Article 60 - Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées Article 61 - Assistance mutuelle Article 62 - Opérations conjointes des autorités de contrôle Section 2 - Cohérence Article 63 - Mécanisme de contrôle de la cohérence Article 64 - Avis du comité Article 65 - Règlement des litiges par le comité Article 66 - Procédure d'urgence Article 67 - Échange d'informations Section 3 - Comité européen de la protection des données Article 68 - Comité européen de la protection des données Article 69 - Indépendance Article 70 - Missions du comité Article 71 - Rapports Article 72 - Procédure Article 73 - Président Article 74 - Missions du président Article 75 - Secrétariat Article 76 - Confidentialité CHAPITRE VIII - Voies de recours, responsabilité et sanctions Article 77 - Droit d'introduire une réclamation auprès d'une autorité de contrôle Article 78 - Droit à un recours juridictionnel effectif contre une autorité de contrôle Article 79 - Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant Article 80 - Représentation des personnes concernées Article 81 - Suspension d'une action Article 82 - Droit à réparation et responsabilité Article 83 - Conditions générales pour imposer des amendes administratives Article 84 - Sanctions CHAPITRE IX - Dispositions relatives à des situations particulières de traitement Article 85 - Traitement et liberté d'expression et d'information Article 86 - Traitement et accès du public aux documents officiels Article 87 - Traitement du numéro d'identification national Article 88 - Traitement de données dans le cadre des relations de travail Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques Article 90 - Obligations de secret Article 91 - Règles existantes des églises et associations religieuses en matière de protection des données CHAPITRE X - Actes délégués et actes d'exécution Article 92 - Exercice de la délégation Article 93 - Comité CHAPITRE XI - Dispositions finales Article 94 - Abrogation de la directive 95/46/CE Article 95 - Relation avec la directive 2002/58/CE Article 96 - Relation avec les accords conclus antérieurement Article 97 - Rapports de la Commission. Article 98 - Réexamen d'autres actes juridiques de l'Union relatifs à la protection des données Article 99 - Entrée en vigueur et application # La CNIL La cnil est là pour Conseil et Contrôle C'ets le 3ème modèle au monde (US, Chine et Europe) Changement de posture lié à l'**accountability**. C'ets les acteur sui doivent démontrer qu'ils sont en conformité. ## Les missions : * Conseil * Avis sur des Analyses d'Impacts (DPIA) * Contrôle suite à une demande de particulier * Certification (pour les DPO) avec référentiel. OF agréé par la CNIL, comme le CNAM * Veille techno avec des acteurs exterieur : * Comité de la prospective qui réfléchit aux évolutions techno et conséquences. * Laboratoire d'innovation * Réfléxion autour l'IA ## Les principes pour respecter les obligations : * By design (dès le début du taritement on réfléchit au RGPD) * Conduite d'analyses d'inpact DPIA * regsitre * Notification des failles (notification des violations de données) * Consultation de la CNIL * Certication de traitement et adhérern ces nouveaux code de conduites ## les acteurs : * Le représentatn légal (**RT**) * le sous traitant (**ST**) * et le tout dans une responsabilité partagées  A l'international sur les résidents impactés snot en france la CNIL peut être chef de fil. ## Les risques : Au dela du risque de sanction il existe un vrai risuqe judiciaire du fait de pouvoir bénéficier du'un recours pour les personnes consernés. * Chq citoyen peut porer plainte s'il estime une violation - procédure amiable. Prérogative (pouvoir relativement étendus): * demander toutes les information sur les DCP * demander des accès aux loacaux de l'oraganisme voire du sous traitant * elle est tenu au secret profesionnel * droit d'opposition. si l'orga l'utilise en cas de contrôle elle peut aller au TBI pour voir une autorisation * Le DPO est en intéraction avec la cnil Contrôle d'audit * Le rôle du service des plainte est de prendre contact avec l'oragnisme et si pas de pb la plainte est stopée. Si la cofmrinté ne l'ai pas la cnil demande de se mettre en conformité. * Si l'organisme ne le fait pas il peut y avoir une mise ne demeure et avoir des sanctions. * La cnil peut s'autosaiir pour contrôler des organismes. Contrôle contancieux : * Ca peut etre sur place ou à distance. ### Le rôle du DPO en cas de contrôle. * accountability * vérifier l'ID des contrôleur de la cnil * informer l'organisme * solliciter l'assistance des personnes qui ont un rôle en interne (informaticien, dir, adjoint etc.) * on peut demander de l'aide exterieur (DPO du MAA, contrle juridique srfd dger) * Il faut être présent tout le long du contrôle * on est collaboratif (faciliter le travail de la cnil). il faut comprendre ce qu'il se passe. * bien lire le pV a l'issu du contrôle et y mettre ses observation avant de le signer. ### Les sanctions art. 45 de la LIL3 * rappel à l'ordre : * suspension du traitement * limitation du traitement * retrait de certification * Amande administrative * pour les entreprises des montants assez énorme jusqu'à 4% du CA mondiale ou 10 Millions d'€ * Possibilité de publier la sanction (atteinte à l'image de l'entreprise) Le sanctions se tourne souvent sur **les grands principes** : * securité des personnes * données à caractère personnelle * tansparence pour avoir accès aux finalités du traitement **Publicité de décision** un organisme peut utiliser un contrôle de la CNIL pour dire, ba regarder la clnil a dit ça et maintenant j'ai afis ce qu'il fallait et je suis cnil **Le préjudice commercial et financer** peut êter énorme pour des organismes. l'image de l'établissement par exemple. # CEPD **C**omité **E**uropéen à la **P**rotection des **D**onnées Résolution des différents à l'échelle européenne.  EDPB : Gouvernace européenne ::: danger # chapitre sur Le DPO ::: # Le DPO : La certification n'est pas obligatoire pour exercer la fonction de DPO. ::: danger # Propriété intellectuelle ::: sigles : PI Source : https://www.village-justice.com/articles/droit-propriete-intellectuelle-sept-notions-essentielles-par-julien-lacker,33840.html Quand on arrive sur un site qu'est ce que l'on veut protéger : * l'url (nom de domaine) * les images * les articles (le contenu) * le slogan *** la base de données** * le code (pas de protection formelle) La seule chose que l'on peut protéger d'un point de vue juridique c'est la BD.A part la BD il y en a aucune qui est une protection juridique. Les autre n'existe pas en soit dans le domaine juridique. Les nom de domaine, on ne peut pas le protéger. Après il y a le droit des marques. le 1er arrivé est le 2er servi. ## Droit patrimonial : droit de propriété (création) La licence est une façon de vendre son droit patrimonial pour son usage. La base de données : l'anuaire papier Le droit sur les bases de données ne protègue pas le contenu mais sa structure On peut donc cumuler les droits patrimoniaux. protection des données et protection des producteurs de BD Une idée n'est pas protégée. Ce qui est protégé c'est la matérialisation. Exemple d'embaler des ponts. On peut protéger son oeuvre, sa création mais pas l'id. d'autres personens peuvent reprendre cette idée. **Les oeuvres de l'esprit** ## Nature des Propriétés Intellectuelle **Protection des personnes physiques** Protection contre des éditeurs Pour déposer ses créations il faut les déposer et ça coute de l'argent. **Protection des personnes morales** On protège les projets industriels Société de egstion collectives (la sasem) ### objet de protection 1 : oeuvre (droit d'auteur ) Un sac à main n'ets pas une oeuvre de l'esprit. La dentelle peut elle être protégée comme oeuvre de l'espit ce qu'il faut réussir à démontrer c'est l'originalité. ### objet de protection 2 : signe distinctif (droit des dessins et des modèles) ex coca, c'est uen marque un rubiscube (droit des dessins et des modèles (3d)) ### objet de protection 3 : base de données (droit des producteurs de Base des données) protection des structures ### objet de protection 4 : invention (droit des brevets) exemple de la table d'accumulation il faut déposer une invention, un brevet après qu'il soit accepté. Il faut que l'invention apporte quelque chose de plus sur une techno etc. Exe instrucment de musique que l'on créé (il faut aller voir si notre instrument a quelque chose de plus que tous les autres créés depuis le debut.) ## Monopole Lorsqu'on est titulaire d'une production on a un monopole. Il y a une règle de proteion des végétales. Il y a des semences libres de droits, on a pas à payer de licence. Idem pour les médicaments (protection des vaccins). Un générique est un médoc tombé dnas le doamine public Plus on protège plus on empêche la concurence. Mais il y a le droit de la libre concurence. C'est un équilibre. Les limites du monopoles : * Ordre public (croix gamé interdit) * condition de forme (il faut déposer) * condition de fond (la nouveauté, ex coca c'est le 1er qui dépose...) * exception (droits d'auteur, qui tombe dans le domaine public) * licence obligatoire Ex : si on vend des contrefaçon, on est responsbale et complice. Même si on ne le savait pas. **Le protection des données est territoriale :** chaque pays du monde à ses règles. Bientôt un brevet européen. Car aujourd'hui il faut gérer les brevet dans tous les pays et s'asurer que notre produit est protégé dans tous les pays. Droit civil : règles entre les personnes (il faut être capable de prouver) Droit pénal : règles avec des sanctions Droit douanier : règles d'un pays à un autre La protection des données peut être dans ces trois droits. Sur chaque ligne ce sont des règles différentes.  