RGPD

Définitions et Principes Généraux

Cette étude vise à présenter les différentes dispositions de protections des données personnelles qui seront mise-en place dans le cadre du projet Accessnaute. Ce chapitre résume les différents principes qui ont guidé les choix des dispositions, et finit pas une partie de définition, qui peut aider à la compréhension de la suite du document.

Sécurité par défaut

La RGPD impose au travers de cette expression une minimisation des données, le nom Sécurité par défaut n’est pas anodin. Il est utilisé dans la profession depuis des décennies de manière plus ambitieuse 1 tel que donner du pouvoir aux usagères et usagers sur le traitement des données, ou une protection implicite, sans nécessiter d’action des usagères et usagers. Il existe une tension de définition, qui est amené à évoluer avec l’état de l’art ou des jurisprudences, comme le révèlent par exemple les débats autour de la Sécurité Par l’Usage 2, ou de Sécurité par l’Architecture 3. Aussi avons-nous décider de nous conformer à l’esprit de la Réglementation Général sur la Protection des Données : des dispositions ont d’abord été établis avec le schéma de protection maximale, avant d’adapter au fur et à mesure des nécessités.

Principe de précaution

Il existe des libertés d’interprétation de nombreuses définitions dans les différentes réglementations relatives à la sûreté des données, à commencer par la définition même des données à caractères personnelles, comme le souligne l’article « De la Privacy by Design à la Privacy by Using » 4 :

Enfin, plus fondamentalement encore, l’objet même de la protection – les données personnelles – devient insaisissable, comme l’attestent les discussions relatives au projet de réforme européen concernant la définition de ces données (dont dépend l’étendue de la protection pensée par le droit de l’Union). La question est notamment de savoir si le texte doit saisir ou non les processus de ré-identification et/ou de singularisation de la personne par la donnée (Rochfeld, 2014). L’enjeu est fondamental, presque idéologique. Et ce point peut s’avérer très délicat : qu’en est-il par exemple des big data massivement collectées et traitées ? Certains considèrent que rien n’est alors de l’ordre données personnelles – car on cherche à identifier un comportement, et non une personne – alors que d’autres pensent au contraire que tout devient données personnelles, compte tenu du potentiel profilage qui résulte de ce traitement (Bensamoun et Zolynski, 2014).

Les effets réglementaires encore relativement nouveau du régime de protection des données personnelles sont encore amenés à évoluer, notamment via la jurisprudence ; en France, des décisions de cassation sont encore à venir durant l’exécution du projet Accessnaute. Dans ces conditions, l’application d ‘un principe de précaution est autant une garantit de sûreté des données, que la durabilité de nos procédures et moyens mise en œuvre.

Neutralité technologique

De plus, nous nous attacherons à utiliser des définitions fonctionnelles, et non technique ; les principes de protections n’ont pas à être conditionné par le support matériel ou logiciel effectivement utilisé, mais par la fonction qu’ils remplissent. Bien que nous présenterons aussi les manières concrètes de leurs mise en place ( i.e « Utiliser des clef USB chiffrées avec LUKS » ), ils répondront à des principes plus généraux (« n’utiliser que des supports de stockage externes chiffrée conformément à l’état de l’art »).

Définitions

  • Base de données : Dans le présent document, est entendu comme Base de Données, tout support numérique utilisé pour l’enregistrement et/ou le traitement des données. Il peut s’agir d’un serveur de partage de fichiers, d’un document partagé, d’un serveur de gestion de ticket ou d’un système de gestion de base de données relationnelles.
  • DPO : Délégué à la Protection des Données
  • Données : Toutes les informations qui seront traité ou enregistrées dans le cadre du projet seront désigné comme tel. Si un traitement ou des précautions spécifique auront lieu en raison du caractère personnelles de cet données, il sera précisé « données à caractère personnelles ».
  • Poste : Les travailleuses et travailleurs intervenant dans le projet Accessnaute seront désigné dans ce document par leur fonction dans les processus de traitement des données. Il peut s’agir de personnes sous-traitantes, co-traitantes, employées, ou bénévoles. Cependant, une personne peut occuper plusieurs postes dans le cadre de son travail. Cette subtilité sera clarifier dans la partie Postes de Travail du chapitre Engagement et Procédures.
  • Réglementation Général sur la Protection des Données : Réglementations la plus exigeante en vigueur dans l’Union Européenne sur la protection des données personnelles. ticket ou d’un Système de Gestion de Base de Données Relationnelles (SGBDR).
  • RGPD : Réglementation Général sur la Protection des Données (voir précédemment).
  • Support : Dans ce document, est définit par support tout les moyens de stockage d’information, autant du point de vue matériel (clef USB, disque dur, téléphone, …), que logiciel (protocoles, Document Libre office, tableur, …).
  • Sûreté : Nous l’opposerons à la sécurité, entendu que les politiques sécuritaires imposent des pratiques aux usagères et usagers. Nous entendons donc par sûreté tout ce qui protège sans contraindre — ou en contraignant le moins possible— les usagers et usagères.
  • Travailleuses : Toutes les personnes s’impliquant dans le processus de production du projet Accessnaute sont désignées comme Travailleuses, indépendamment de leur statut juridique : sous-traitantes, co-traitantes, employées, ou bénévoles.

