CNIL : Gestion du Droit à l'Oubli
Objectif
La loi informatique et liberté (du 6 janvier 1978, modifiée par la loi du 6 août 2004) a pour objectif de définir les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles.
Elle est applicable dès lors qu’il existe un traitement automatisé ou un fichier manuel (fichier informatique ou un fichier papier) contenant des informations personnelles* relatives à des personnes physiques.
Ces principes sont de plusieurs natures :
- la finalité : Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions du responsable du traitement
- la confidentialité et la sécurité : Le responsable doit prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation.
- la durée limitée de conservation des données : Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier.
C’est ce dernier principe, que l’on appelle très souvent le droit à l’oubli, qui a été implémenté dans ThétraWin et qui sera présenté ci-après.
Paramétrage
Plusieurs paramètres ont été créés :
Type |
Code |
Valeur client |
Libellé |
---|---|---|---|
geCcnil0t1 |
cnil_A |
60 |
Durée de rétention candidat |
|
cnil_C |
60 |
Durée de rétention copropriétaire |
|
cnil_L |
60 |
Durée de rétention locataire |
|
cnil_P |
60 |
Durée de rétention propriétaire |
|
cnil_S |
60 |
Durée de rétention Individu sans rôle |
|
cnil_Z |
60 |
Durée rétention prospect |
|
cnil_F |
60 |
Durée rétention individu salarié |
|
tele |
O |
Prise en compte des évènements |
|
tele_even |
SORL |
Liste des types d’évènements à NE PAS PRENDRE en compte pour la CNIL |
|
paie_acti |
GARD,EMPL |
Liste des activités fournisseur pour lesquelles le salarié paie peut être cryptable |
geCcnil0t2 |
crypt_x |
X |
Caractère à utiliser pour les valeurs cryptées
|
geCcnil0t2 |
Debug |
N |
Activation du debug (numérique) |
geCcnil0t2 |
nb_max |
10000 |
Nombre maximum d'individus cryptés par lancement (pour premier lancement sur bases de données importantes) |
geCcnil0t3 |
Debug |
N |
Activation du debug (numérique) |
A noter : le fait de positionner le paramètre « tele » à oui allonge significativement les temps de traitement.
Ce module utilise toutefois le paramètre existant suivant et il peut être intéressant de vérifier qu’il est bien présent et correctement renseigné :
Type |
Code |
Valeur client |
Libellé |
---|---|---|---|
cmMmenu_sm |
CheminUnix |
|
Chemin où archiver la GED (pas de / à la fin) Exemple: paramètre = /Thetra/Oracle/Archivage le répertoire /Thetra/Oracle/Archivage doit contenir un répertoire nommé ArchiveFusionA |
Sans une valeur renseignée pour ce paramètre, le cryptage des individus ne s'effectuera pas.
Les écrans / traitements suivants doivent être déclarés :
Nom |
Descriptif |
---|---|
geCcnil0m1 |
Individus éligibles CNIL |
geCcnil0e1 |
Sélection individus CNIL |
geCcnil0e2 |
Cryptage CNIL |
geCcnil0t1 |
Traitement sélection CNIL |
geCcnil0t2 |
Traitement cryptage CNIL |
Principes
Notion d’Individu ou prospect éligible à l’anonymisation (cryptable)
Deux niveaux de contrôles sont à distinguer :
- Contrôle d’éligibilité à l’anonymisation : Identifier si l’individu est encore actif dans ThétraWin (= date de sortie)
- S’il est éligible, un second contrôle sera effectué de manière à s’assurer qu’il n’y a plus de données « actives » sur le client à traiter :
- Plus de contentieux (événement/ dossier en cours)
- Plus de factures, paiement ni encaissement en cours
- Individu non acquéreur et/ ou vendeur d’une vente en cours
- Solde de l’individu à 0
Notion de droit à l’oubli pour un individu ou prospect
Lorsque le traitement est lancé unitairement (pour un individu ou un prospect), la période de conservation des données n’est pas vérifiée (à l’exception des salariés paie) mais on effectue les contrôles d’éligibilité et de présence de données actives (factures, paiements, règlements …).
- Un individu est proposé à l’anonymisation si et seulement TOUS ses rôles (loc, four, prop …) sont anonymisables.
- L’anonymisation est limitée aux personnes physiques : utilisation champs civi_type de la table des civilités, à l’exception des individus lié à un fournisseur employé d’immeuble (salarié paie)
- Un individu fournisseur n’est pas concerné par l’anonymisation (hormis ceux qui font référence à un salarié dans l’applicatif paie). Par conséquent un locataire, propriétaire, copropriétaire ou candidat qui serait également individu fournisseur ne sera jamais anonymisé.
- La durée légale de conservation des données se définie au niveau de l’agence par paramétrage.
