CNIL : Gestion du Droit à l'Oubli

Objectif

La loi informatique et liberté (du 6 janvier 1978, modifiée par la loi du 6 août 2004) a pour objectif de définir les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles.

Elle est applicable dès lors qu’il existe un traitement automatisé ou un fichier manuel (fichier informatique ou un fichier papier) contenant des informations personnelles* relatives à des personnes physiques.

Ces principes sont de plusieurs natures :

  • la finalité : Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions du responsable du traitement
  • la confidentialité et la sécurité : Le responsable doit prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation.
  • la durée limitée de conservation des données : Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier.

C’est ce dernier principe, que l’on appelle très souvent le droit à l’oubli, qui a été implémenté dans ThétraWin et qui sera présenté ci-après.

Paramétrage

Plusieurs paramètres ont été créés :

Type

Code

Valeur client

Libellé

geCcnil0t1

cnil_A

60

Durée de rétention candidat

 

cnil_C

60

Durée de rétention copropriétaire

 

cnil_L

60

Durée de rétention locataire

 

cnil_P

60

Durée de rétention propriétaire

 

cnil_S

60

Durée de rétention Individu sans rôle

 

cnil_Z

60

Durée rétention prospect

 

cnil_F

60

Durée rétention individu salarié

 

tele

O

Prise en compte des évènements 

 

tele_even

SORL

Liste des types d’évènements à NE PAS PRENDRE en compte pour la CNIL 

 

paie_acti

GARD,EMPL

Liste des activités fournisseur pour lesquelles le salarié paie peut être cryptable

geCcnil0t2

crypt_x

X

Caractère à utiliser pour les valeurs cryptées

 

geCcnil0t2

Debug

N

Activation du debug (numérique)

geCcnil0t2

nb_max

10000

Nombre maximum d'individus cryptés par lancement (pour premier lancement sur bases de données importantes)

geCcnil0t3

Debug

N

Activation du debug (numérique)

A noter : le fait de positionner le paramètre « tele » à oui allonge significativement les temps de traitement.

 

Ce module utilise toutefois le paramètre existant suivant et il peut être intéressant de vérifier qu’il est bien présent et correctement renseigné :

Type

Code

Valeur client

Libellé

cmMmenu_sm

CheminUnix

 

Chemin où archiver la GED (pas de / à la fin)

Exemple:

paramètre = /Thetra/Oracle/Archivage

le répertoire /Thetra/Oracle/Archivage doit contenir un répertoire nommé ArchiveFusionA

Sans une valeur renseignée pour ce paramètre, le cryptage des individus ne s'effectuera pas.

Les écrans / traitements suivants doivent être déclarés :

Nom

Descriptif

geCcnil0m1

Individus éligibles CNIL

geCcnil0e1 

Sélection individus CNIL

geCcnil0e2 

Cryptage CNIL

geCcnil0t1 

Traitement sélection CNIL

geCcnil0t2

Traitement cryptage CNIL

Principes

Notion d’Individu ou prospect éligible à l’anonymisation (cryptable)

Deux niveaux de contrôles sont à distinguer :

  • Contrôle d’éligibilité à l’anonymisation : Identifier si l’individu est encore actif dans ThétraWin (= date de sortie)
  • S’il est éligible, un second contrôle sera effectué de manière à s’assurer qu’il n’y a plus de données « actives » sur le client à traiter : 
    • Plus de contentieux (événement/ dossier en cours)
    • Plus de factures, paiement ni encaissement en cours
    • Individu non acquéreur et/ ou vendeur d’une vente en cours
    • Solde de l’individu à 0

Notion de droit à l’oubli pour un individu ou prospect 

Lorsque le traitement est lancé unitairement (pour un individu ou un prospect), la période de conservation des données n’est pas vérifiée (à l’exception des salariés paie) mais on effectue les contrôles d’éligibilité  et de présence de données actives (factures, paiements, règlements …).

