WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

La faisabilité des schémas de certification de protection de la vie privée

( Télécharger le fichier original )
par Florence BONNET
Institut Supérieur d'Electronique de Paris - Mastère gestion et protection des données à caractère personnel 2010
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

(2) Iso 29100 et 29101

En 2003, l'ISO a lancé le groupe de travail sur les technologies de la protection de la vie privée pour identifier les besoins de standardisation  qui s'intitule aujourd'hui : Privacy Standardization ISO/IEC JTC 1/SC 27/WG 5 «Privacy & Identity ManagementTechnologies» (fig.3)

Après évolution, les thèmes de travail sont les suivants (*)REF _Ref278271812 \r \h \* MERGEFORMAT  :

cadres & Architectures

A Framework for Identity Management (ISO/IEC 24760, FCD, WD, WD)

Privacy Framework (ISO/IEC 29100, FCD)

Privacy Reference Architecture (ISO/IEC 29101, CD)

Entity Authentication Assurance Framework

(ISO/IEC 29115 / ITU-T X.eaa, CD)

A Framework for Access Management (ISO/IEC 29146, WD)

Concepts de protection

Biometric information protection (ISO/IEC 24745, FDIS)

Requirements on partially anonymous, partially unlinkable authentication

(ISO/IEC 29191, CD)

Guide sur le contexte et l'évaluation

Authentication Context for Biometrics (ISO/IEC 24761, IS)

Privacy Capability Assessment Model ( ISO/IEC 29190, WD)

Les normes ISO 29100 et 29101 (stade draft) ne traitent pas de DP mais de « données identifiant les individus » (PII) et propose de les classer en trois catégories :

-informations qui pourraient être utilisées pour discriminer le sujet (ex.race, religion, ethnie, idées philosophiques, idées politiques et syndicales, vie sexuelle, santé )

-informations qui pourraient entrainer une usurpation d'identité ou des conséquences financières

-informations qui pourraient servir à tracer l'individu

Les données doivent être classifiées.

Ainsi il est proposé de baser la classification sur le besoin de protection (tableau ci-dessous) ou autre (ex. le niveau d'impact : BAS/ MEDIUM/HAUT)

Tableau Personal Identifiable Information

PII catégories de protection

Description

PII besoin de consentement

Consentement préalable

PII sensibles

Précautions spéciales pour modifications, enregistrement, diffusion ...

PII protégées

Niveau de protection défini pour une utilisation hors de la finalité

PII pour la recherche

Besoin d'anonymisation ou pseudonymisation

Figure ISO/IEC JTC 1/SC 27-IT Techniques de sécurité

La politique et les procédures de protection des PII, dépendent de trois facteurs :

· Préférences de l'individu

· Secteur, domaine (politique contractuelle ; politique de l'organisation ; pratiques du secteur d'activité...)

· Lois et règlements

La sensibilité des données s'étend à toutes les PII desquelles les PII sensibles peuvent être déduites selon le secteur. De plus des lois locales peuvent juger de la sensibilité de certaines données. Enfin la sensibilité est à considérer de manière globale, c'est-à-dire une sensibilité augmentée si deux PII sont traitées ensemble.

Base des principes de l'ISO /IEC 29100 :

1. Consentement libre, éclairé, opt in, information accessible, facilement compréhensible

2. Légitimité du traitement et finalité : communiqué au plus tard au moment de la collecte ; base légale, nom des destinataires, durée conservation

3. Collecte limitée aux besoins en fonction de la finalité

4. Limitations d'utilisation, de conservation, de divulgation

5. Limitation des interactions, des liaisons entre données et si possible le suivi, l'observabilité, détruire si finalité atteinte

6. Pertinence et qualité des données, actualisées

7. Ouverture, transparence, et information

8. Participation individuelle et accès, modification

9. Responsabilité et « obligation de rendre compte » (Accountability) 

10. Information sur les contrôles de sécurité : intégrité, disponibilité, confidentialité tout au long du cycle de management ; les mesures sont basées sur les exigences légales; implémentation en fonction de la probabilité et de la sévérité des conséquences ;

11. Moyens organisationnels, techniques et physiques ;

12. Conformité : contrôles internes appropriés ; développer et maintenir des processus de maintien de conformité

13. procédures de rétablissement et de contrôle.