- Seule la GED se trouvant derrière les fiches BAIL, PROP, CPTA, CAND, PROSP, INDI (bloc-notes), FOUR (salarié paie), SALARIE PAIE et sera archivée lors de l’anonymisation des individus.
- Documents connexes types recommandés, mails (documents non liés en GED à l’individu) ne seront pas archivés.
- Les données issues des fichiers d’import de la banque (extraits bancaires) ne sont pas traitées par l’anonymisation automatique.
Règles d’anonymisation
- Si la date de sortie est renseignée et dépassée
- La date de valeur de la dernière écriture comptable doit être au-delà de la durée légale de rétention (PARAM/par défaut 60mois)
- Le solde du locataire doit être égal à 0
- Absence de Dossier non clos
- Pas d’évènements en cours (Etat de l’évènement terminé, annulé ou résilié)
- Pas de facture, ni ordre bancaire, ni encaissement en cours
- Individu ne doit pas être acquéreur d’une vente en cours
- Seulement si tous les liens dont il est caution et ou garant et ou destinataire sont anonymisables.
- Pour caution et garant :
- si la date de fin de période couverte est renseignée vérifiée si elle est dépassée.
- si non renseignée : Vérifier si la date de sortie validée du locataire est dépassée.
- Individu ne doit pas être acquéreur d’une vente en cours
- Si la date de fin de gestion renseignée et dépassée
- La date de valeur de la dernière écriture comptable doit être au-delà de la durée légale de rétention (PARAM/ 60mois)
- Le solde de tous les comptes du propriétaire doit être égal à 0 (Dans le cas d’un propriétaire géré en comptabilité globale, on contrôle aussi le compte FAP G.0.0.468)
- Absence de Dossier non clos
- Pas d’évènements en cours (État de l’événement terminé, annulé ou résilié)
- Pas de facture, ni ordre bancaire, ni paiement, ni encaissement en cours
- Individu ne doit pas être acquéreur d’une vente en cours
- Seulement si tous les liens dont il est destinataire sont anonymisables
- Pas d’évènements en cours (État de l’événement terminé, annulé ou résilié)
- Individu ne doit pas être acquéreur d’une vente en cours
- Si la date de fin de gestion des groupes de lot est renseignée et dépassée.
- La date de valeur de la dernière écriture comptable doit être au-delà de la durée légale de rétention (PARAM/défaut 60mois)
- Le solde de tous les comptes du copropriétaire doit être égal à 0
- Absence de Dossier non clos
- Pas d’évènements en cours (État de l’événement terminé, annulé ou résilié)
- Pas de facture, ni ordre bancaire, ni paiement, ni encaissement en cours
- Individu ne doit pas être acquéreur, ni vendeur d’une vente en cours
- Seulement si tous les liens dont il est destinataire sont anonymisables.
- Pas d’évènements en cours (Etat de l’évènement terminé, annulé ou résilié)
- Individu ne doit pas être acquéreur d’une vente en cours
- Date de création du prospect (L’individu (geTindi0m1) lié au prospect ne contenant pas de date de création, celle-ci est prise sur la fiche prospect (PROSP - geTache0s1)).
- Dans le cas où il existe en tant que candidat, le prospect est éligible mais non cryptable ; comparaison sur nom, prénom, code postal et ville.
- Pas de durée minimum de rétention des données
- Date de création du candidat > (PARAM/défaut 3 mois)
- Le candidat ne doit pas avoir signé (cand_date_signature)
- Individu ne doit pas être acquéreur d’une vente en cours
- Le copropriétaire dont il dépend doit être anonymisé ou anonymisable.
- Il doit s’agir d’un individu fournisseur dont le code activité correspond à un PARAM qui liste les codes activité à prendre en compte
- Ce fournisseur doit être désactivé (date de désactivation renseignée et inférieure à la date du jour)
-
Le salarié Paie qui est lié à ce fournisseur doit avoir une date de départ < (PARAM/défaut 60mois)
Sur la fiche salarié, onglet « Compléments », dans l’encadré Intitulé Dates
- Le code définitif doit être à OUI
- La date de départ doit être renseignée
Le numéro Fournisseur SY/GE de l’onglet Compléments de la fiche salarié (module paie) doit OBLIGATOIREMENT être renseigné.
- Pas de durée minimum de rétention des données.
- Date de création de l’individu > (PARAM/défaut 3 mois)
- Individu ne doit pas être acquéreur d’une vente en cours
Fonctionnement
Avant de lancer le traitement d’anonymisation,
il est impératif de lancer le traitement de régénération des CORI (écran : abButil_13) pour toutes les qualités : Fournisseur, Locataire, Propriétaire et Copropriétaire.
Ce traitement est disponible dans : Administration > Utilitaires Fichiers communs > Régénération CORI.