Sensibilité de l’information

Le formulaire de contact est susceptibles de contenir des informations à caractères personnelles,
notamment :

  1. Prénom, Nom
  2. Courriel, numéro de téléphone
  3. Les technologies d'assistance utilisées dans un champs libre
  4. Le problème rencontré, dans un champs libre
  5. Le site web et la page sur laquelle le problème est survenu
  6. Le navigateur utilisé et sa version
  7. Un champs libre pour ajouter des informations complémentaires, ainsi que le dépôt d’un fichier

Il est possible de saisir un ticket via le formulaire sans laisser de données personnelles. Le numéro de téléphone n’est pas obligatoire, un courriel dédié peut-être utilisé, le navigateur ou la technologie
d’assistance peut-être suffisamment générique pour ne pas permettre de recouper l’individu ou son groupe d’appartenance, et la page web peut ne pas révéler ses habitudes, sa situation administrative ou son lieu de vie. Cependant, il suffit qu’une seule de ces affirmations soient faux, ou que d’autres cas identifiants ne surviennent pour que le formulaire devienne sensibles. Il nous faut aussi envisager la situation la plus sensible ; ces possibilités peuvent se cumuler, révéler une situation administrative, une condition médicale (au travers des technologie d’assistance ou des problèmes rencontrés) ou une conviction politique.
La sensibilité de la base de donnée est établit sur la plus sensible des informations susceptibles d’y être enregistrée.

Traitement de l’information

Ce chapitre présente le processus de production d’Accessnaute du point de vue du traitement des données personnelles des usagères et usagers. Il ignore les autres autres traitements informations n’interagissant pas avec celui-ci, et ignore les traitements d’informations des travailleuses, qui bien que aussi soumis à la RGPD, ne le sont pas pour la même finalité. En-dehors de la saisie de ticket, chaque étape prend des données en entrées. En-dehors de l'organisation publique ou privée partenaire, toutes les étapes produisent des données.

Postes et Agents du traitement des données :

  • Usagères et Usagers
  • Médiation
    L'équipe de médiation traite les tickets brutes pour maintenir une base de données de tickets consolidées la plus facilement exploitable pour les équipes de développement de l'organisation partenaire pour résoudre les problèmes ainsi identifié. C’est le seul poste qui traitera des informations à caractère personnelles.
  • Développement
    L'équipe de développement s'occupe de la maintenance et de la mise à jour de l'interface, enintégrant les retours d'usage de la plateforme.
  • Maintenance et DPO
    Maintenance de l'infrastructure, support technique sur les outils et les pratiques numérique, y compris en terme de sûreté de l'information.
  • Post-traitement
    Sur la base des tickets consolidées, ce poste produiera des audits, des analyses, ou des scénario de tests, qui serviront aux rapports des livrables.
  • Testeuses et testeurs
    Usagères, Usagers testeuses sur la base des scénario de test, ou d’autres membres du collectif, dans le cadre des autres traitement d’information. S’il peut s’agir aussi d’une personne à la médaiation, les informations utilisées pour le test auront déjà été pseudonymisées.
  • Pilotage
    Il reçoit les bons de commandes de l'organisation partenaire, et y répond soit au moyen des arpports sur la base des ticketss consolidé, des tests dédiés et du Post-Traitement. C’est aussi lui qui peut co-rédiger des nouveaux scénario de tests avec l’organisation partenaire.
  • Organisation partenaire

Compartimentation

Les informations sensibles ne seront présent que dans les base de données suivantes :

  • Tickets brutes
  • Tickets sensibles Seul l’équipe de médiation y aura accès. Elle générera à partir d’eux des informations non-sensibles nécessaires à l’exécution des autres tâches, tel que les tests ou l’analyse.

Saisie des Tickets

À part le formulaire, la saisie des tickets est théoriquement hors-cadre puisque dépendant du contexte de l’usagères ou de l’usager. Cependant, il n’est pas impossible que lors des permanences, les personnes Animatrices de ces permanences aident ou saisissent un ticket sur le formulaire. Nous prévoyons les même dispositions que pour la Médiation, pour gérer une situation similaire. Au moins une personne Animatrice devra avoir reçu les outils et formations relatives au poste de Médiation.

