ݺߣ

ݺߣShare a Scribd company logo

L'information personnelle numérique - BSidesQuebec2013

Download as PPT, PDF
BSidesQuebec2013
BSidesQuebec2013

This document discusses some of the legal and regulatory risks and challenges associated with storing personal information in a cloud computing environment. It notes that cloud services typically involve a tripartite relationship between an individual, a third party receiving information about the individual, and the cloud service provider. The main issue is how certain obligations transfer from the data controller to the data processor in this outsourced environment. It also discusses how different laws from various jurisdictions could apply depending on the location of data and nationality of individuals. Proper consent and disclosure to individuals is important, as well as due diligence of the cloud provider and any subcontractors.

1 of 12
Download to read offline
Martin Dubois, LL.B., CISSP Principal Information Security Analyst Oracle Corporation
ON SE TOURNE MAINTENANT VERS L’OFFRE “CLOUD”. TRÈS POPULAIRE. TYPIQUEMENT DU SAAS (SOFTWARE AS A SERVICE). EXCLUANT LE PAAS (PLATFORM AS A SERVICE). SCENARIO DE TRAVAIL = UNE RELATION TRIPARTITE ENTRE UN INDIVIDU (DATA SUBJECT), UN TIERS RECEVANT L’INFORMATION DE L’INDIVIDU ET L’EXPLOITANT (LE CLIENT) ET LE FOURNISSEUR DE SERVICE (CLOUD SERVICE PROVIDER). SCÉNARIO IMPLIQUANT L’EXTERNALISATION DE DONNÉES PERSONNELLES.
 PRINCIPALE PROBLÉMATIQUE PROPRE AUX RISQUES JURIDIQUES ET RÉGLEMENTAIRES LORS DE L’ENTREPOSAGE DANS UN ENVIRONNEMENT NUAGIQUE (EXTERNALISATION D’UN SERVICE LOCAL VERS UN SERVICE NUAGIQUE) = TRANSLATION DE CERTAINES OBLIGATIONS DU DATA CONTROLLER VERS LE DATA PROCESSOR.
 EXEMPLE DE LOI APPLICABLE AU DATA CONTROLLER AYANT UN IMPACT DIRECT SUR LE FOURNISSEUR DE SERVICES = LOI ALBERTAINE CITATION : ALBERTA’S PERSONAL INFORMATION PROTECTION ACT REQUIRES THAT, UPON REQUEST, TRUSTEE (SERVICE PROVIDER) TO PROVIDE TO ANY DATA SUBJECT (INDIVIDUALS) INFORMATION IN RELATION TO THE USE AND DISCLOSURE OF THAT SUBJECT’S PERSONAL INFORMATION. ACCESS TO RECORDS AND PROVISION OF INFORMATION 24(1) AN INDIVIDUAL MAY, IN ACCORDANCE WITH SECTION 26, REQUEST AN ORGANIZATION (A) TO PROVIDE THE INDIVIDUAL WITH ACCESS TO PERSONAL INFORMATION ABOUT THE INDIVIDUAL, OR (B) TO PROVIDE THE INDIVIDUAL WITH INFORMATION ABOUT THE USE OR DISCLOSURE OF PERSONAL INFORMATION ABOUT THE INDIVIDUAL. (1.2) ON THE REQUEST OF AN APPLICANT MADE UNDER SUBSECTION (1)(B), AND TAKING INTO CONSIDERATION WHAT IS REASONABLE, AN ORGANIZATION MUST, IF THE ORGANIZATION HAS IN ITS CUSTODY OR UNDER ITS CONTROL A RECORD CONTAINING PERSONAL INFORMATION ABOUT THE APPLICANT DESCRIBED IN THE REQUEST, PROVIDE THE APPLICANT WITH (A) INFORMATION ABOUT THE PURPOSES FOR WHICH THE PERSONAL INFORMATION HAS BEEN AND IS BEING USED BY THE ORGANIZATION, AND (B) THE NAMES OF THE PERSONS TO WHOM AND CIRCUMSTANCES IN WHICH THE PERSONAL INFORMATION HAS BEEN AND IS BEING DISCLOSED.