Prérequis
Il est donc nécessaire, avant de lancer le traitement d’anonymisation, de typer les civilités :
Seuls les individus pour lesquels le type est à Physique seront traités.
Sélection des individus
Il existe deux modes de sélection qu’il est important de bien distinguer :
- La sélection en masse dont l’objectif est d’anonymiser des individus « inactifs »
- La sélection unitaire qui permettra de traiter la demande express d’un individu ne souhaitant plus apparaitre dans les fichiers de l’agence
Accès : Administration> Utilitaires Divers>CNIL> Sélection individus CNIL
Le rapport de traitement indiquera le nombre d’individu
- Elligible mais non cryptable
- Cryptable
Accès : Administration> Utilitaires Divers>CNIL>Sélection individus CNIL
Le rapport de traitement indiquera si l’individu ou le prospect
- Est éligible ou non à l’anonymisation.
- Si éligible, est-il cryptable ou non ?
En outre, au lancement du traitement, un pop-up alertera l’utilisateur que la période de conservation des données ne sera pas contrôlée :
Consultation
Une fois le traitement de sélection des individus lancé, les résultats seront insérés dans une table de contrôle.
L’utilisateur retrouvera ici trois types d’individus :
- Les individus cryptables. Ces individus sont considérés comme sortis et peuvent être cryptés s’ils n’ont plus de données actives
- Les individus non cryptables. Cette catégorie regroupe les individus qui ne sont pas considérés comme sortis.
- Les individus cryptés. Ce sont les individus pour lesquels le cryptage a déjà été lancé
Accès : Administration> Utilitaires Divers>CNIL>Individus éligibles
L’écran de consultation se présente comme cela :
On retrouve :
- Liste les individus cryptables, non cryptables et cryptés.
- Précise pourquoi un individu n’est pas cryptable en zone Commentaire.
- Liste les qualités de l’individu
- Permet de visualiser la fiche individu (bouton en fin de ligne)
Pour chaque qualité d’individu, possibilité de contrôler l’historique en cours, les dossiers en cours, les événements en cours, les factures en cours, les règlements en cours, les paiements en cours:
Cryptage
Lancement
Accès : Administration> Utilitaires Divers>CNIL>Cryptage CNIL
Le lancement de l’anonymisation s’effectue via le lanceur suivant :
Le cryptage peut être lancé sur :
- un individu
- un prospect
- un individu et un prospect
- tous les individus et tous les prospects (ne pas renseigner les Numéros)
NB : si le nombre d’individus à traiter est très important (notamment dans le cas d’un premier lancement), le paramètre geCcnil0t2/nb_max permet d’indiquer le nombre d’individu maximum qui seront traités en une seule fois. De cette manière, le traitement n’anonymisera que le nombre d’individu indiqué dans ce paramètre et la main sera rendue (plus rapidement) à l’utilisateur. Celui-ci devra ensuite lancer le traitement jusqu’à ce qu’il n’y ait plus d’individu à traiter. Le compte rendu de traitement précise dans ce cas le nombre d’individus cryptables restant à crypter.
Impacts
Le cryptage à deux conséquences:
- les données personnelles présentes dans ThétraWin ne sont plus visibles.
- la GED liée aux individus cryptés est déplacée
Cryptage des données
Une fois l’individu ou le prospect crypté, la consultation des écrans où il est référencé n'est plus possible.
Déplacement de la GED
Lors du cryptage d’un individu ou d’un prospect, la GED est déplacée vers un répertoire d’archive dont le chemin doit être indiqué dans le paramètre CheminUnix (+ArchiveFusionA/ab/abBgest)
Si le répertoire d'archivage n'existe pas, on essaye de le créer. S'il ne peut être créé ou si on ne peut pas y accéder car on a pas les droits nécessaires, la GED n'est pas déplacée, et l'utilisateur est averti, néanmoins l'individu est bien crypté. Dans ce cas le déplacement de la GED devra être fait manuellement.
Dans le cas nominal, pour chaque individu crypté possédant de la GED, la GED est déplacée dans un répertoire d’archivage paramétré, dont l'arborescence se créera automatiquement :
- ArchiveFusionA\ab\abBbail\ …
- ArchiveFusionA\ab\abOtele\...
- ArchiveFusionA\ab\abOdosr\...
- ArchiveFusionA\ab\abBgest\...
- ArchiveFusionA\ab\abOtele\...
- ArchiveFusionA\ab\abOdosr\...
- ArchiveFusionA\ab\abBcpta\...
- ArchiveFusionA\ab\abOtele\...
- ArchiveFusionA\ab\abOdosr\...
- ArchiveFusionA\ab\geTache\...
- ArchiveFusionA\pe\pa1fc31\...
- ArchiveFusionA\ab\abBfour\...