Engagement et Procédures

Désignation du délégué à la protection des données

Le collectif au travers de la CLI désigne un « Délégué à la Protection des Données ». Chargé du développement de l’interface numérique, de la maintenance, du déploiement et du support
techniques des travailleuses et travailleurs, il aura à la visibilité, le contrôle, et une position centrale dans les échanges lié au système d’information. Tout comme le reste du projet, nous avons conçu ce poste en terme de support : le DPO rédigera des protocole de traitement de données personnelles pour tout les cas possibles rencontrées pour chaque poste. L’exhaustivité n’étant pas possible, il se rendra disponible pour les travailleuses et travailleurs afin d’être informé des cas qu’il n’aura pas encore traité, et élaborera grâce à leur retour un nouveau protocole pour ces nouveaux cas rencontrés. La complémentarité de ces postes permettra de mutualiser le travail de veille de cyber-sûreté, et d’assurer une plus grande réactivité.

Maintenance et Développement

Si au cours du projet, d’autres personnes viendraient à occuper ces postes, nous prévoyons de déjà prendre nos dispositions pour les considérer comme sensibles, et donc d’établir les mêmes dispositions que pour l’équipe de Médiation. L’environnement dédié ne devra être utilisé que pour le travail de Développement ou de Maintenance du projet Accessnaute.

Médiation

Le poste de médiation disposera d’un environnement sécurisé pour consulter les tickets, échanger à leur sujet. Cet environnement ne servira qu’au travail sur ces tickets sensibles et brutes. Si nécessaire, un téléphone avec une carte SIM dédié sera fournit pour le contact avec usagères et usagers. Des procédures précises leurs permettront d’établir la sensibilité ou non de l’information ; lorsque celle-ci viendrait à manquer, la Médiation pourra devra s’appuyer sur le DPO pour disposer d’une nouvelle procédure pour répondre au besoins. La base documentaire sera mise-à-jour pour toute l’équipe de Médiation.
Les engagements de la Médiation contiennent la sécurisations de leur réseau privé. Un guide leur sera fournit à cette fin, ou un accès à un Réseau Privé Virtuel (VPN) sera déployé dans l’infrastructure de la CLI.

Risques Résiduels

Vulnérabilité du jours zéro externe

L’ensemble des logiciels utilisé sont susceptibles d’avoir une vulnérabilité. L’environnement sécurisé permet de limiter la veille nécessaire pour s’en prémunir. Cependant, de plus en plus d’attaques se font via des vulnérabilités qui ne sont pas signalées ; nos dispositions permettraient d’en limiter l’impact, mais il nous n’avons pas les moyens de nous en prémunir totalement.

Vulnérabilité du jours zéro interne

Le développement de l’interface de la plate-forme implique que nous pourrions générer des vulnérabilités, qui pourraient nous être signaler par n’importe qui. Si nous avons sécuriser les environnement des travailleuses qui vont régler ce problème, cette information sera aussi connue de la personne l’ayant signaler, sans que nous ne puissions l’éviter.

Analyse Sensibilité par poste, et supports concernés

Maintenance

  • Agente :
    • Mainteneuse
  • Support :
    • Ordinateur de la mainteneuse
    • Serveur
    • Réseau de la mainteneuse
  • Élément sensibles :
    • Accès aux serveurs
    • Identifiant des travailleuses

Équipe de Développement

  • Agente :
    • Développeuses
  • Support :
    • Ordinateur des Développeuses
    • Redmine de développement
  • Éléments sensibles :
    • Éventuel vulnérabilité du jours zéro

Plateforme Accessnaute

  • Agente :
    • Mainteneuse
  • Support :
    • Ordinateur de la Mainteneuse
    • Redmine de développement
  • Éléments sensibles :
    • Identification indirect d'usagère
    • Information indirect de situation de handicap
    • Information médicale indirecte
    • Situation administrative

Permanences

  • Agente :
    • Usagère
    • Médiatrice
  • Support :
    • Ordinateur des Usagères
    • Téléphone des Usagère
    • Ordinateur des Médiatrice
    • Téléphone des Médiatrice
    • Plateforme Médiatrice : base de données des tickets brutes
    • Support externe (USB, carte SD, Disque dur externe) utilisée par les Animatrices
  • Réseau :
    • Réseau GSM
    • Réseau Wi-Fi du local des permanence
  • Éléments sensibles :
    • Identification direct d'usagère
    • Information direct de situation de handicap
    • Information médicale
    • Situation administrative

Tests dédiés

  • Agente :
    • Testeuse
  • Support :
    • Ordinateur des Testeuses
    • Redmine de développement
    • Support externe (USB, carte SD, Disque dur externe) utilisée par les Testeuses
  • Réseau :
    • Réseau personnel des Médiatrices
    • Réseau public utilisés par les Médiatrices
  • Éléments sensibles :
    • Éventuel vulnérabilité du jours zéro

