Vie privée et Internet

1,118 views

Published on

Conférence donnée à Waterloo le 28 avril 2010

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,118
On SlideShare
0
From Embeds
0
Number of Embeds
176
Actions
Shares
0
Downloads
32
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • “ Social tools don’t create collective action – they merely remove the obstacles to it.” “Those obstacles have been so significant and pervasive, however, that as they are being removed, the world is becoming a different place.” – Clay Shirky “ Revolution doesn’t happen when society adopts new technologies – it happens when society adopts new behaviours”. – Clay Shirky
  • Vie privée et Internet

    1. 1. Internet et vie privée faut-il avoir peur? Waterloo le 28/4/2010 Jacques Folon Partner Just In Time Management Professeur à l’ICHEC – ISFSC – IHECS Professeur invité Université de Metz
    2. 2. <ul><li>La présentation powerpoint est à votre disposition sur </li></ul><ul><li>www.privacybelgium.be </li></ul>
    3. 3. 28/04/10 Jacques Folon -LSGI Quelques informations pour démarrer
    4. 4. 28/04/10 Jacques Folon -LSGI Nous sommes dans un monde digital
    5. 5. Les média sociaux c’est UNE CONVERSATION http://catherinewhite.files.wordpress.com/2009/08/social-media-conversation.jpg
    6. 7. Adoption is global and faster than IT, especially in large companies
    7. 8. this is what 2.0 means
    8. 9. new technologies require new methodologies
    9. 10. présente Encore 10 chiffres-clefs qui vous feront (peut-être) revoir votre position sur l’utilisation professionnelle des blogs et des réseaux sociaux
    10. 11. C’est le montant des ventes directes réalisées par Dell grâce à son profil Twitter (1,5 million de followers) en 2009* Source : NetEco + 6,5 millions $ *N’est-ce pas justement vous qui recherchiez un moyen de doper vos ventes ?
    11. 12. C’est le nombre de vidéos* regardées par les internautes sur YouTube… … chaque jour ! Source : Le Monde Informatique 1 milliard * Parmi celles-ci, peut-être celles réalisées par votre entreprise ?
    12. 13. de Twitter s’en servent avant tout pour rechercher, échanger ou lire de l’information* Source : FaberNovel et L’Atelier 51% des utilisateurs français *combien de temps votre attaché de presse passe-t-il à rédiger ses communiqués et relancer les journalistes, déjà ?...
    13. 14. Un quart <ul><li>des contenus partagés entre internautes </li></ul><ul><li>dans le monde </li></ul><ul><li>(articles de blogs, liens vers des sites, </li></ul><ul><li>photos, vidéos, etc.) </li></ul><ul><li>le sont grâce à Facebook * </li></ul><ul><li>Source : Kranf </li></ul>*350 millions d’utilisateurs dans le monde
    14. 15. Facebook dépasse Google
    15. 16. 80 % C’est, le nombre d’entreprises américaines qui utilisent LinkedIn* comme source principale de recrutement (source : Jobvite social recruitment survey 2009 )
    16. 17. <ul><li>Source : Forrester </li></ul>des internautes américains adultes sont présents et contribuent sur les médias sociaux * + de 4 sur 5 * et pendant ce temps-là… rappelez-moi où vous recherchez vos nouveaux prospects, futurs collaborateurs ou partenaires ?...
    17. 18. C’est le nombre de membres de la communauté (donc d’ambassadeurs bénévoles) de l’entreprise Starbucks sur les médias sociaux Source : Suscriber wars 6,1 millions
    18. 19. C’est le nombre de commentaires* générés par un seul article mis en ligne sur le blog des supermarchés américains Walmart (à propos du lait vendu sous sa marque)* Source : le blog de Walmart 269 * on vous laisse imaginer le nombre de lecteurs du blog de cette entreprise ?...
    19. 20. +18 % de bénéfices C’est en moyenne le résultat financier obtenu par les marques les + engagées sur le web 2.0 . Les marques les moins engagées doivent, quant à elles, faire face à des pertes d’en moyenne 6 %. Source : étude Webpaint et Altimeter group RAPPEL
    20. 22. Generation Y
    21. 23. Ils s’en servent et ca marche !
