Acn gt1 – Identité Numérique





télécharger 420.16 Kb.
titreAcn gt1 – Identité Numérique
page9/9
date de publication24.10.2017
taille420.16 Kb.
typeDocumentos
e.20-bal.com > loi > Documentos
1   2   3   4   5   6   7   8   9

ANSSI :

  • Expression des Besoins et Identification des Objectifs de Sécurité : EBIOS, méthode de gestion des risques.


CNIL:

  • Guide PIA-1, la méthode : Comment mener une étude d'impact sur la vie privée,

  • Guide PIA-2, l'outillage : Modèles et bases de connaissances de l'étude d'impact sur la vie privée,

  • Guide PIA –3, Bonnes pratiques (mesures pour traiter les risques sur les libertés et la vie privée),

  • Gérer les risques sur les libertés et la vie privée


SGMAP

  • Référentiel Général de Sécurité (RGS)

  • Référentiel Général d’Interopérabilité (RGI)

  • Référentiel Général d’Accessibilité pour les Administrations (RGAA)


Centre National de Référence RFID:

  • Évaluation de l’impact des applications RFID sur la vie privée


UNION EUROPEENNE :
Groupe de Travail Article 29:

  • Opinion 07/2013 on the Data Protection Impact Assessment Template for Smart Grid and Smart Metering Systems (‘DPIA Template’)

  • Art. 29 Data Protection Working Party, Opinion 9/2011 on the revised Industry Proposal for a Privacy and Data Protection Impact Assessment Framework for RFID Applications, Brussels, Adopted on 11 February 2011.

  • Privacy impact assessment and risk management – report produced for the ICO by Trilateral Consulting

  • Wright, David, and Paul de Hert (eds.), Privacy Impact Assessment, Springer, Dordrecht, 2012

  • The Privacy Impact Assessment Framework for RFID Applications, Brussels, January 2011.

  • Courriers et opinions émis par ce groupe de travail.


ENISA :

  • Enisa_privacy_features_eID


European Commission:

  • Privacy and data protection impact assessment framework for RFID applications

  • Proposal for a program of work TC224 WG15 - Feb 13th 2013


CEN TC225 :

  • EN16571:2014: RFID privacy impact assessment process


PIAF project :

  • Recommendations for a privacy impact assessment framework for the European Union


ALLEMAGNE:
BSI:

  • Privacy Impact assessment guideline

  • Technical Guidelines RFID as Templates for the PIA-Framework


ANGLETERRE:
ICO UK:

  • Conducting privacy impact assessments code of practice

  • Privacy Impact Assessment handbook V2


ESPAGNE:
Agencia Española de Protección de Datos

  • Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD)


INTERNATIONAL:


  • ISO SC27 WG5 Id Management and Privacy technologies

-ISO IEC 29100 Privacy Framework

- ISO IEC 29191 Requirements for partially anonymous unlikeable authenticationAFNOR :

- ISO IEC 29134 Privacy Impact Assessment – Methodology

- ISO 31000:2009, Management du risque – Principes et lignes directrices, ISO.
GLOBAL PLATFORM :

  • GP_PrivacyFrameworkRequirements_v1.0


OASIS :

  • Privacy Management Reference Model (PMRM)


Annexe D- Lexique utilisé

Authentification : «l’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité.» (ANSSI, Agence

Nationale de la Sécurité des Systèmes d’Information).

Action de vérifier l’identité d’une entité à l’aide d’un mot de passe associé à l’identifiant. Transposition dans la vraie vie : « voici ma pièce d’identité » « la pièce semble valide, la photo ressemble. Vous êtes bien Robert Dupond. (France Connect).

Processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique. (Règlement eIDAS)

Attribut : Information liée à une personne qui en définit une caractéristique (âge, sexe, adresse, employeur, taille, pointure, etc.). Combiné à d’autres, il peut permettre d’en constituer un profil.

Autorisation : Permet à une entité d’accéder à une information ou un service. Dans la vraie vie « vu que vous êtes Robert Dupond, je vous permet de retirer de l’argent dans ma banque ». France Connect).

Clé de fédération  (France Connect): En réponse à une demande d’authentification, le fournisseur d’identité émet un jeton, transmis à la partie demanderesse par France Connect , ainsi qu’une clé de fédération permettant de « rejouer » le jeton sur d’autres sites.