Médiation

  • Agente :
    • Médiatrice
  • Support :
    • Ordinateur des Médiatrices
    • Plateforme Accessnaute : base de données des tickets brutes
    • Plateforme Accessnaute : base de données des tickets consolidés
    • Support externe (USB, carte SD, Disque dur externe) utilisée par les Médiatrices
  • Réseau :
    • Réseau personnel des Médiatrices
    • Réseau public utilisés par les Médiatrices
  • Éléments sensibles :
    • Identification indirect d'usagère
    • Information indirect de situation de handicap
    • Information médicale indirect
    • Situation administrative
    • Procédure de dé-pseudonymisation partiel

Comité de pilotage

  • Agente :
    • Livreuse
  • Support :
    • Ordinateur de la Livreuse
    • Support externe (USB, carte SD, Disque dur externe) utilisée par la Livreuse
  • Réseau :
    • Réseau personnel de la Livreuse
    • Réseau public utilisés par la Livreuse
  • Éléments sensibles :
    • Identification indirect d'usagère
    • Information indirect de situation de handicap
    • Information médicale indirect
    • Situation administrative

Organisation partenaire

  • Agente :
    • Interlocutrice de l'organisation partenaire
  • Éléments sensibles : Néant

Informations sensibles et durée de vie

La durée de vie est définit en cycle de livraison. Cette convention permet de s’assurer que les informations ne sont pas présentes à un seul endroit : soit elles sont déjà livrées à l’organisation partenaire, soient elles ont déjà été consolidées. Un cycle peut-être d’un ou trois mois, sans que cela ne modifie la présente analyse. Cependant, nous modifierons ces dispositions pour que les informations à caractère personnelles ne soient pas retenues plus d’un an.

Serveur Accessnaute

  • Durée : 2 cycles de livraisons
  • Support :
    • Ordinateur de la personne Mainteneuse
    • Redmine de développement
  • Éléments sensibles :
    • Identification indirect d'usagère
    • Information indirect de situation de handicap
    • Information médicale indirect
    • Situation administrative

Base de données brutes

  • Durée : 2 cycles de livraisons
  • Support :
    • Ordinateur des personnes Animatrices
    • Téléphone des personnes Animatrices
    • Ordinateur des personnes Médiatrices
    • Téléphone des personnes Médiatrices
    • Plateforme Accessnaute : base de données des tickets brutes
  • Réseau :
    • Réseau GSM
    • Réseau Wi-Fi du local des permanences
    • Réseau personnel des personnes Médiatrices
    • Réseau public utilisés par les personnes Médiatrices

Permanences

  • Durée : Une permanence
  • Support :
    • Téléphones des personnes Animatrices
    • Téléphones des personnes Usagères
    • Local des permanences
  • Éléments sensibles :
    • Identification direct d'usagère
    • Information direct de situation de handicap
    • Information médicale
    • Situation administrative

Les vulnérabilité du jours zéro

  • Durée de vie : Résolution du bug, ou confinement
  • Support :
    • Ordinateur des personnes Développeuses
    • Ordinateur des personnes Testeuses
    • Redmine de développement
    • Support externe (USB, carte SD, Disque dur externe) utilisée par les personnes Testeuses
  • Réseau :
    • Réseau personnel des personnes Testeuses
    • Réseau public utilisés par les personnes Testeuses
    • Réseau personnel des personnes Développeuses
    • Réseau public utilisés par les personnes Développeuses
  • Éléments sensibles :
    • Éventuelles failles de sécurité 0 day

Médiation

  • Durée de vie : 2 cycles de livraisons
  • Surface d'attaque :
    • Ordinateur des personnes Médiatrices
    • Réseau des personnes Médiatrices
    • Réseau public utilisés par les personnes Médiatrices
    • Plateforme Accessnaute
  • Éléments sensibles :
    • Procédure de dé-pseudonymisation partielle

Base de données consolidées

  • Durée : 3 cycles de livraisons
  • Support :
    • Ordinateur du Post-Traitement
    • Ordinateur des personnes Médiatrices
    • Téléphone des personnes Médiatrices
    • Plateforme Accessnaute : base de données des tickets brutes
  • Réseau :
    • Réseau GSM
    • Réseau Wi-Fi du local des permanences
    • Réseau personnel des personnes Médiatrices
    • Réseau public utilisés par les personnes Médiatrices

Livrables

  • Durée de vie : hors-cadre (organisation partenaire)
  • Surface d'attaque :
    • Ordinateur des personnes Médiatrices
    • Réseau des personnes Médiatrices
    • Réseau public utilisés par les personnes Médiatrices
    • Ordinateur de la personnes livreuse
    • Réseau de la personnes livreuse
    • Ordinateur de personnes interlocutrice (hors-cadre)
    • Réseau de l'organisation partenaire (hors-cadre)
    • Plateforme Accessnaute
  • Éléments sensibles : Néant