Actualités de Lettre à Elise
Par mjollnir - 10 août 2017

Elise et la protection de la vie privée

Bonjour,

La protection de la vie privée est un thème de plus en plus incontournable.
Elise est, par définition, un outil qui permet de collecter des données nominatives et de faire des traitements dessus.

La législation évolue vers une protection renforcée de la vie privée.
Les amendes pourront bientôt atteindre 4% du chiffre d'affaire d'une société pour les cas les plus grave de violation des règles en ce domaine. (Je vous recommande à ce sujet l'émission esprit public du France Culture intitulée "liberté et sécurité à l'heure du numérique" du 06/08/17 qui a pour invitée Mme Falque-Pierrotin présidente de la CNIL française et de son équivalent Européen : https://www.franceculture.fr/emissions/lesprit-public/liberte-et-securite-lheure-du-numerique)

LoveMyPrivacy-2.jpg


Chez nous, le niveau de maturité des intervenants GEC & GED (dont je fais parti) a certainement besoin de progresser dans ce domaine.

Par exemple, les documents du dossier administratif d'un agent sont de plus en plus stockés dans la GEC/GED Elise.
Quelles précautions spécifiques est-on tenus de prendre dans ce domaine ? (arrêts maladie, arrêtés de nomination, compte-rendus d'entretien professionnels, etc) je ne saurais le dire.

Les notions de "privacy by design" et "privacy by default" sont de plus en plus souvent citées comme des bonnes pratiques.
Par rapport à Elise, il me semble que cela concerne particulièrement les équipes projet et l'éditeur.

Un usager a donc le droit de connaître les informations collectées à son sujet.

Une première idée : si un usager nous demande de lui communiquer toutes les informations nominatives le concernant, je ne suis pas bien sur de ce que nous sommes dans l'obligation de lui fournir.
Le cas le plus large : 1. se connecter en admin, 2. faire une recherche rapide sur le patronyme, 3. fournir à l'usager l'ensemble des courriers qui le citent + les métadonnées des courriers.
Cela peut avoir des conséquences non maîtrisées : communication d'informations confidentielles, usages des métadonnées des courriers non conformes à la loi, courriers contenant des informations de type appartenance syndicales, origines ethniques ou autres informations protégées spécifiquement par les textes ,etc.
Nous avons en ce moment un dossier au tribunal administratif qui très proche de ce thème, ce n'est donc pas de la science fiction.

Deuxième idée, comment Archimed intègre le "privacy by design" & "privacy by default" à son outil.
J'ai une réponse sur le "privacy by design" : en anonymisant la base statistiques
J'en ai une autre pour le "privacy by default" : avec le système natif de gestion des droits des courriers (auquel une entorse a été d'ailleurs faite avec le système de gestion transversaux des droits dans les dernières versions d'Elise).
Mais est-ce suffisant au regard de la législation et de la jurisprudence ?

Je me sens un peu démuni dans ce domaine.
Quelle sont vont idées à ce sujet ?
Etes-vous tous au clair avec vos déclarations CNIL ?
Les types de documents et de données traitées et conservés avec Elise n'ont-ils pas considérablement évolué depuis vos déclarations initiales ?
Avez vous tous un tableau de gestion implémenté qui permettra l'archivage des documents à l'expiration des DUA (durée d'utilité administrative) et ainsi d'éviter la conservation des données ad-vitam eternam ?

Je suis preneur de vos réflexions sur ce thème.

On pourrait même imaginer de suggérer un atelier spécifique à l'éditeur lors des prochaines journées ElisA
Qu'en pensez vous ?

A bientôt.

M.
1 réponse(s) -
Site standard | Site mobile
POUR ALLER PLUS LOIN
Vous pouvez adhérer à "Lettre à Elise" comme