Consentement de la personne concernée : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement. (Art. 2, directive 95/46/CE).

Destinataire des données : «toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données» (Art. 3 loi I&L).

Donnée à caractère personnel : «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne» (Art. 2 loi I&L).

Données d’identification personnelle : un ensemble de données permettant d’établir l’identité d’une personne physique ou morale, ou d’une personne physique représentant une personne morale. (Règlement eIDAS)

Données sensibles : les «données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci» (Art. 8 loi I&L).

Elément sécurisé (ou « secure element ») : Un élément sécurisé est un composant électronique résistant aux attaques réalisées avec des moyens élevés dans l’objectif d’en détourner le fonctionnement ou d’en extraire les données. Ce composant électronique peut être intégré dans divers objets : Carte à puce, smartphone, tablette, clé USB, carte SD, …

Événement redouté : Atteinte à la sécurité de DCP pouvant mener à des impacts sur la vie privée des personnes concernées. (CNIL).

Fédération d’identité : Mécanisme permettant à une entité d’utiliser une identité et une authentification existante sur un service A pour accéder à un service B. (France Connect).

Fournisseur de services : Toute autorité administrative ou entreprise voulant rendre un service numérique à ses utilisateurs. Exemple : une mairie voulant dématérialiser une démarche papier comme l’inscription sur liste électorale. (France Connect).

Fournisseur d’identité et d’authentification : Toute autorité administrative ou entreprise permettant d’identifier un utilisateur pour un fournisseur de service. (France Connect).

Fournisseur de données : Toute autorité administrative mettant à disposition des API’s pour les fournisseurs de service. Ces API’s pouvant utiliser des données de l’utilisateur. (France Connect).

France Connect : FranceConnect est un service Web qui permet aux internautes de s'identifier et s'authentifier sur des fournisseurs de services par l'intermédiaire de fournisseurs d'identité. FranceConnect agit en tant que tiers mettant en relation internautes et administrations auprès de fournisseurs d'identité. L'authentification est transparente pour une application utilisant FC (elle ne converse jamais directement avec le fournisseur d'identité, c'est FranceConnect qui s'en charge). FranceConnect fournit aux différents acteurs une identité unique sur une personne physique, appelée l'identité pivot.

Gravité : Estimation de l’ampleur des impacts potentiels sur la vie privée des personnes concernées. Elle dépend essentiellement du caractère préjudiciable des impacts potentiels. (CNIL).

Identifiant : Attribut ou ensemble d’attributs qui identifie de manière univoque une personne, dans un contexte donné.

Identification : Moyen de « connaître » l’identité d’une entité, souvent à l’aide d’un identifiant tel qu’un nom utilisateur. Transposition dans la vraie vie : je dis que je m’appelle Robert Dupond. Le système me dit « oui je connais Robert Dupond, il est bien enregistré chez moi ». L’identification permet de donc de connaître l’identité d’une entité alors que l’authentification permet de vérifier cette identité. (France Connect).

Identification électronique : le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale. (Règlement eIDAS)

Identité pivot : L'identité pivot est un ensemble de données concernant un utilisateur. Cette identité pivot est fournie par les Fournisseurs d'Identité aux Fournisseurs de Service, via FranceConnect. Elle permet d'identifier un utilisateur particulier ou entreprise. (France Connect)

Menace : Mode opératoire utilisé volontairement ou non par des sources de risques et pouvant provoquer un événement redouté. (CNIL).

Mesure : Action à entreprendre pour traiter des risques. Elle peut consister à les éviter, les réduire, les transférer ou les prendre. (CNIL).

Minimum Data Set : (MDS) Ensemble minimal de données qui doivent permettre d’identifier une et une seule personne.

Moyen d’identification électronique : un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne. (Règlement eIDAS)

OASIS: Organisation à but non lucratif pilotant le développement, la convergence et l’adoption de normes pour la société de traitement de l’information.

OpenID : est un système d’authentification décentralisé qui permet l’authentification unique, ainsi que le partage d’attributs. Il permet à un utilisateur de s’authentifier auprès de plusieurs sites (devant prendre en charge cette technologie) sans avoir à retenir un identifiant pour chacun d’eux mais en utilisant à chaque fois un unique identifiant OpenID. Le modèle se base sur des liens de confiance préalablement établis entre les fournisseurs de services et les fournisseurs d’identité (OpenID providers).