 PII  = DONNÉES CONFIDENTIELLES…  PII; CE QUE CE N’EST PAS…  PII = BIEN IMMATÉRIEL…MAIS « BIEN » QUAND MÊME.  QUI DIT « BIEN », DIT DROIT DE PROPRIÉTÉ SUR LE BIEN.
      LE PROPRIÉTAIRE VÉRITABLE DU PII = TOUJOURS LE DATA SUBJECT LE « PROPRIÉTAIRE » SUBSÉQUENT (LE PRESTATAIRE DE SERVICES) N’EST EN FAIT QU’UN FIDUCIAIRE ET DOIT AGIR EN RESPECTANT LES DROITS DU DATA SUBJECT SUR SON BIEN…LE PII LE FAISCEAU DES SOUS-DROITS ASSOCIÉS À LA PROPRIÉTÉ D’UN BIEN, MÊME IMMATÉRIEL : USUS : USAGE LÉGAL D’UN BIEN (LA LIBERTÉ DE L’UN DÉBUTE OU CELLE DE L’AUTRE SE TERMINE) FRUCTUS : LES « FRUITS » QUI PROVIENNENT DU BIEN ET LEUR USUS ET ABUSUS. ABUSUS : SE DÉPARTIR DU BIEN, LE DÉTRUIRE, LE MODIFIER…
   CES DROITS SONT ISSUS DE LOIS QUI SONT TOUJOURS ASSOCIÉES À DES TERRITOIRES GÉOGRAPHIQUEMENT DÉFINIS. POUR UN MÊME SYSTÈME NUAGIQUE, PLUSIEURS JURIDICTIONS DIFFÉRENTES POURRAIENT S’APPLIQUER ET DONC UNE MULTITUDE DE LOIS QUI POURRAIENT ÊTRE ÉTRANGÈRES. LA MISE EN APPLICATION DES DROITS DÉCOULANT D’UNE LOI DÉPEND DU SITUS DES DONNÉES ET/OU DE LA NATIONALITÉ DU DATA SUBJECT.
    UN DROIT DU FAISCEAU EST PARTICULIÈREMENT EN CAUSE : L’USUS. IL EST CONFIÉ AU TIERS QUI EXPLOITE L’ENVIRONNEMENT NUAGIQUE. MAIS QU’À DES CONDITIONS DÉNONCÉES ET BIEN COMPRISES PAR LE DATA SUBJECT…ET QUE SUITE À LA SOUMISSION D’UN CONSENTEMENT « LIBRE ET ÉCLAIRÉ ». « LIBRE ET ÉCLAIRÉ » = SANS PRESSION, AVEC TOUTE L’INFORMATION REQUISE POUR POUVOIR CONSENTIR. OBLIGATION DE DÉCLARATION TRÈS VASTE DE L’USAGE DU PII PAR LE PRESTATAIRE. D’OÙ LES TRÈS IMPORTANTES QUESTIONS DE LA DÉFINITION DU « LIEU » DE L’INFORMATION (WHERE IS MY DATA?) ET DE « QUI » AURA ACCÈS AU PII PENDANT LE CYCLE DE VIE DE L’INFO DANS L’ENVIRONNEMENT NUAGIQUE.
 PATRIOT ACT  DISASTER RECOVERY DOIT ÊTRE INCLUS DANS LE SCÉNARIO.  SERVICES ACCESSOIRES COMME AKAMAI.
PISTE DE SOLUTIONS :  READY FOR THE CLOUD??  NE PAS COLLIGER D’INFO PERSO.  COLLECTION DE L’INFO MINIMALE! CHAQUE DATA SET = POSSIBLE FUITE = PROBLÈMES ET $.  BON ENCADREMENT JURIDIQUE ET CONTRACTUEL AVEC LES DATA SUBJECTS = CONSENTEMENTS…  EXEMPLES (SPLASH SCREEN) MAIS AVEC LE MOYEN DE TOUJOURS DÉMONTRÉ L’ACCEPTATION DES CONDITIONS.  “DUE DILIGENCE” DU PRESTATAIRE DE SERVICES NUAGIQUES ET LES SOUS-TRAITANTS/SOUSCONTRACTANTS.
 ÊTRE CERTIFIÉ OU AUDITÉ (ET EXIGER CECI DU PRESTATAIRE DE SERVICES): SAFE HARBOR, TRUST-E, CLOUD SECURITY ALLIANCE, ISO 27001, ETC…  AU MOINS: SSAE 16 TYPE II SOC 1  SI ON DOIT COLLIGER, ALORS CONSERVER LE MOINS LONGTEMPS POSSIBLE ET POUVOIR DÉMONTRER QUE L’INFORMATION A ÉTÉ DÉTRUITE DE MANIÈRE ADÉQUATE.  ENCODAGE EST BIEN, MAIS MÊME L’INFO ENCODÉE EST JUGÉE COMME INFO CONFIDENTIELLE ET SOUMISE AUX LOIS, TRAITÉS, DIRECTIVES ET RÈGLEMENTS APPLICABLES.
Questions