Les offices que l'on peut appeler  # Le droit du commmerce électtronique des nouvelles technologies Lorsque je veux créer un sit internet : Il y a les acteurs : * FAI / ICANN (nonm de domaine) / Standardisation FGI ISOC ## Droit du commerce électronique * Ca date depuis le 8 juin 2000 * Loi du 24 juin 2004s ur la confiance * et le RGPD en 2016 * directive des droits d'auteur en 2019 Aujorud'hui la problématique est diféfrentes qu'en 2000. On est plus à protéger les FAI, internet est dans le quotidien et on veut protéger les effets pervers. Les plateformes sont des nouveaux concepts dans le droit (GAFAM etc.) Pour des opérateurs il y a la loi de la neutralité de du contenu. Donc c'est compliqué de demander a un opérateur de supprimer du contenu il peu dire je ne suis pas responsable du contenu. Un opérateur tout seul ne peut pas supprier un contenu tout seul sauf sous appel d'un juge. Une institution ne peut pas décider que quelqu'un n'est plus le droit à Internet. Le seul c'est le juge qui peut le faire. Ex adopi. ca ne marche pas parce qu'il y a le droit d'accès à internet. ce qui se apsse c'est qu'aujourd'hui il n'y a plus de suppression. ### Editeur C'est celui qui maitrise en contenu. si je gagne de l'argent avec du contenu en ligne je peux être considérer comme editeur. Cepandant google ne l'est pas Aet ### Le FAI Fournisseur d'accès Toutes personnes qui permet d'accéder à internet Fournisseur d'hébergement : les hébergeurs Ils sont tous les deux exonérer de responsabilité du contenu. (art. 6-1-7 de LCEN) et (art. 6-1-2 de LCEN) Une vidéo ou un blog de promulgation de haine raciale ce n'est pas de la responsabilité de Youtube ou l'hébergeur. Ils contribut à la lutte : mettre en place des signalements Il doivent conserver des données de connnexion (pendant un an pour les accès internet) ### Les plateformes Loi de la république numétique du 7 oct 2016. Ce sont des editeurs oud es hébergers ?? La question est : quelle est le niv d'intervention de la pltaeforme dans le choix du contenu illicite. ? S'il est passif = hébergeur s'il a eu un rôle actif sur la connaissance de ce contenu il sera editeur. Ex : en 2011 google image a été identifié comme hébergeur d'image En 2012 pour les vidéos ils ont été consdéré commme editeur car le fait regarder les vidéo chez eu fait qu'ils sont actifs. Tant qu'il n'y a apas de contrôle c'est hébergeur ## retrait Via l'éditeur art. 6 1 2 LCEN (Loi confiance économie numériqeu ) il faut qu'il agisse promptement pour le retirer. Il faut que les contenus aient été caractérisé comme illicite manifeste pour obliger l'hébergeur dele supprimer. La simple demande d'une personen ne suffit pas. L"herbeeur peut dire non. Dans ce cas il faut aller au tribulanle pour trnacher si c'est illicite ou pas. Des avis ne sont pas forcement illicitent. ## Blocage On est un cran au dessus. Cad qu'on peut bloquer un site internet. C'est une décision du juge art 6-1-8 LCEN On peut allez legsite.net pour voir toutes les jurisprudences. Blocage administratif (que pour les contenus Pedo-pornographique ou terroriste). Ce type de blocae ne peut être que exceptionnel, car c'est un déraogation et on est prohe de la liberté. ## Déréferencement Le fait de demander de ne plus référencer un site auprès des opérateurs de moteurs de recherche. Il n'y a pas à date de règle sur le fonctionnement des moteurs de recherche. Depuis de 2014 -> il y a ce nouveau droit C'est une notion qui existe aussi en terme de protection des données.Le RGPD ne parle pas du fonctionnement des moteurs de recherche et donc du référencement. e-privacy : LA façon de collecter des données. Mis en place en 2021 Aujoudh'ui c'est complqiué et couteux d'aaller jusque là contre le sGAFAM. Il faut que le cadre européen evolue pour permettre en autre de supprimer des contenus en moins d'une heure. Les pistes d'évolutions : * Education numériqeu * privacy design * plateforme européeen ce serait plus simple. # le droit du commerce **La communication électronique** Définition dans le code des postes. **Le commerce électronique** Qu'est-ce qu'un contrat : a) déféinition générale b) Typologie * Synallamatique ou unilatéral (quand les deux sont des choses à faire un une suel perosnne (ex : héritage)) * Gratuit ou pas * géré à gré (adhésion = celui d'un foratf de tel on a pas le chois des closes) * Exécution instantané ou successive (EDF c'est successive) La vie du contrat électtronique : Il doit être aussi calir qu'un contrat classique. Les pratiques commerciales ne dioivent être déloyales (il y a une définition légale de la déloyalité) Une partqieu commercaile agressisve est une partie des pratiques