    22. 24. <ul><li>American mobile users (feb.2010): </li></ul><ul><li>2.7 hours per day on the mobile web </li></ul><ul><li>91% use the mobile web to socialize vs </li></ul><ul><li>79% of desktop users </li></ul><ul><li>45% post comments on social networks </li></ul><ul><li>43% are connecting with friends on social networks </li></ul><ul><li>40% share content </li></ul><ul><li>38% share photos </li></ul>Source: http://socialnomics.files.wordpress.com/2010/02/mobile-social-networking1.jpg
    23. 26. http://www.villiard.com/images/informatique/vie-privee/vie-privee.jpg Ou en sommes nous aujourd’hui en ce qui concerne la protection des données ?
    24. 27. Recent local data breaches by Charles Mok Internet Society Hong Kong <ul><li>09.04 / United Christian Hospital / Doctor lost USB drive / 8 patients </li></ul><ul><li>09.03 / United Christian Hospital / Doctor lost USB drive / 47 patients </li></ul><ul><li>09.03 / Open University / Staff lost USB drive / undisclosed # of students </li></ul><ul><li>09.03 / HK Police / 70 internal documents on Foxy </li></ul><ul><li>09.02 / SCAA / Players and coaches salaries for past 10 yrs on Foxy </li></ul><ul><li>09.02 / HK Police / Personnel files lost in auxiliary police file cabinet </li></ul><ul><li>09.02 / Fire Services / 20 personnel/appraisal reports etc on Foxy </li></ul><ul><li>09.01 / Hawk Control, FEHD / USB drive w/ internal docs found on bus </li></ul><ul><li>08.12 / Social Welfare Dept / USB drives lost / 63 clients/109 data subjects </li></ul><ul><li>08.11 / BEA / Customer statements trashed, used to wrap flowers </li></ul><ul><li>08.07 / HSBC / 25,000 customers' conversations on tapes lost in mail </li></ul>
    25. 28. Recent local data breaches...more <ul><li>08.06 / Customs & Excise Dept / Internal doc & statement found on Foxy </li></ul><ul><li>08.06 / Immigration Dept / Confidential file taken home by staff to familiarize himself with procedures, found on Foxy </li></ul><ul><li>08.05 / Census & Statistics Dept / USB drive lost / 2 companies' data </li></ul><ul><li>08.05 / HK Police / Info about undercover operations, appraisal report and ICAC job description on Foxy </li></ul><ul><li>08.03 /HSBC / Server lost in Kwun Tong branch during renovation </li></ul><ul><li>08.04 / Civil Service Bureau / USB drive lost </li></ul><ul><li>08.04 / HK Police / Documents found on Foxy </li></ul><ul><li>08.04 / Civil Aviation Dept / Documents found on Foxy </li></ul><ul><li>08.04 and before / Hospital Authority / over 10 cases involving loss of USB drives, digital cameras, notebook, PDA, MP3 players, etc. </li></ul>
    26. 29. You think that's bad? Wait... <ul><li>09.04 / Moses Cone Hospital (Greensboro, NC) / 14,380 patients' data stolen on notebook </li></ul><ul><li>09.04 / Peninsula Orthopaedic Associates / Tapes with 100,000 patients' data stolen </li></ul><ul><li>09.04 / Tennessee Dept of Human Services / Employee caught selling personal data / 1,178 people </li></ul><ul><li>09.04 / Borrego State Bank (CA) / 7 notebook PCs stolen from audit firm </li></ul><ul><li>09.04 / Hawaii Transport Dept / Computer stolen / 1,892 driver license holders </li></ul><ul><li>09.04 / Nashville Schools (TN) / Contractor put student data on unsecured web server / 18,000 students </li></ul><ul><li>09.04 / City of Culpeper (VA) / Contractor exposed 7,845 taxpayers data on Internet </li></ul><ul><li>09.02 / Arkansas Dept of Info Systems / Computer tapes lost / 807,000 people </li></ul><ul><li>http://www.privacyrights.org </li></ul>