Pour chaque principe la norme décrit les moyens d'y parvenir.

Elle prescrit la prise en compte de la protection des données dès la conception (PbD), des évaluations et audits réguliers.

Les points relatifs à la sécurité des données sont à titre d'illustration, mis en parallèle avec les articles correspondants de l'ISO 27002 :

Tableau principes de protection des données et leur correspondance en sécurité de l'information

Consentement

Choix

IT mesures de sécurité

ISO 27002/2007

Rendu des comptes

« accountability »

Prendre les mesures les plus adéquates,

Politiques, responsabilisation

6-1-5

Finalités spécifiques

Ne s'applique pas

7-1 et 8-1-1

Collecte limitée

Réduire le montant des infos confidentielles et l'accès aux équipements à protéger

 

Utilisation, rétention et

divulgation

Utiliser des accords de confidentialité

4-2 A ET C

6-1-5 , 7-2 et11

Données minimum

 

5-7-2 et svt et 10/10

Pertinence et qualité

 

12-2-4

Ouverture, transparence et

Information

 

10-8-1 et svt

Participation individuelle et

accès

 
 

Information sur

Les contrôles de sécurité

Accès définis et limités, sécurisation des infractructure, BCR, transport physique et électronique es données

 

conformité

A 27002/2007

 

-ISO 29101 Implémentation: architecture pour planifier et construire un système de TIC traitant des PII (voir fig.5)

Il s'agit de bonnes pratiques fondées sur les principes énoncés dans l'ISO 29100, dont les principales caractéristiques sont : la mise en oeuvre d'un processus d'amélioration continue, la mise en place d'un système de gouvernance, la gestion des risques, un principe de collecte et de traitement minimum de PII ; un rôle primordial accordé à la sensibilisation, à l'éducation, et à la communication proactive, sur les obligations règlementaires, légales, contractuelles et sur les exigences du secteur d'activité pour la gestion et protection des PII.

Une série de mesures concernent les PETs.

Tableau cadre de référence des principaux éléments de l'architecture de protection de la vie privée (source ISO 29101)

-Le modèle de maturité ISO/IEC NP 29190 Privacy capability maturity model (modèle de maturité de possibilités) :
Ce document encore au stade de draft, consiste en une série de lignes directrices devant permettre aux organisations d'évaluer la maturité de leur processus de traitement des informations personnelles, c'est-à-dire leur capacité à manager et à atteindre des résultats liés à la protection de la vie privée. Cela revient à considérer que divers acteurs sont concernés et que les exigences varient en fonction du niveau d'intervention de chacun.
Le document pourrait aussi être utilisé par des tierces parties.

Le CMP semble faire un retour en force dans le secteur de la protection de la vie privée puisqu'on le retrouve tant au niveau du standard ISO que du PMM de l'AICPA ou par exemple du modèle de gouvernance de Microsoft. (*)REF _Ref278271812 \r \h \* MERGEFORMAT

La maturité d'une organisation est le degré auquel celle-ci a déployé explicitement et de façon cohérente des processus qui sont documentés, gérés, mesurés, contrôlés et continuellement améliorés.

Un niveau de maturité (Maturity Level) correspond à l'atteinte d'un niveau de capacité uniforme pour un groupe de processus.

Un niveau de capacité (Capability Level) mesure l'atteinte des objectifs d'un processus pour le niveau donné.

* REF _Ref278271812 \r \h \* MERGEFORMAT Annexe 4 ISO roadmap


* REF _Ref278271812 \r \h \* MERGEFORMAT Modèle de gouvernance


précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Piètre disciple, qui ne surpasse pas son maitre !"   Léonard de Vinci