More Related Content

L'information personnelle numérique - BSidesQuebec2013

  • 1. Martin Dubois, LL.B., CISSP Principal Information Security Analyst Oracle Corporation
  • 2. ON SE TOURNE MAINTENANT VERS L’OFFRE “CLOUD”. TRÈS POPULAIRE. TYPIQUEMENT DU SAAS (SOFTWARE AS A SERVICE). EXCLUANT LE PAAS (PLATFORM AS A SERVICE). SCENARIO DE TRAVAIL = UNE RELATION TRIPARTITE ENTRE UN INDIVIDU (DATA SUBJECT), UN TIERS RECEVANT L’INFORMATION DE L’INDIVIDU ET L’EXPLOITANT (LE CLIENT) ET LE FOURNISSEUR DE SERVICE (CLOUD SERVICE PROVIDER). SCÉNARIO IMPLIQUANT L’EXTERNALISATION DE DONNÉES PERSONNELLES.
  • 3.  PRINCIPALE PROBLÉMATIQUE PROPRE AUX RISQUES JURIDIQUES ET RÉGLEMENTAIRES LORS DE L’ENTREPOSAGE DANS UN ENVIRONNEMENT NUAGIQUE (EXTERNALISATION D’UN SERVICE LOCAL VERS UN SERVICE NUAGIQUE) = TRANSLATION DE CERTAINES OBLIGATIONS DU DATA CONTROLLER VERS LE DATA PROCESSOR.
  • 4.  EXEMPLE DE LOI APPLICABLE AU DATA CONTROLLER AYANT UN IMPACT DIRECT SUR LE FOURNISSEUR DE SERVICES = LOI ALBERTAINE CITATION : ALBERTA’S PERSONAL INFORMATION PROTECTION ACT REQUIRES THAT, UPON REQUEST, TRUSTEE (SERVICE PROVIDER) TO PROVIDE TO ANY DATA SUBJECT (INDIVIDUALS) INFORMATION IN RELATION TO THE USE AND DISCLOSURE OF THAT SUBJECT’S PERSONAL INFORMATION. ACCESS TO RECORDS AND PROVISION OF INFORMATION 24(1) AN INDIVIDUAL MAY, IN ACCORDANCE WITH SECTION 26, REQUEST AN ORGANIZATION (A) TO PROVIDE THE INDIVIDUAL WITH ACCESS TO PERSONAL INFORMATION ABOUT THE INDIVIDUAL, OR (B) TO PROVIDE THE INDIVIDUAL WITH INFORMATION ABOUT THE USE OR DISCLOSURE OF PERSONAL INFORMATION ABOUT THE INDIVIDUAL. (1.2) ON THE REQUEST OF AN APPLICANT MADE UNDER SUBSECTION (1)(B), AND TAKING INTO CONSIDERATION WHAT IS REASONABLE, AN ORGANIZATION MUST, IF THE ORGANIZATION HAS IN ITS CUSTODY OR UNDER ITS CONTROL A RECORD CONTAINING PERSONAL INFORMATION ABOUT THE APPLICANT DESCRIBED IN THE REQUEST, PROVIDE THE APPLICANT WITH (A) INFORMATION ABOUT THE PURPOSES FOR WHICH THE PERSONAL INFORMATION HAS BEEN AND IS BEING USED BY THE ORGANIZATION, AND (B) THE NAMES OF THE PERSONS TO WHOM AND CIRCUMSTANCES IN WHICH THE PERSONAL INFORMATION HAS BEEN AND IS BEING DISCLOSED.
  • 5.  PII  = DONNÉES CONFIDENTIELLES…  PII; CE QUE CE N’EST PAS…  PII = BIEN IMMATÉRIEL…MAIS « BIEN » QUAND MÊME.  QUI DIT « BIEN », DIT DROIT DE PROPRIÉTÉ SUR LE BIEN.