    27. 30. ...and there're more... <ul><li>09.01 / Merrill Lynch (NY) / Contractor burglarized, losing a computer containing unknown number of staff info </li></ul><ul><li>09.01 / Pepsi (NY) / Portable storage device lost w/ unknown # of staff data </li></ul><ul><li>09.01 / CheckFree (Atlanta, GA) / Hackers took over domains and redirected customers to phishing site in the Ukraine. At least 16,000 customers are believed to be affected, but company warned 5 million customers. </li></ul><ul><li>09.01 / Genica/Geeks.com (Oceanside, CA) / Data of unknown number of e-commerce site customers, incl. credit card numbers, stolen by hacker </li></ul><ul><li>09.01 / U of Rochester (NY) / 450 students info incl SS# hacked </li></ul><ul><li>09.01 / Columbus City Schools (OH) / Police raid uncovered 100 city employees' personal info, believed to be intercepted in mails </li></ul><ul><li>09.01 / Heartland Payment (NJ) / Cyberfraud compromised over 100M transaction records </li></ul><ul><li>http://www.privacyrights.org </li></ul>
    28. 31. ...by everyone (just 2009) <ul><li>Univ of Oregon / unknown </li></ul><ul><li>Seventh Day Adventists /292 </li></ul><ul><li>Continental Airlines / 230 </li></ul><ul><li>Forcht Bank (KY) / 8,500 </li></ul><ul><li>Charleston Health Dept (WV) / 11,000 </li></ul><ul><li>Missouri State U / 565 </li></ul><ul><li>Monster.com / unknown </li></ul><ul><li>US Military / 60 </li></ul><ul><li>US Consulate (Jerusalem) </li></ul><ul><li>Indiana Dept of Admin / 8,775 </li></ul><ul><li>phpBB.com / 400,000 </li></ul><ul><li>ComCast / 4,000 </li></ul><ul><li>http://www.privacyrights.org </li></ul><ul><li>Kaiser Permanente (CA) / 30,000 </li></ul><ul><li>Kaspersky, Symantec / unknown </li></ul><ul><li>Parkland Memorial Hospital (TX) / 9,300 </li></ul><ul><li>Federal Aviation Dept / 43,000 </li></ul><ul><li>U of Alabama / 37,000 </li></ul><ul><li>Wyndham Hotels / 21,000 </li></ul><ul><li>CVS Pharmacies / unknown </li></ul><ul><li>Walgreens / 28,000 </li></ul><ul><li>New York Police / 80,000 </li></ul><ul><li>Idaho National Lab / 59,000 </li></ul><ul><li>Google (doc users) / unknown </li></ul><ul><li>US Army / 1,600 </li></ul>
    29. 32. SOURCE : http://www.20min.ch/ro/multimedia/stories/story/22206398
    30. 33.
    31. 34.
    32. 35. AVANT
    33. 36. Ce que les patrons croient…
    34. 37. En réalité…
    35. 38. Ou sont les données?
    36. 39. Tout le monde se parle !
    37. 40. Les employés partagent des informations
    38. 42. Source : https://www.britestream.com/difference.html .
    39. 45. La transparence est devenue indispensable !
    40. 46. Comment faire pour protéger les données?
    41. 47. <ul><li>60% des citoyens européens se sentent concernés </li></ul><ul><li>La découverte des vols de données se fait après-coup! </li></ul><ul><li>La protection des données est un risque opérationnel => observé par les investisseurs </li></ul><ul><li>La connaissance de ses clients est un atout (CRM) </li></ul>La mise en conformité de la sécurité avec la protection de la vie privée est obligatoire et indispensable
    42. 48. Quels sont les risques? <ul><li>Perte de réputation (procès, articles,…) </li></ul><ul><li>Les médias en parlent systématiquement </li></ul><ul><li>Vol de données de clients, d’employés, d’administrateurs, … </li></ul><ul><li>Perte de confiance des clients </li></ul><ul><li>Sanctions pénales et civiles </li></ul>On en parlera !
    43. 49. Contexte juridique
    44. 50. Trois définitions importantes
    45. 51. <ul><li>Qu’est-ce qu’une donnée personnelle? </li></ul><ul><li>Qu’est-ce qu’un traitement? </li></ul><ul><li>Qu’est-ce qu’un responsable de traitement? </li></ul>
    46. 52. Donnée personnelle On entend par &quot;données à caractère personnel”: toute information concernant une personne physique i dentifiée ou identifiable, désignée ci-après &quot;personne concernée&quot;; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs É léments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale
    47. 53. Par &quot;traitement&quot;, on entend toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés A utomatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de données à caractère personnel. Traitement de données