déloyales ex : se livrer à des sollicitations répétitives par mail. Dans ce cas le contrat est résolu. Les informations que doivent recevoir les consommateurs au moment de l'offre et de la commande. Il n'y pas de sanction civile ou pénal mais juste administrative -> suspension du contrat. LE DGCCRF : centre de controle d droit de la consommation CSCE : Centre de surveaillance du commerce électronique # La sécurité des réseaux et la preuve électronique La france est un des suel pays à assurer lui même sa cybersécurité ## La cryptologie et réglementation Cryptollogie, cryptanalyse et cryptologie Crypto en grec = cacher Les moyens (art. 29 de la loi sur la confiance numérique) : c'est tous les appareils qui permettent al crypto Avant 87 c'étati interdit sauf usage militaire. L'usage de la crypto est libre pour l'authentification et contrôle d'intégrité. Sion il fait déclarer aupèrs du 1er ministre. Il ya deux tupe d'obligation de déchiffrement (judiciaire ou adminisytrative) Il ya des dispositions pénales. ## Les inteceptions et la reglementation C'est interdit sauf pour l'adminstratif ou et le judiciaire ## Des obligations pesant sur cerains acteurs sur la securité des réseaux Toutes les obligations des opérateurs de communication ## Les cteurs nationaux de la sécurité des réeaux Les service sde l'état : anssi ou ssi.gouv.fr La délagation ministérielle aux industrieet a la lutte contre les cybermeances (DMISC) cymeraveillance.fr Les service s de la police et gendarmerie (anticiaption SLDC, centre de lutte C3N et DGSI) # la preuve électronique C'est plus une question juriquque alors que la sécurité des réseau est plus sur les support La quietion Qui, quoi et comment on doit prouver -> droit civil Il faut que la preuve soit loyale. La preuve électronique = le régime probatoire de l'écrit électronique Il y a autant de preuve en papier qu'en électronique. la valeur est la même La singature électronique elDAS : trois niveau (simple, avancé et qualifié) L'art 2 du décret 2017-1418 donne une validité de la signature lectronique. Qualifié : c'est une signature avancés : création qui repose sur création d'un procédé qui lui même repose sur un certificat de signature elc, qualifié **Les certification é^hère :** valable par demande, chaque signature. Les prestataire de certification de signature lectronique PSCE il y a la liste sur la site de l'ANSSI. **La copie électronique :** une copie fiable a la même valeur de l'original. C'est une copie identifique et garantie dans le temps Archivage : ça marche aussi si les règles de la copie électroniques sont respectées. # Droit pénal sur internet # Les grand principe du Pénal A quel condition on est reconnu comme auteur du pénal. Droit administratif : tout ce qui conecer l'ate et lers personnes Droits civil : entre les personnes privés Drtoit pénal : le droit qui phni, attacher des peines à des infraction Il faut que le jour des faits, cette infraction soit répertorié et qu'on connait la peine. Un vol : acte matériel (prendre un objet à un autre) et acte personnel (avoir l'intention de prendre) # Le cadre jurique applicable en matière de cybercriminalité ### La diffamation publique Le réseau internet est un moyen de communication public. Donc les actes en ligne sont publics s'ils sont accessibles à des personnes Si on publie dans un groupe ce n'est pas public, maintenant si sur facebook on publie pour tout le mondes et des gens qu'on ne connait pas est une communicaiton publique. On publie **un fait** Un blog c'est public. Lorsque l'on est accusé de difamation on e deux moyen de dégence : **Exception de vérité :** on peut toujours prouver les fait. Comme la presse, il faut prouver que ce qu'on dit est vrai pour qu'on ne nous dise pas que c'est de la difamation. Sauf pour la difamation à caractère sexuale sur minuer. **Exception de bonne foi** : * La preudence et la mesure dasn ses propos (ien parler) * Absence de volonté de nuir * but légitime * une enquête sérieuse Il faut ces 4 critères pour se défendre et sera de bonne foi. ### Injure publique il n'y a pas de fait. ce sont des injures. ### Provocation Provocation publique Provocation à la haine et la violence ### Apologies porter publiquement une insatation de porter un jugement sur des crimes et des délis. ### Fausse nouvelle Publication, diffusion ou reproduction de nouvelles fausses, de pièces fabriqués ou mensongère pour des tiers. qui trouve la paie publique. Il faut donc prouver que c'est de mauvaise foi et ça c'est très dur à prouver. La loi de novembre 2018 impose des droits au plateforme numériques. Ex : Est-ce que le fait de diffuser une information qui incite quelqu'un à passer à l'act fait que le premier est complice ? Ca dépend si on arrive à prouver que l'intention de cette infromation étati de faire passer des