Opt in / opt out : L'opt-in s'oppose par nature à l'opt-out, car ce dernier considère qu’un internaute a implicitement donné son accord pour utiliser ses données personnelles à des fins commerciales, ou autres.

Privacy by Design : Protection intégrée de la vie privée (PIVP), ou encore respect de la vie privée dès la conception).

Responsable de traitement : «la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens dudit traitement, sauf désignation expresse par des dispositions législatives ou réglementaires relatives à ce traitement» (Art. 3 loi I&L).

Schéma d’identification électronique : un système pour l’identification électronique en vertu duquel des moyens d’identification électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales. (Règlement eIDAS)

Source de risque : Personne ou source non humaine qui peut être à l’origine d’un risque, de manière accidentelle ou délibérée. (CNIL).

STORK : Les projets pilotes européens STORK (Secure idenTity acrOss boRders linKed) ont l’objectif de promouvoir la création et l’adoption, en Europe, d’une plate-forme unique et durable d’interopérabilité permettant l’authentification et l’identification électroniques des personnes physiques et morales via l’utilisation de cartes d’identité électroniques (eiD).

Tiers : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données (directive 95/46/CE).

Tiers de confiance (numérique): Un tiers de confiance est un organisme habilité à mettre en œuvre des services de confiance électroniques ( par exemple, la signature électronique).

Traitement de données à caractère personnel : «toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction» (Art. 2 loi I&L).

TTIP (Transatlantic Trade and Investment Partnership) : Partenariat transatlantique de commerce et d'investissement (PTCI ; TTIP en anglais), également connu sous le nom de traité de libre-échange transatlantique (TAFTA en anglais). C’est un accord commercial en cours de négociation entre l'Union européenne et les États-Unis prévoyant la création en 2015 d'une zone de libre-échange transatlantique souvent appelée grand marché transatlantique.

Vraisemblance : Estimation de la possibilité qu’un risque se réalise. Elle dépend essentiellement des vulnérabilités exploitables et des capacités des sources de risques à les exploiter. (CNIL).

Vulnérabilité : Caractéristique d’un support de DCP, exploitable par des sources de risques et permettant à des menaces de se réaliser. (CNIL).

Annexe E- Abréviations

ACN Alliance pour la Confiance Numérique

ACSIEL Alliance des Composants et Systèmes pour l’Industrie ELectronique

AFNOR Association Française de Normalisation

ANSSI Agence Nationale de la Sécurité des Systèmes d’Information

BSI Bundesamt für Sicherheit in der Informationstechnik, organisme allemand homologue de l’ANSSI en France

CE Commission Européenne

CEN Comité Européen de Normalisation

CIL Correspondant Informatique et Liberté

CNIL Commission Nationale de l’Informatique et des Libertés

CRM Customer relationship Management

DCP Données à Caractère Personnel

DIF Deutsches Industrie Forum

DIN Deutsches Institut für Normung (Institut de normalisation allemand)

EBIOS Expression des Besoins et Identification des Objectifs de Sécurité

eIDAS Abréviation utilisée pour le règlement européen sur l’identification électronique et services de confiance pour les transactions électroniques au sein du marché intérieur.

EIVP Etude d’Impact sur la Vie Privée (PIA en anglais)

ENISA European Network and Information Security Agency

ERA Enhanced Role Authentication

G29 Groupe de travail article 29 sur la protection des données

ISO International Organization for Standardization (Organisation internationale de normalisation)

MDS Minimum Data Set : Ensemble minimal de données qui doivent permettre d’identifier une et une seule personne.

OCDE Organisation de coopération et de développement économiques (OCDE, en anglais Organisation for Economic Co-operation and Development, OECD) .

ONU Organisation des Nations Unies

PIA Privacy Impact Assessment (EIVP in French language)

RFID Radio Frequency IDentification

RGI Référentiel Général d’Interopérabilité

RGS Référentiel Général de Sécurité

RI Restricted Identifier

RSSI Responsable de la Sécurité des Systèmes d’Information

SGMAP Secrétariat Général à la Modernisation de l’Action Publique

TTIP Transatlantic Trade and Investment Partnership

UE Union Européenne

1 « donnée à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable ( personne concernée ); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. » Cette définition recouvre, sauf exceptions, tous les attributs.

