Pour évoquer des sujets généraux liés à l'objet de la communauté. Pour soumettre à la communauté des idées d'évolution produit

[► L. à Elise ►] Discussions, Echanges

Elise & privacy

Répondre

Elise & privacy

#1 - 09 Août 2017, 10:43

Bonjour,

La protection de la vie privée est un thème de plus en plus incontournable.
Elise est, par définition, un outil qui permet de collecter des données nominatives et de faire des traitements dessus.

La législation évolue vers une protection renforcée de la vie privée.
Les amendes pourront bientôt atteindre 4% du chiffre d'affaire d'une société pour les cas les plus grave de violation des règles en ce domaine. (Je vous recommande à ce sujet l'émission esprit public du France Culture intitulée "liberté et sécurité à l'heure du numérique" du 06/08/17 qui a pour invitée Mme Falque-Pierrotin présidente de la CNIL française et de son équivalent Européen : https://www.franceculture.fr/emissions/lesprit-public/liberte-et-securite-lheure-du-numerique)

LoveMyPrivacy-2.jpg


Chez nous, le niveau de maturité des intervenants GEC & GED (dont je fais parti) a certainement besoin de progresser dans ce domaine.

Par exemple, les documents du dossier administratif d'un agent sont de plus en plus stockés dans la GEC/GED Elise.
Quelles précautions spécifiques est-on tenus de prendre dans ce domaine ? (arrêts maladie, arrêtés de nomination, compte-rendus d'entretien professionnels, etc) je ne saurais le dire.

Les notions de "privacy by design" et "privacy by default" sont de plus en plus souvent citées comme des bonnes pratiques.
Par rapport à Elise, il me semble que cela concerne particulièrement les équipes projet et l'éditeur.

Un usager a donc le droit de connaître les informations collectées à son sujet.

Une première idée : si un usager nous demande de lui communiquer toutes les informations nominatives le concernant, je ne suis pas bien sur de ce que nous sommes dans l'obligation de lui fournir.
Le cas le plus large : 1. se connecter en admin, 2. faire une recherche rapide sur le patronyme, 3. fournir à l'usager l'ensemble des courriers qui le citent + les métadonnées des courriers.
Cela peut avoir des conséquences non maîtrisées : communication d'informations confidentielles, usages des métadonnées des courriers non conformes à la loi, courriers contenant des informations de type appartenance syndicales, origines ethniques ou autres informations protégées spécifiquement par les textes ,etc.
Nous avons en ce moment un dossier au tribunal administratif qui très proche de ce thème, ce n'est donc pas de la science fiction.

Deuxième idée, comment Archimed intègre le "privacy by design" & "privacy by default" à son outil.
J'ai une réponse sur le "privacy by design" : en anonymisant la base statistiques
J'en ai une autre pour le "privacy by default" : avec le système natif de gestion des droits des courriers (auquel une entorse a été d'ailleurs faite avec le système de gestion transversaux des droits dans les dernières versions d'Elise).
Mais est-ce suffisant au regard de la législation et de la jurisprudence ?

Je me sens un peu démuni dans ce domaine.
Quelle sont vont idées à ce sujet ?
Etes-vous tous au clair avec vos déclarations CNIL ?
Les types de documents et de données traitées et conservés avec Elise n'ont-ils pas considérablement évolué depuis vos déclarations initiales ?
Avez vous tous un tableau de gestion implémenté qui permettra l'archivage des documents à l'expiration des DUA (durée d'utilité administrative) et ainsi d'éviter la conservation des données ad-vitam eternam ?

Je suis preneur de vos réflexions sur ce thème.

On pourrait même imaginer de suggérer un atelier spécifique à l'éditeur lors des prochaines journées ElisA
Qu'en pensez vous ?

A bientôt.

M.
Dernière édition par franck_29 le 10 Août 2017, 12:32, édité 1 fois.
Raison: Edition pour ajouter l'illustration en vue d'une publication blog

Re: Elise & privacy

#2 - 09 Août 2017, 13:38

Je trouve qu'un atelier sur cette question ferait sens, certes dans le cadre de ElisA, mais également dans un cadre plus "Lettre à Elise".
Nous pourrions faire un "event" dédié et inviter des personalités qui comptent dans ce domaine.
Si vous avez des idées sur des "personnes de référence" à inviter, je serai preneur.


Qui qu'il en soit, c'est un excellent sujet, qui vaut la peine d'être instruit de façon serieuse. Car dans bien des cas, il me semble que des lacunes sur ce sujet peuvent soit nous conduire à faire des erreurs potentiellement graves, ou au contraire nous brider dans nos initiatives.
C'est dommageable.

Merci encore @mjollnir pour cette suggestion.
Répondre
Top