gens à l'acte. # Les délis de droit commun en matière d'informatique ## Le vol Le vol doit porter sur une chose. on peut conteter le vol de données parce que le propriétaire des données a encore (libre disposition) ses données. ## Faux et usage du faux altéraiton frauduleuse de la vérité... Ex : altération d'une carte d'identité. Ex : un CV si on falcifie un cv ça peut être un "faux". ## Escroquerie tromper une personne physique ou moral : * mode opératoire * but déterminié * en vu d'un résultat ex : le phishing, il y a u nmode opératoire, avec le but de récupérer des données pour avoir de l'argent. ex : faux ordre du virement, au tel quelqu'un qui se fait passer pour un autre e demande de l'argent. ## abus de confiance utiliser des données pour un autre bu que ce qui était prévu. Ex : je pars avec une pièce que vous m'avez donné pour acheter un café. # Les atteintes aux personnes ### l'atteinte à la vie privée captation enregitrement cladestine d'image dans un lieu privé. ### violation de secret des correspondants intercepter des correspondances par voie électronique de communication ### usurpation d'identité numérique usurper l'id d'un tiers en vue de lui porter atteinte à son honneur. ### pédopornographie il y a plusiuers comportement qqu s'accumule. 1. avoir des images porno d'un mineur en vue de sa diffusion 2. captation d'image porno de quelqu'un de moins de 15 ans 3. exporter des images d'un mineur. Si c'est trois peins sont en ligne c'est è ans au lieu de 5ans par peine. ### corruption de mineur via un réseau numérique mise à proposition de fait sexuel à destiantion de mineur ### le délit de cyberharcelment imposer à une personnes de façon répété à conotation sexuel ou sxiste intimidante... Meme si c'est plusieurs personnes c'est du harcélement. Si il y a une infraction organisé à plusieurs c'est du harcélement. ### captation enregistrement et transimssion d'images User de tout moyen de capter des images à l'insu de la personne. **Le dark net** : réseau qui n'est pas connecté à internet **DeepWeb** : c'est les sites qui ne sont pas référencé Les cyberenquêteurs vont sur ces réseaux. Une loi de 2019 permet au enquêteur habilité en étant spsuedonime et peuvent provoquer des actes répréssibles dans le cadre de leur enquête pour enquêter. Ex: on est obligé d'acheter des armes pour choper des trafics d'armes. ## STAD : Système de Traitement Automatisé de Données. C'est un site internet, réseau, un blog. Infractions : ### Accès au STAD Entrer dans un système de façon volontaire ### atteinte volontaire d'un STAD il afut avoir l'intention de dégréder, modifier le fonctionnement du STAD ### atteinte volontaire aux données vouloir les déteriorer, extraire, les détecnie, les reproduires... ### Le moyen de commettre les infractions Le fait de s'organiser à plusieurs pour les atteintes aux STAD. # DNT 105 - 21 mai / Traitement RH Synthèse RGPD : **acountability :** on doit respecter et on doit être en mesure de prouver qu'on est conforme. La réalisation d'analyse d'impact pour les traitements sensibles. **Co responsable de traitement :** le cas ou deux RT décident ensemble des finalités. **Violation de données personnelles :** obligation de notifier à la CNIL s'il y a eu des violations. Tout manquement est opposable. **Transfer de données :** Il faut identifier et cadrer les transferts de données. **Privacy shiel :** concerne uniquement les US. il respecte 8 grands principes, mais il n'est plus valable en europe à partir de 2021. ## Traitement RH : Nouveau référentiel des Lorqu'il y a un lien de subordination il ne faut pas considérer que ça décharge du consentement. Attention on ne peut pas farie reposer son triatement RH sur la base l'égale du consentement. En RH, les bases légales sont : * Contrat * obligation légale * mission d'intérêt publique * intérêt légitime (mais il faut le formuler et le justifier, que ce soit nécessaire). Il faut faire un test de balance. Pondération entre l'intérêt de l'entreprise et le droit de la personne. Si on traite des données sensibles : Ex : accident de travail on peut demander ce que la personne a eu et ça c'est des données sensibles. Avec l'rticle 92b on peut collecter des données sans consentenemtn si c'est d'intérêt publique ou obligation légale. Attention aux questionnaires que l'on peut mettre en place pour personnaliser des formations etc. Il ne faut pas que ces données soient utilisé **Référentiel de la CNIL adopté en novembre 2019 :** ## Gestion du recrutement : On ne collecte pas des informations avant son embauche.. On ne demande pas d'information de type poid, taille etc. Il faut informer de la conservation. Deux ans max sauf si il ne veut peut. Trois ans défendable sur l'intérêt léitime si ex du CV c'est des profil techniques très spécifiques qui font qu'on a