2 Un exemple de ce contrôle par les propres citoyens d’un Etat européen peut être observé en Estonie

3 L’individuation consiste à distinguer un individu parmi d’autres. L’individualisation consiste à personnaliser une proposition en fonction des attributs (ou données personnelles) de la personne.

4 Par exemple la proportionnalité et la cohérence des données, le recours à un tiers, le lien entre l’identité et l’adéquation du service proposé.

5 Jusqu’à 8% de croissance additionnel d’ici 2020 en Europe selon une étude du BCG (BCG/Liberty Global 2012)

6


7 RÈGLEMENT (UE) No 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE


8 Notamment, il se substitue à cette date, en totalité à la directive de 1999 sur la signature électronique

9 Par exemple Finlande -Estonie

10 Article 7 et 8_ de la Charte des droits fondamentaux de l’Union européenne


11 Programmes, projets ou écosystèmes selon la terminologie utilisée.

12 Nous considérons comme attributs des données personnelles utilisées légitimement en conjonction avec l’identité numérique pour accéder à un service, personnaliser le service ou faire reconnaitre ses droits.

13 Ensemble de données obligatoires et facultatives défini dans le règlement eIDAS.

14 La législation emploie le terme  « niveau de  garantie » dans sa traduction française ou de « niveau d’assurance » dans le texte original en anglais.

15 Arrêté du 24 juillet 2015 portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication d'un téléservice dénommé « FranceConnect »

16 Le texte anglais du réglement eIDAS définit des « levels of assurance ». Dans la version française on utilise la terminologie « niveaux de garantie ». C’est une ambiguïté, puisque quel que soit le niveau, responsabilités et garanties sont les mêmes.

17 Breach level index annual report-2014 Gemalto / Safenet

18 La http://www.europarl.europa.eu/charter/pdf/text_fr.pdf

19 Conformément au règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS).

Alliance pour la Confiance Numérique - Contact : Isabelle Boistard, Déléguée générale ACN

Tel : 01 45 05 70 48, iboistard@confiance-numerique.fr http://www.confiance-numerique.fr

1   2   3   4   5   6   7   8   9

similaire:

Acn gt1 – Identité Numérique iconSémiotique et visualisation de l’identité numérique : une étude comparée de Facebook et Myspace

Acn gt1 – Identité Numérique iconPrésence numérique : les médiations de l’identité
...

Acn gt1 – Identité Numérique iconLes enjeux juridiques liés à l’identité et à la sécurité dans le numérique
«entité», terme désignant une personne morale, disposera des droits sur le site, le logiciel ou la technologie. En revanche, IL n’existe...

Acn gt1 – Identité Numérique iconÉducation Morale et Civique Niveau seconde
«Qu'est-ce qu'un média ?, «Qu'est-ce qu'un média social?» (voir doc. 1) et «Les multiples facettes de l'identité numérique» (doc....

Acn gt1 – Identité Numérique iconPratiques numériques, lieux innovants et médias de jeunes
«fracture numérique», entendue principalement comme un enjeu d'équipement, cède progressivement la place à la problématique de «l'inclusion...

Acn gt1 – Identité Numérique icon1. Introduction Pourquoi une Stratégie de cohérence régionale d'aménagement numérique en 2009 ?
«Renforcer la dynamique d’action publique et accompagner la structuration de maîtrises d’ouvrage locales en matière d’aménagement...

Acn gt1 – Identité Numérique iconNotes sur la transcription X
«ajustements» ciblés sur l’identité et le processus d’identification. Jusqu’à une période récente, toutefois, l’interdépendance unissant...

Acn gt1 – Identité Numérique icon1. Zoom sur «Apprendre avec le jeu numérique»
«Apprendre avec le jeu numérique» a été lancé via Eduscol en mars 2016, afin d’aider les enseignants dans de nouvelles pratiques...

Acn gt1 – Identité Numérique iconChapitre 3 Aménagement Numérique, Attractivité des Territoires et Développement Durable
«Nouvelle Economie», mort-née avec l’éclatement de la «bulle Internet», à l’apparition de la «fracture numérique» puis à sa résorption...

Acn gt1 – Identité Numérique iconEconomie sociale et solidaire : approche sectorielle dans le numérique
«Le numérique comme levier d’insertion : quelle perspective sur nos territoires ?»






Tous droits réservés. Copyright © 2016
contacts
e.20-bal.com