    48. 54. Par &quot;responsable du traitement&quot;, on entend la personne physique ou morale, l'association de fait ou l'administration publique qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel . Responsable de traitement
    49. 55. <ul><li>Loyauté </li></ul><ul><li>Finalité </li></ul><ul><li>Proportionalité </li></ul><ul><li>Exactitude des données </li></ul><ul><li>Conservation non excessive </li></ul><ul><li>Securité </li></ul><ul><li>Confidentialité </li></ul><ul><li>Finalité expliquée avant le consentement </li></ul><ul><li>Information à la personne concernée </li></ul><ul><li>Consentement indubitable (opt in) </li></ul><ul><li>D é claration à la commission de la vie privée </li></ul>Responsabilités du “responsable de traitement  »
    50. 56. Responsabilités du “responsable de traitement” <ul><li>Loyauté </li></ul><ul><ul><li>Soyez honnête et correct avec la personne concernée </li></ul></ul><ul><li>Proportionnalité </li></ul><ul><ul><li>Pas de demande d’informations non nécessaires </li></ul></ul><ul><li>Maintien de l’exactitude des données: Mutapost par exemple </li></ul>
    51. 57. <ul><li>Conservation raisonnable </li></ul><ul><ul><li>Les données doivent être détruites après la période strictement indispensable à la finalité (Jeux-concours, enquête, etc.) </li></ul></ul><ul><li>Sécurité </li></ul><ul><ul><li>Légale, organisationnelle & technique </li></ul></ul><ul><li>Confidentialité </li></ul><ul><ul><li>employés et sous-contractants </li></ul></ul><ul><li>Finalité expliquée avant le consentement </li></ul><ul><ul><li>Et n’oubliez pas la loyauté ! </li></ul></ul>Responsabilités du “responsable de traitement”
    52. 58. Responsabilités du responsable de traitement <ul><li>Information à la personne concernée </li></ul><ul><ul><li>Liste des informations nécessaires (nom, adresse, contact, policy, etc.) </li></ul></ul><ul><li>Consentement indubitable </li></ul><ul><ul><li>Opt-in on line et opt-out off-line </li></ul></ul><ul><ul><li>N’oubliez pas de garder les preuves d’inscriptions! </li></ul></ul><ul><li>D é claration </li></ul>28/04/10
    53. 59. Droits du consommateur <ul><li>6 PRINCIPES: </li></ul><ul><li>Droit d’accès </li></ul><ul><li>Droit de rectification </li></ul><ul><li>Droit de refuser le marketing direct </li></ul><ul><li>Droit de retrait </li></ul><ul><li>D roit à la sécurité </li></ul><ul><li>A cceptation préalable </li></ul>
    54. 60. Droits des personnes concernées <ul><li>6 PRINCIPES: </li></ul><ul><li>Droit d’accès: </li></ul><ul><ul><li>maximum 45 jours pour répondre </li></ul></ul><ul><ul><li>Toute l’information </li></ul></ul><ul><li>Droit de rectification: </li></ul><ul><ul><li>En cas d’erreurs </li></ul></ul><ul><ul><li>Dans le mois de la demande </li></ul></ul><ul><li>3. Droit de refuser le marketing direct </li></ul><ul><ul><li>Pas de contact via e-mail, telephone, … </li></ul></ul><ul><ul><li>Pas de transfert à des tiers </li></ul></ul>
    55. 61. Droits des personnes concernées <ul><li>4 . Droit de retrait </li></ul><ul><ul><li>Liste Robinson ABMD: </li></ul></ul><ul><ul><li>- Liste Robinson interne par produit ou par client </li></ul></ul><ul><li>5. Acceptation préalable </li></ul><ul><ul><li>Publicité par fax </li></ul></ul><ul><ul><li>Publicité par appel automatique </li></ul></ul><ul><ul><li>Publicité par e-mail </li></ul></ul><ul><li>6. S écurité des donn ées </li></ul>
    56. 62. Données reçues et transférées
    57. 63. Informations sensibles
    58. 64. Informations sensibles <ul><li>Race </li></ul><ul><li>Opinions politiques </li></ul><ul><li>Opinions religieuses ou philosophiques </li></ul><ul><li>Inscriptions syndicales </li></ul><ul><li>Comportement sexuel </li></ul><ul><li>Santé </li></ul><ul><li>Décisions judiciaires </li></ul>
    59. 66. OPT IN sur Internet <ul><li>Obligatoire </li></ul><ul><li>Le propriétaire de la banque de données doit être capable de prouver que l’opt-in a bien eu lieu !! </li></ul><ul><li>Exceptions selon les législations </li></ul>
    60. 67. Comment obtenir le consentement?