besoin d'une base, d'un vivier de CV actionnables. Les bases légales : * intérêt légitime * consentement ### Les conseils pour les services RH : * Pas de zone de commentaire libre * On nettoie les dossiers sur les serveurs avec des données qui n'ont plus lieu d'être. * On n'utilise pas le n° de secu hors de la paye ## Vidéo surveillance : Contrôle facile de la cnil Pas de référentiel particulier, maus des fiches pratique sur le site de la cnil. La base : la sécurité des biens et des personnes https://www.cnil.fr/fr/videosurveillance-videoprotection Il faut : * faire une fiche de regsitre * et analyse d'impact. ## alertes professionnelles Base légale : * loi I&L * référentiel Cnil sur les alertes * loi sapin Il faut justifier ce dispositif. c'est un système qui sert à alerter sur un manquement d'une personne (un peu de la dénonciation) Il faut que tout le monde soit informé que ce dispotif est en place. Rédiger une procédure sur son usage et ça sert à informer les collaborateurs. ## Géolocalisation des véhicules professionnels Cadre : * Loi i&L * norme simlifiée n°51 Possible si c'est une obligation. (disues routier, taxi pour la facturation...) ## contrôle des horaires et accès aux locaux cadre :-1: * RGPD * Loi i&L Pas d'analyse d'impact pour les contrôles d'accès IRP : Instance des Représentant du personnel ## écoute téléphonique cadre juridique : * RGPD * Loi i&L L'employeur ne doit pas écouter en permanence un employé. ## Les outils IT (internet et lieu de travail) cadre juridique : * RGPD * Loi i&L * Référentiel cnil RH de nov 2029 * Travail et vie privé * charte informatique CNIL Fiche registre Analyse d'impact si surveillance tout le temps... Pas de log de connexion de plus de 6 mois (sauf les opérateurs de télécom) Disctinction entre ce qui est pro et personnel. Il y a une tolérence d'usage (dossier ou mail indiqué "personnel") des outils pro pour du perso. L'mployeur à la droit d'accéder aux dossiers et mail pro que dans certaines conditions de la charte. D'une manière générale, on doit tout trouver dans deux documents : * règlement intérieur ou charte RH ou politique générale * Charte informatique (se protéger et informer) Charte informatique Il faut définir le champ d'application (matériel, à qui ça s'applique) indiquer Dans la charte on puet parler du BYOD et mettre les sanctions si il y a non respact. ## Biométrie article 4.14 du RGPD : définition Encadrement strict car on identifie tout de suite une personne avec une donnée. Il faut ralise rune analyse d'impact Finaliser liité : contrôle d'acc_s au locaux, matériel etc. Il faut montrer qu'on a pas le choix. dire poourquoi on a pas le choix et qu'on doit mettre ça pour identifier une personne. Il faut lister toutes les données générés par cet usage. Gabarit de type 1 : la personne elle même garde la main sur le stockage de ses données Gabarit de type 2 : co-exploitation (avec un code) Gabarit de type 3 : la personne n'a pas du tout la main sur ses données biométriques. Conservation de 6 mois. # Vendredi 28 mai DNT 105 Jeanne Bossi Malafosse Traitement des données de santé - référentienls protection des droits et réutilisation ## 2 L’échange et le partage des données de santé En janvier 2022 -> on va tous avoir un espace numérique de santé (ENS). depuis 2016 : on peut s’appuyer sur l’art. L.1.1.1.0-4 du code de la santé publique. article 1 : qui sont les professionnels habilités article 2 : définition des échanges des données Des professionnels peuvent échanger des données de santé via messagerie sécurisé (pas gmail) s’ils ont tous les deux le patient. article 3 : le partage : principalement entre personnels de santé (définitions données dans le code de la santé) **L'échange** = entre deux personnes via la messagerie sécurisé **Le partage** = mise en commun d'informations entre profesionnels via des BDD **Interopérabilite** = possibilité entre deux systèmes d'échanger des informations. Pour aller contre les systèmes propriétaires. si echange ou partage, il faut respecter les référentiels d'intéropérabilité (article L1110-4-2) version 1 publiée sur le site l'Agence Numérique de Santé que l'on appelle dans les petits villages du sud l'ONSSSS. On est au début de l'histoire. Il y a une PGSSI (politique générale SSI pour les poilitques de santé) qui s'appuie sur le RGS. Il y a une carte ID électronique (la CPS) pour les professionnels de santé => avec OTP (One Time Password), certificat etc. : c'est l'ordre concerné qui délivre ce certificat. Il y a la e-CPS qui permet de s'identifier sans la CPS. mais toujours en cours de constitution ! authentification = ce que la personne sait (mdp), possède (carte, clé, ...), est (biométrie), sait faire (signature manuscrite) authentification forte = 2 systèmes hébergement des données : sur certification HDS uniquement : article R1111-9 = normes ISO internationales ANS a développé un outil = "convergence" permet de se vérifier **DMP :** dossier médical Partagé (https://www.dmp.fr/fr/accueil) En janvier 2022 le DMP sera dans l'ENS. **MSS :** Méssagerie de santé sécurisée **ENS :** Espace Numérique de Santé (https://esante.gouv.fr/sites/default/files/media_entity/documents/Doctrine_4_1_ens_v1.0.pdf) Il y aura un store d'application dans l'ENS sous cnodition de respect des référentiels. ## Santé publique Utilisation des données ayant recours à l'IA. => Il y a des délibérations de référence MR001 002 etc. Pas mal de question et de projet sur les entrepots de données de santé. Doctrine de la CNIL => référentiel qui va sortir dans les prochains mois. Finalité, données traitées Destinataires, information mesure de securité ... **HDH (health data hub)** : gestion de toutes les données de santé **SNDS (Système national des données de santé)** : c'est toutes les bases de données qui ont été augmenté en 2019. le HDH va gérer les SNDS. Feuille de route « Accélérer le virage numérique en santé » | esante.gouv.fr https://esante.gouv.fr/virage-numerique/feuille-de-route # Feuille de route et devoir de conseil *Alexandra Guerin* Erreurs à ne pas commettre : * Organiser le programme en silo * Voir le dpo comme le seul responsable de la protection des données * gérer la mise conformité comme projet Gouvernance : * qui fait quoi ? on est pas obligé de nommer un DPO * Créer un comité de protection des données * trouver les personnes avec qui on va travailler (RSSI, RSE etc.) Enjeux : * Assurer la complétude du registre (art. 30) * Identifier les cas de non-conformité * Former les équipes Conseils : * Mettre des points d'étape sur la construction du registre (on fait une V1 et on y revient plus tard. Peut-être lancer des campagnes de mise à jour sur un mois dans l'année à destination de tous les établissements et ne pas forcement y revenir après.) * ## devoir de conseil : En tant que DPO on a le devoir de conseiller. La base : * Former * Veille * Alerte * Partenaire Analyse d'impact : * Dans la pratique, c'est le DPD qui va s'y coller * il faut faire en sorte que les jeux penses à nous solliciter pour les analyses d'impact Conseil : * s'inscrire dans une organisation existante * l'objectif est que ça fonctionne (pas trop de procédure) * Contrôle ce n'est pas sanctionner. il faut privilégier les liens et le conseil La formation : * c'est la base du conseil * Se baser sur le conseil pour les former. # Etude d'impact ON passe d'un système déclaratif par un système de responsabilité. Acountability PIA = EIVP = Etude d'Impact Aet 35 du RGPD Les trois cas de figure ou on doit faire un PIA : * L'existance d'un risque élveer pour les droits et libertés des personnes physique * Surveillance à grande échelle (ça peut être une centaine) * Tous les traitement de scorinf, profilage, prospect automatisés Tout ce qui est autour du RH, de la lutte contre la fraude et marketing amélioré Les donénes de santé : Les données qui permettre d'avoir des informations sur la santé des personnes (doctolibre). Celui qui signe la PIA c'est le RT. Même si il y a sous traitant. On avoir besoni de faire un PIA dans les cas ci-dessus mais aussi pour être tranquil avec les Syndicats par exemple. On peut aussi créer sa propre liste de cas d'usage du PIA. Il faut au moins tous les 3 ans revoir ses PIA voire les renouveler. Voici la liste des Traitement pour lesquels on est pas obligé de faire un PIA. : https://www.legifrance.gouv.fr/download/pdf?id=WFCuz1RKQpydTUwao8Zq_aJG0TMRA1NarnjWu4Bq3VM= **Quand faire la déclaration de n'otre PIA ?** Il faut prévoir à la fin du PIA, l'analyse de risque résiduel. S'il y a effectivement un risque résiduel, on doit communiuer à la CNIL. Un risque résiduel élevé est un ridque ou en fonction de toutes les mesures que l'on prise, il y a toujours un risque. Donc on peut se poser la question de maintenir ce traitement. En fait on ne doit presque jamais envoyer le PIA à la CNIL car on ne doit pas avoir de rsique résiduel élevé, cad un traiement à risque. # CNIL : Les sanctions Les contrôles, sont suit à des dépôts de plainte. Il y a une première insctruction du service des plaintes de la cnil avant de faire un contrôle sauf si c'est très intrusif. Le service des plaintes contacte le DPO. Un contrôle peut être inopiné Un contrôle peut demander les preuves qu'ils veulent. * Phase 1 : de présentation avec les documents de base comme, la décision, l'ordre de misison, le formulaire de drtoi d'opposition au contrôle etc. * Phase 2 : de constattion, le but est d'avoir le plus de preuves Puis à la suite du contrôle il y a le procès verbale etc. dans les 15 jours qui suivent le contrôle. La cnil a le droit d'utiliser un faut nom prénom "identité