Forum : Questions techniques et entraide entre juristes
Echanges sur des points de droit.
Déclaration CNIL
de
Rock Lee
le Lun 17 Sep 2007 11:45
- "Membre actif"
-
- 25 messages
- Localisation: 75
-
Profession: Documentaliste, KM
Bonjour à tous,
Je me pose une question en matière de déclaration d'applications à la CNIL.
Je souhaite savoir si les applications dont l'accès est conditionné par un login et un mot de passe donnent lieu à déclaration lorsque le login est composé du nom de l'utilisateur.
D'une part, il me semble que la norme simplifiée 46 prévoit ce cas de figure. Cette norme s'applique aux "traitements automatisés relatifs à la gestion du personnel des organismes publics ou privés" ayant pour fonction "la mise en œuvre de dispositifs destinés à assurer la sécurité des applications informatiques et des réseaux". Il me semble donc que chaque installation de ce type d'application est conditionné par une déclaration de conformité, et l'information des personnes concernées.
Toutefois, cette obligation de déclaration me parait très lourde au regard du monde du travail. Ainsi, toute entreprise mettant à disposition le système d'exploitation Windows, et dont le login serait composé du nom du salarié devrait déclarer l'utilisation de windows à la CNIL ?
Que pensez-vous de tout cela ?
de
Mon ego et moi
le Lun 17 Sep 2007 14:17
- "Vétéran"
-
- 1453 messages
- Localisation: 75
-
Profession: Avocat
-
Il me semble effectivement que vous pouvez utiliser la norme simplifiée 46 et qu'il est plus prudent de déclarer : même un code d'accès numérique permet d'identifier la personne concernée, donc par prudence, je déclarerais.
« Certaines plages sous-staffées justifient, à iso-effectifs, l’ajustement du workflow via notamment la mise en place de task forces ».
N°1 au classement SMBG des meilleurs forumistes du Village Justice.
de
nox
le Lun 17 Sep 2007 14:42
- "Vétéran"
-
- 635 messages
- Localisation: 75
-
Profession: Juriste
cela permet d'identifier un salarié à une machine, éventuellement d'en controler l'aciivité (logs de connexion) donc...-> déclaration
53,5% des statistiques sont fausses
Toute clause limitative de responsabilité qui reçoit un coup de pied circulaire de Chuck Norris est réputée non écrite.
de
fabienne35
le Lun 17 Sep 2007 16:58
- "Membre actif"
-
- 247 messages
- Localisation: 35
-
Profession: Autre métier du droit
idem déclaration.. et puis ce n'est pas si 'lourd" puisque c'est une déclaration simplifié.. et on ne demande pas de fournir tous les login !
l'article 2 de la norme simplifiée est en effet clair
la mise à disposition des personnels d’outils informatiques :
* suivi et maintenance du parc informatique ;
* gestion des annuaires informatiques permettant de définir les autorisations d’accès aux applications et aux réseaux ;
* mise en œuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux, à l’exclusion de tout traitement permettant le contrôle individuel de l’activité des employés ;
* gestion de la messagerie électronique professionnelle, à l’exclusion de tout traitement permettant le contrôle individuel de l’activité des employés ;
* réseaux privés virtuels internes à l’organisme permettant la diffusion ou la collecte de données de gestion administrative des personnels (intranet) ;
Dans les données "concervable" après cette déclaraito il y a en effet (article 3)
données de connexion enregistrées pour assurer la sécurité et le bon fonctionnement des applications et des réseaux informatiques, à l’exclusion de tout traitement permettant le contrôle individuel de l’activité des employés ;
ça se fait une fois pour toute au moment de la mise en place du système de'information..
de
Rock Lee
le Lun 17 Sep 2007 17:03
- "Membre actif"
-
- 25 messages
- Localisation: 75
-
Profession: Documentaliste, KM
Merci pour vos réponses qui me confortent dans mon raisonnement.
