Views
1 year ago

CNIL-001

CNIL-001

1 Données devant être

1 Données devant être protégés 1.1 Données personnelles La loi impose la protection des données personnelles. De part leur nature, les données médicales ou politiques doivent être particulièrement protégées. 1.2 Identiants et mots de passe Par dénition, les identiants de connexion sont des données personnelles, car ils permettent d'identier de façon unique un visiteur. Les mots de passes, si non protégés, permettent d'accéder aux autres informations de l'utilisateur. Si le site internet manipule d'autres données personnelles, les mots de passes doivent donc être protégés (sans oublier le risque d'usurpation d'identité). De plus, les mots de passes étant souvent réutilisés 1 ils permettent dans ce cas d'accédez aux comptes que l'utilisateurs possède sur d'autres sites. Il faut d'autant plus les protéger. 1.3 Jeton d'identication Les jeton d'identication (cookies ou autre procédé), car ils permettent d'identier un utilisateur et sont donc des données personnelles. De plus, si le site internet manipule d'autres données personnelles, ils permettent d'y acceder. Les jeton d'identication doivent donc être protégés (sans oublier le risque d'usurpation d'identité). 1.4 Cas particulier de l'adresse IP L'adresse IP des visiteurs est une donnée personnelles, mais du fait du fonctionnement d'internet, il n'est pas possible pour le responsable d'un site internet de protéger l'adresse IP de ses visiteurs du point de vue du réseau, car le réseau en a besoin pour acheminer l'information, de même que le nom du site visité. Malgré celà, sa présence amplie toute fuite d'information. Une simple recherche médicale peut ne pas nécessiter une protection, mais cette même recherche associée à l'adresse ip devient une donnée sensible nécessitant une protection. De plus, certaines données personnelles peuvent sembler ne pas mériter de protection, mais étant donné qu'elles se retrouvent liées à une personne par l'adresse ip, leur protection devient importante. Par exemple, ces informations peuvent être les réponses aux questions de sécurité d'un autre compte de l'utilisateur. Un premier site peut simplement demander la date de naissance pour éviter d'acher des contenus volent aux jeunes, un autre demande l'adresse email pour une newsletter et un dernier simplement demander le nom du visiteur pour une pétition. Ces trois données prises indépendamment ont une faible valeur, mais parce qu'elles peuvent être liées entre elles par l'adresse IP et que le fait de pouvoir les réunir leur donnent de l'importance, il faut les protéger individuellement. Avec ces informations, tous les sites que la personne visitera par la suite étant liées à son adresse IP, peuvent donc lui être attribué. Les responsables de sites internet manipulant des données personnelles ne pouvant présupposer quels sites la personne à visiter avant ou visitera après et quelles données personnelles elle a transmises de façon non sécurisée, ils se doivent de protéger toutes données personnelles qui leur est conée. 1.5 Recherches Les recherche qu'un utilisateur fait sur un site internet ne sont a priori pas des données personnelles, mais sont corrélés à l'adresse IP. Si ces recherches concernent le domaine médical ou politique, associés à l'adresse IP du visiteurs elle pourraient devenir des données personnelles et donc doivent être protégés. 1. http://tempsreel.nouvelobs.com/les-internets/20090907.OBS0278/un-seul-mot-de-passe-pour-56-des-francais. html 4

1.6 Pages visités L'url complétés des pages visités n'est pas une donnée personnelle en soi. Mais lorsqu'il s'agit de sites médicaux, politiques ou de journaux, les urls peuvent contenir des informations concernant l'état de santé du visiteur ou de ses opinion politiques. 1.7 Identiants de suivi ou publicitaires Les outils de suivi de visiteurs ou les publicités génèrent le plus souvent des identiant permettant de suivre un visiteur an de connaitre son parcourt ou de lui proposer des publicités associées à ses actions passés. Ces identiants étant par dénition fait pour identier un visiteur, sont donc des données personnelles. 1.8 Messages en texte libres Un certain nombre de sites proposent des formulaires de contact en texte libre. Ne pouvant présupposer du contenu, il faut donc la protéger comme un courrier, et supposer la présence de données personnelles. D'autant plus s'il s'agit de sites politiques ou médicaux. 1.9 Données personnelles publiques Certaines données personnelles peuvent être publiques (comme l'adresse email dans certains cas) mais son association à un site internet donné ne l'est pas. La divulgation de ces deux données simultanément permet d'associer une personne à un site internet. De plus, l'adresse IP permet cette association avec les autres sites que la personne visite. La protection de l'identité d'un visiteur, même pour un site ne révélant rien d'autre sur elle, est donc primordial. 2 Moyen technique de protection 2.1 Transmission des données personnelles An de protéger les données personnelles transmises par internet, le moyen le plus able et le plus simple est l'utilisation du protocole https. Garantissant à la fois la condentialité, l'authentication et l'intégrité, il permet de s'assurer que les données sont bien envoyées au destinataire choisi par le site visité, que seul ce destinateur peut les lire et qu'elle n'ont pas étés modiés pendant leur transport. 2.2 Transmission des éléments pouvant interagir avec des données personnelles Les programmes (pages internet par exemple) pouvant interagir avec les données personnelles doivent eux-mêmes être protégés. En eet, s'ils ne le sont pas, leur modication par une personne non autorisée casserait toute protection mise en place pour protéger les données personnelles. De façon transitive, tout programme contrôlant un programme décrit précédemment doit lui-même être protégé, car s'il ne l'est par, il n'est plus possible de s'assurer de la sécurité du sous-programme, et par conséquence des données personnelles nalement manipulées. Dans le contexte d'une page web cela signie simplement que la page principale (page dont l'adresse est indiquée en haut par le navigateur) : Si elle utilise le protocole https, cela assure que toutes les données personnelles qu'elle manipule sont transmissent de façon sécurisé (en utilisant le protocole https), et que tous les programmes qu'elle manipule sont eux même transmis de façon sécurisé (et que donc, les données personnelles ou les programmes qu'ils manipulent sont eux même transmis de façon sécurisés). A l'inverse, si la page principale n'utilise par le protocole https, le visiteur n'a aucun moyen d'être sûr que les données seront transmises de façon sécurisée, et le responsable du site internet ne peut plus le garantir luimême : même s'il a programmé le site pour les transmettre de façon sécurisés, sachant que la page principale 5

Indicateurs & protocoles: Economie - Global Reporting Initiative
Télécharger le document - Golf du Cap d'Agde
Documentation technique
Documentation technique
1725-16755-001 Rev C_FR.indd - Polycom Support
Documentation technique
CNIL-35e_rapport_annuel_2014
CNIL-CAHIERS_IPn1
Formulaire de déclaration normale à la CNIL
CNIL-35e_rapport_annuel_2014.pdf
La déclaration à la CNIL Les mentions obligatoires
CNIL-35e_rapport_annuel_2014.pdf
CNIL-35e_rapport_annuel_2014.pdf
CNIL-35e_rapport_annuel_2014.pdf
E 001 Echange d'informations
LETTRE CIRCULAIRE N° 2009-001 - Urssaf
1725-16755-001 Rev C_FR.indd - Polycom
4 Prospection de surface site 001 : Banse - Société Archéologique ...
Loi organique n° 11/001 du 10 janvier 2011 portant composition ...
Protégez votre site Internet avec Always On SSL - Online Trust ...
03 - Web Service - SOAP - Project web sites
Paramètres des principaux serveurs e-mail - Sfr
Services web - Université de Cergy Pontoise