  • Un individu est proposé à l’anonymisation si et seulement TOUS ses rôles (loc, four, prop …) sont anonymisables.
  • L’anonymisation est limitée aux personnes physiques : utilisation champs civi_type de la table des civilités, à l’exception des individus lié à un fournisseur employé d’immeuble (salarié paie)
  • Un individu fournisseur n’est pas concerné par l’anonymisation (hormis ceux qui font référence à un salarié dans l’applicatif paie). Par conséquent un locataire, propriétaire, copropriétaire ou candidat qui serait également individu fournisseur ne sera jamais anonymisé.
  • La durée légale de conservation des données se définie au niveau de l’agence par paramétrage.
  • Seule la GED se trouvant derrière les fiches BAIL, PROP, CPTA, CAND, PROSP, INDI (bloc-notes), FOUR (salarié paie), SALARIE PAIE et  sera archivée lors de l’anonymisation des individus.
  • Documents connexes types recommandés, mails (documents non liés en GED à l’individu) ne seront pas archivés.
  • Les données issues des fichiers d’import de la banque (extraits bancaires) ne sont pas traitées par l’anonymisation automatique.

Règles d’anonymisation  

  • Si la date de sortie est renseignée et dépassée
  • La date de valeur de la dernière écriture comptable doit être au-delà de la durée légale de rétention (PARAM/par défaut 60mois)
  • Le solde du locataire doit être égal à 0
  • Absence de Dossier non clos
  • Pas d’évènements en cours (Etat de l’évènement terminé, annulé ou résilié)
  • Pas de facture, ni ordre bancaire, ni encaissement en cours
  • Individu ne doit pas être acquéreur d’une vente en cours 
  • Seulement si tous les liens dont il est caution et ou garant et ou destinataire sont anonymisables.
  • Pour caution et garant :
  • si la date de fin de période couverte est renseignée vérifiée si elle est dépassée.
  • si non renseignée : Vérifier si la date de sortie validée du locataire est dépassée.
  • Individu ne doit pas être acquéreur d’une vente en cours
  • Si la date de fin de gestion renseignée et dépassée
  • La date de valeur de la dernière écriture comptable doit être au-delà de la   durée légale de rétention (PARAM/ 60mois)
  • Le solde de tous les comptes du propriétaire doit être égal à 0 (Dans le cas d’un propriétaire géré en comptabilité globale, on contrôle aussi le  compte FAP G.0.0.468)
  • Absence de Dossier non clos
  • Pas d’évènements en cours (État de l’événement terminé, annulé ou résilié)
  • Pas de facture, ni ordre bancaire, ni paiement,  ni encaissement en cours
  • Individu ne doit pas être acquéreur d’une vente en cours
  • Seulement si tous les liens dont il est destinataire sont anonymisables
  • Pas d’évènements en cours (État de l’événement terminé, annulé ou résilié)
  • Individu ne doit pas être acquéreur d’une vente en cours 
  • Si la date de fin de gestion des groupes de lot est renseignée et dépassée.
  • La date de valeur de la dernière écriture comptable doit être au-delà de la durée légale de rétention (PARAM/défaut 60mois)
  • Le solde de tous les comptes du copropriétaire doit être égal à 0
  • Absence de Dossier non clos
  • Pas d’évènements en cours (État de l’événement terminé, annulé ou résilié)
  • Pas de facture, ni ordre bancaire, ni paiement, ni encaissement en cours
  • Individu ne doit pas être acquéreur, ni vendeur d’une vente en cours
  • Seulement si tous les liens dont il est destinataire sont anonymisables.
  • Pas d’évènements en cours (Etat de l’évènement terminé, annulé ou résilié)
  • Individu ne doit pas être acquéreur d’une vente en cours
  • Date de création du prospect (L’individu (geTindi0m1) lié au prospect ne contenant pas de date de création, celle-ci est prise sur la fiche prospect (PROSP - geTache0s1)).
  • Dans le cas où il existe en tant que candidat, le prospect est éligible mais  non cryptable ; comparaison sur nom, prénom, code postal et ville.
  • Pas de durée minimum de rétention des données
  • Date de création du candidat > (PARAM/défaut 3 mois)
  • Le candidat ne doit pas avoir signé (cand_date_signature)
  • Individu ne doit pas être acquéreur d’une vente en cours
  • Le copropriétaire dont il dépend doit être anonymisé ou anonymisable.
  • Il doit s’agir d’un individu fournisseur dont le code activité correspond à un PARAM qui liste les codes activité à prendre en compte
  • Ce fournisseur doit être désactivé (date de désactivation renseignée et inférieure à la date du jour)

  • Le salarié Paie qui est lié à ce fournisseur doit avoir une date de départ < (PARAM/défaut 60mois)

    • Sur la fiche salarié, onglet « Compléments », dans l’encadré Intitulé Dates

  • Le code définitif doit être à OUI
  • La date de départ doit être renseignée
Attention:

Le numéro Fournisseur SY/GE de l’onglet Compléments de la fiche salarié (module paie) doit OBLIGATOIREMENT être renseigné.