  • 6.       LE PROPRIÉTAIRE VÉRITABLE DU PII = TOUJOURS LE DATA SUBJECT LE « PROPRIÉTAIRE » SUBSÉQUENT (LE PRESTATAIRE DE SERVICES) N’EST EN FAIT QU’UN FIDUCIAIRE ET DOIT AGIR EN RESPECTANT LES DROITS DU DATA SUBJECT SUR SON BIEN…LE PII LE FAISCEAU DES SOUS-DROITS ASSOCIÉS À LA PROPRIÉTÉ D’UN BIEN, MÊME IMMATÉRIEL : USUS : USAGE LÉGAL D’UN BIEN (LA LIBERTÉ DE L’UN DÉBUTE OU CELLE DE L’AUTRE SE TERMINE) FRUCTUS : LES « FRUITS » QUI PROVIENNENT DU BIEN ET LEUR USUS ET ABUSUS. ABUSUS : SE DÉPARTIR DU BIEN, LE DÉTRUIRE, LE MODIFIER…
  • 7.    CES DROITS SONT ISSUS DE LOIS QUI SONT TOUJOURS ASSOCIÉES À DES TERRITOIRES GÉOGRAPHIQUEMENT DÉFINIS. POUR UN MÊME SYSTÈME NUAGIQUE, PLUSIEURS JURIDICTIONS DIFFÉRENTES POURRAIENT S’APPLIQUER ET DONC UNE MULTITUDE DE LOIS QUI POURRAIENT ÊTRE ÉTRANGÈRES. LA MISE EN APPLICATION DES DROITS DÉCOULANT D’UNE LOI DÉPEND DU SITUS DES DONNÉES ET/OU DE LA NATIONALITÉ DU DATA SUBJECT.
  • 8.     UN DROIT DU FAISCEAU EST PARTICULIÈREMENT EN CAUSE : L’USUS. IL EST CONFIÉ AU TIERS QUI EXPLOITE L’ENVIRONNEMENT NUAGIQUE. MAIS QU’À DES CONDITIONS DÉNONCÉES ET BIEN COMPRISES PAR LE DATA SUBJECT…ET QUE SUITE À LA SOUMISSION D’UN CONSENTEMENT « LIBRE ET ÉCLAIRÉ ». « LIBRE ET ÉCLAIRÉ » = SANS PRESSION, AVEC TOUTE L’INFORMATION REQUISE POUR POUVOIR CONSENTIR. OBLIGATION DE DÉCLARATION TRÈS VASTE DE L’USAGE DU PII PAR LE PRESTATAIRE. D’OÙ LES TRÈS IMPORTANTES QUESTIONS DE LA DÉFINITION DU « LIEU » DE L’INFORMATION (WHERE IS MY DATA?) ET DE « QUI » AURA ACCÈS AU PII PENDANT LE CYCLE DE VIE DE L’INFO DANS L’ENVIRONNEMENT NUAGIQUE.
  • 9.  PATRIOT ACT  DISASTER RECOVERY DOIT ÊTRE INCLUS DANS LE SCÉNARIO.  SERVICES ACCESSOIRES COMME AKAMAI.
  • 10. PISTE DE SOLUTIONS :  READY FOR THE CLOUD??  NE PAS COLLIGER D’INFO PERSO.  COLLECTION DE L’INFO MINIMALE! CHAQUE DATA SET = POSSIBLE FUITE = PROBLÈMES ET $.  BON ENCADREMENT JURIDIQUE ET CONTRACTUEL AVEC LES DATA SUBJECTS = CONSENTEMENTS…  EXEMPLES (SPLASH SCREEN) MAIS AVEC LE MOYEN DE TOUJOURS DÉMONTRÉ L’ACCEPTATION DES CONDITIONS.  “DUE DILIGENCE” DU PRESTATAIRE DE SERVICES NUAGIQUES ET LES SOUS-TRAITANTS/SOUSCONTRACTANTS.
  • 11.  ÊTRE CERTIFIÉ OU AUDITÉ (ET EXIGER CECI DU PRESTATAIRE DE SERVICES): SAFE HARBOR, TRUST-E, CLOUD SECURITY ALLIANCE, ISO 27001, ETC…  AU MOINS: SSAE 16 TYPE II SOC 1  SI ON DOIT COLLIGER, ALORS CONSERVER LE MOINS LONGTEMPS POSSIBLE ET POUVOIR DÉMONTRER QUE L’INFORMATION A ÉTÉ DÉTRUITE DE MANIÈRE ADÉQUATE.  ENCODAGE EST BIEN, MAIS MÊME L’INFO ENCODÉE EST JUGÉE COMME INFO CONFIDENTIELLE ET SOUMISE AUX LOIS, TRAITÉS, DIRECTIVES ET RÈGLEMENTS APPLICABLES.