Effectivement, ce n'est pas une procédure très lourde (simple déclaration simplifiée) mais elle implique que pour toute nouvelle application mise en place qui fonctionnerait selon ce principe de login, une déclaration doit être dressée. Dans le cadre d'un gros groupe, cela me semble très contraignant. Une solution technique consisterait peut-être à utiliser des identifiants numériques au lieu et place du login.
de
Mon ego et moi
le Lun 17 Sep 2007 23:46
- "Vétéran"
-
- 1453 messages
- Localisation: 75
-
Profession: Avocat
-
Rock Lee a écrit :Merci pour vos réponses qui me confortent dans mon raisonnement.
Effectivement, ce n'est pas une procédure très lourde (simple déclaration simplifiée) mais elle implique que pour toute nouvelle application mise en place qui fonctionnerait selon ce principe de login, une déclaration doit être dressée. Dans le cadre d'un gros groupe, cela me semble très contraignant. Une solution technique consisterait peut-être à utiliser des identifiants numériques au lieu et place du login.
Je le mets en gras, parce que c'est le nœud du problème : qu'on identifie les salariés par leur nom, par un numéro ou par le tour de tête de leur animal de compagnie, ça revient au même, il est question de faire correspondre un moyen d'identifier avec une même personne, donc de la rendre reconnaissable. Donc, de nouveau être visée par la loi I&L.
« Certaines plages sous-staffées justifient, à iso-effectifs, l’ajustement du workflow via notamment la mise en place de task forces ».
N°1 au classement SMBG des meilleurs forumistes du Village Justice.
de
Rock Lee
le Mar 18 Sep 2007 11:34
- "Membre actif"
-
- 25 messages
- Localisation: 75
-
Profession: Documentaliste, KM
Je suis complètement d'accord, du point de vue juridique. Néanmoins, je persiste à trouver cette situation très contraignante pour les entreprises.
Ex: une entreprise installe windows pro et crée un compte utilisateur pour chacun de ses salariés avec login nominatif. Cela impliquerait une déclaration simplifiée de windows.
Je doute, d'une part, que cette situation présente un risque majeur d'atteinte aux droits du salarié, et d'autre part, qu'elle soit connue par beaucoup d'entreprises.
de
fabienne35
le Mar 18 Sep 2007 13:19
- "Membre actif"
-
- 247 messages
- Localisation: 35
-
Profession: Autre métier du droit
de toute façon l'entreprise va consulter les représentants du personnel sur l'introduction de cette nouvelle technologie.. donc la déclaration CNIL (qui n'est pas un autorisation d'ailleurs) n'est certainement pas la partie la plus "lourde" de l'opération !
de
sol_carlus
le Jeu 20 Sep 2007 10:16
- "Membre"
-
- 1 messages
- Localisation: 75
-
Profession: Juriste
Bonjour,
Il ne faut pas oublier que ce que l'on déclare à la CNIL ce n'est pas le traitement des données en tant que tel mais bel et bien la finalité de ce traitement.
Donc à partir du moment où tu déclares à la CNIL un traitement de données dont la finalité est la "sécurisation de l'accès aux solutions logicielles" d'une société, cette déclaration englobe tous les traitements de données ayant la même finalité.
Une déclaration est donc possible pour l'utilisation de tout logiciel nécessitant un login et un pass.
de
Rock Lee
le Jeu 20 Sep 2007 11:09
- "Membre actif"
-
- 25 messages
- Localisation: 75
-
Profession: Documentaliste, KM
Ca me semble curieux, puisque sur le formulaire de déclaration simplifié, il faut faire apparaitre le nom de l'application concernée par la déclaration.
Et pour reprendre l'exemple de l'installation de windows, ce programme n'a pas à proprement parler une finalité de "sécurisation de l'accès aux solutions logicielles", mais les mesures de sécurité permettant son accès contiennent des données personnelles (le nom de l'utilisateur). Est-ce que mon interprétation n'est pas trop sévère ?
Au total il y a 30 utilisateurs en ligne :: 0 enregistré, 1 invisible et 29 invités (basées sur les utilisateurs actifs des 5 dernières minutes).
Le record du nombre d’utilisateurs en ligne est de 1334, le Mar 14 Avr 2020 20:28