    61. 69. Pas d’opt in nécessaire pour: <ul><li>Client </li></ul><ul><li>Services ou produits analogues </li></ul><ul><li>Possibilité de refuser </li></ul><ul><li>info@abcd.be </li></ul>
    62. 70. SPAMMING http://blog.dolphinpromotions.co.uk/general/seo-companies-stop-spamming-us-rant/102 Spamming
    63. 71. Courrier électronique non sollicité <ul><li>L'utilisation du courrier électronique à des fins de publicité est interdite, sans le consentement préalable, libre, spécifique et informé du destinataire des messages.  </li></ul><ul><li>  </li></ul><ul><li>  Lors de l'envoi de toute publicité par courrier électronique, le prestataire :  </li></ul><ul><li>1° fournit une information claire et compréhensible concernant le droit de s'opposer, pour l'avenir, à recevoir les publicités;   </li></ul><ul><li>2° indique et met à disposition un moyen approprié d'exercer efficacement ce droit par voie électronique.   </li></ul><ul><li>   </li></ul>
    64. 72. <ul><li>Lors de l'envoi de publicités par courrier électronique, il est interdit :   </li></ul><ul><li>1° d'utiliser l'adresse électronique ou l'identité d'un tiers;  </li></ul><ul><li>2° de falsifier ou de masquer toute information permettant d'identifier l'origine du message de courrier électronique ou son chemin de transmission.   </li></ul><ul><li>La preuve du caractère sollicité des publicités par courrier électronique incombe au prestataire. </li></ul>
    65. 73. Cookies
    66. 74. Transferts de données transfrontaliers
    67. 75. S é curit é
    68. 78. Le maillon faible…
    69. 79. <ul><li>Sécurité organisationnelle </li></ul><ul><ul><li>Département sécurité </li></ul></ul><ul><ul><li>Consultant en sécurité </li></ul></ul><ul><ul><li>Procédure de sécurité </li></ul></ul><ul><ul><li>Disaster recovery </li></ul></ul>
    70. 80. <ul><li>Sécurité technique </li></ul><ul><ul><li>Risk analysis </li></ul></ul><ul><ul><li>Back-up </li></ul></ul><ul><ul><li>Procédure contre incendie, vol, etc. </li></ul></ul><ul><ul><li>Sécurisation de l’accès au réseau IT </li></ul></ul><ul><ul><li>Système d’authentification (identity management) </li></ul></ul><ul><ul><li>Loggin and password efficaces </li></ul></ul>
    71. 81. <ul><li>Sécurité juridique </li></ul><ul><ul><li>Contrats d’emplois et information </li></ul></ul><ul><ul><li>Contrats avec les sous-contractants </li></ul></ul><ul><ul><li>Code de conduite </li></ul></ul><ul><ul><li>Contrôle des employés </li></ul></ul><ul><ul><li>Respect complet de la réglementation </li></ul></ul>
    72. 82. Qui contrôle quoi ?
    73. 83. <ul><li>Que peut-on contrôler? </li></ul><ul><li>Limites? </li></ul><ul><li>Correspondance privée </li></ul><ul><li>Saisies sur salaire </li></ul><ul><li>Sanctions réelles </li></ul><ul><li>Communiquer les sanctions? </li></ul>
    74. 84. Contrôle des employés : équilibre <ul><li>Protection de la vie privée des travailleurs </li></ul><ul><li>ET </li></ul><ul><li>Les prérogatives de l’employeur tendant à garantir le bon déroulement du travail </li></ul>
    75. 85. Peut-on tout contrôler et tout sanctionner ?
    76. 86. Principe de finalité Principe de proportionnalité
    77. 87. Les 4 finalités <ul><li>Prévention de faits illégaux, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui </li></ul><ul><li>La protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires </li></ul>
    78. 88. Les 4 finalités 3 La sécurité et/ou le fonctionnement technique de l’ensemble des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l’entreprise 4 Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise
    79. 89. sanctions <ul><li>Cohérentes </li></ul><ul><li>Légales </li></ul><ul><li>Zone grise </li></ul><ul><li>Réelles </li></ul><ul><li>Objectives </li></ul><ul><li>Syndicats </li></ul>
    80. 90. Sécurité et sélection <ul><li>Screening des CV </li></ul><ul><li>Avant engagement </li></ul><ul><li>Final check </li></ul><ul><li>Antécédents </li></ul><ul><li>Quid médias sociaux, Facebook, googling, etc? </li></ul><ul><li>Tout est-il permis? </li></ul>
    81. 91. Quels sont les risques ? 28/04/10 Jacques Folon -LSGI
    82. 100. RÖLE DU RESPONSABLE DE SECURITE
    83. 101. Alors quand un patron pense à ses données il est zen ?
    84. 102. Ou plutôt?
    85. 104. Méthodologie http://www.sunera.com/typo3temp/pics/f43202fdda.jpg
    86. 105. Espérons que la sécurité de vos données ne ressemble jamais à ceci !
    87. 106. Jacques Folon + 32 475 98 21 15 j [email_address] www.jitm.eu
    88. 107. QUESTIONS ?

    ×