d'empreint" pour faire des tests de prospect etc. Les suite u contrôle : * Courrier de clôture avec aucun manquement * Courrier de clôture avec observation avec amélioration à apporter * avertissement * mise en demeure * art 20 qui liste ce qu'on peut mettre en demeure * adoption / instruction / suite de la mise en demeure * injonction de mise en conformité (un peut faire des demandes bien pércise sur) * Transmission à la formation restreinte de la cnil, c'est la cellule de jugement de la cnil * Constitution d'une formation restreinte * rapport de sanction * Audiance possible avec 6 commissaires Commissaire : mandat de 5 ans renouvelable une fois. **les mesures correctrices et sanctions : ** Préambule au niveau des règles européennes. Autorité chef de file est l'établissement principale dans le cadre d'un traitement dans plusieurs pays mais avec une seule base. Si on a un traitement qui est lié que à des résidents d'un seul pays c'est l'antenne du pays qui sera la RT et non je chef de file. **Rôle du DPO :** Aider la cnil à la lecture etc. il doit être un facilitateur Il est possible d'obtenir un préjudice en cas de non respect de ses données personnels pour la personnes concernée. # Lundi 7 Juin : ## Sécurité des données. La sécurité des données fait partie intégrante du RGPD.  **SSI vs Sécurité des donneés** Des objectifs diff mais des moyens similaires (chiffrement, habilitation et traçabilité) Comment mettre en oeuvre le sécurité :  Il faut constament ré-évaluer la sécurité. Il vaut mettre une petite sécurité tout de suite que des choses rop compliqué qui font que les utilisteurs vont contourner; ## Violation des données et notification C'est quoi : c'est tout ce qui concerne, la perte, la destruction, l'altération la divulgation non autorisée. Ce n'est pas parce qu'on se fait attaquer qu'on a pas respecté l'art 32 du RGPD. si l'attaquant est meilleur, ce n'est pas notre faute.  ON doit prévenir la CNIL sans délais et avant 72h. ## Anonymisation C'ets une donnée qui ne permet pas d'identifiéer un personne meême avec des tables de correspondance Un donnée pseudonyme elle permet de retourver une personne avec traitement croisé Une donnée anonyle ne fait pas partie du RGPD car elle n'est pas à caractère personnel, alors qu'une donnée speudonyme oui ## Un rsique C'ets un scénario qui décrit un évènement de violation de DCP 2vènement / Menace / vraisemblance / Gravité Matrice de Risque à créer Exemple :  AIPD : Analyse d'Impact fait partie du PIA  La vraissemblance (menace) Vs Risque (évènement redouté) :  Les riques sont pour les personnes et non les établissements # Données et Design Principe de protection des données dès la conception. La fçon dont une interafce est construite à beaucoup d'impect sur la copréhension des utilisateurs. Notion d'IHM : c'est une base du design * Il fatu que 'linterface indique l'es intéraction possible ( * Les contraintes * L'interface doit permettre axux utilisteur de se repéraer dans le syst) Les approches de base : * Simplicité * personnalisation * multi-modalité "L'interface est bien le premier objet de médiation entre la loi, les droits et les individus" NUI : interface utilisateur naturelle ## Le modèle économique : La base est la publicité la captation de l'attention de l'individus et de ces donénes sont donc centrale dans ce modèle. **Rendre accro l'utilisateur à un service : (HOOKED)** * le déclencher * l'action * la récompense * son investissement dans le service (temps, données...) L'idée est de possuer l'utilsiateur à faire des chsoes dont il n'a pas besoin. **Autre approche plus positif : appriche "Nudge"** Qui invite les individus à faire des choix squi ont des impact positif (planète société etc.) ce qui en parralèle redn disponible pleinx de données personnelles. Les grandes plateformes ont tendance à normaliser la grammaire des utilisateurs "soft power" ex : * matérièl design lancé par google * bootstrap lancé par twiter * En 2017-18 des acteurs de la silicon valley on critiqué quand même ce schéma de captation de l'attention des personnes. Le RGPD vise à rendre autoresponble **Dark partern** Desing manipulatrice des interfaces C'est la notion d'influence pour éviter l'individu sache gérer ses donénes. Ex : partage par defaut (GSP etc.) recommandation : * Faire entre le designe dans les champs d'analyse de conformité des réuglateurs * Construire une approche ouverte : construire un communuaté dans se domaine * Soutenir la recherche sur le design trompeur etc. ## PLateforme concept et design Il faut utiliser des phrase courte et terme non juridique Ex : mettre dans le compte utiisateur un menu "Gestion des données" L'utilisateur doit avoir accès à ses droits de : 1. accès 2. rectification 3. opposiiotn 4. effacement 5. limitation 6. portabilité 7. intervention humaine