  • Pas de durée minimum de rétention des données.
  • Date de création de l’individu > (PARAM/défaut 3 mois)
  • Individu ne doit pas être acquéreur d’une vente en cours

Fonctionnement

Attention:

Avant de lancer le traitement d’anonymisation,

il est impératif de lancer le traitement de régénération des CORI (écran : abButil_13) pour toutes les qualités : Fournisseur, Locataire, Propriétaire et Copropriétaire.

Ce traitement est disponible dans : Administration > Utilitaires Fichiers communs > Régénération CORI.

Prérequis

Il est donc nécessaire, avant de lancer le traitement d’anonymisation, de typer les civilités :

Seuls les individus pour lesquels le type est à Physique seront traités.

Sélection des individus

Il existe deux modes de sélection qu’il est important de bien distinguer :

  • La sélection en masse dont l’objectif est d’anonymiser des individus « inactifs »
  • La sélection unitaire qui permettra de traiter la demande express d’un individu ne souhaitant plus apparaitre dans les fichiers de l’agence

Accès : Administration> Utilitaires Divers>CNIL> Sélection individus CNIL

Le rapport de traitement indiquera le nombre d’individu

  • Elligible mais non cryptable
  • Cryptable

Accès : Administration> Utilitaires Divers>CNIL>Sélection individus CNIL

Le rapport de traitement indiquera si l’individu ou le prospect

  • Est éligible ou non à l’anonymisation.
  • Si éligible, est-il cryptable ou non ?

En outre, au lancement du traitement, un pop-up alertera l’utilisateur que la période de conservation des données ne sera pas contrôlée :

Consultation

Une fois le traitement de sélection des individus lancé, les résultats seront insérés dans une table de contrôle.

L’utilisateur retrouvera ici trois types d’individus :

  • Les individus cryptables. Ces individus sont considérés comme sortis et peuvent être cryptés s’ils n’ont plus de données actives
  • Les individus non cryptables. Cette catégorie regroupe les individus qui ne sont pas considérés comme sortis.
  • Les individus cryptés. Ce sont les individus pour lesquels le cryptage a déjà été lancé

Accès : Administration> Utilitaires Divers>CNIL>Individus éligibles

L’écran de consultation se présente comme cela :

  

On retrouve :

  • Liste les individus cryptables, non cryptables et cryptés.
  • Précise pourquoi un individu n’est pas cryptable en zone Commentaire.
  • Liste les qualités de l’individu
  • Permet de visualiser la fiche individu (bouton en fin de ligne)

Pour chaque qualité d’individu, possibilité de contrôler l’historique en cours, les dossiers en cours, les événements en cours, les factures en cours, les règlements en cours, les paiements en cours:

Cryptage 

Lancement

Accès : Administration> Utilitaires Divers>CNIL>Cryptage CNIL

Le lancement de l’anonymisation s’effectue via le lanceur suivant :

Le cryptage peut être lancé sur :

  • un individu
  • un prospect
  • un individu et un prospect
  • tous les individus et tous les prospects (ne pas renseigner les Numéros)

NB : si le nombre d’individus à traiter est très important (notamment dans le cas d’un premier lancement), le paramètre geCcnil0t2/nb_max permet d’indiquer le nombre d’individu maximum qui seront traités en une seule fois. De cette manière, le traitement n’anonymisera que le nombre d’individu indiqué dans ce paramètre et la main sera rendue (plus rapidement) à l’utilisateur. Celui-ci devra ensuite lancer le traitement jusqu’à ce qu’il n’y ait plus d’individu à traiter. Le compte rendu de traitement précise dans ce cas le nombre d’individus cryptables restant à crypter.

Impacts

Le cryptage à deux conséquences:

  1. les données personnelles présentes dans ThétraWin ne sont plus visibles.
  2. la GED liée aux individus cryptés est déplacée

Cryptage des données

Une fois l’individu ou le prospect crypté, la consultation des écrans où il est référencé n'est plus possible.

Déplacement de la GED

Lors du cryptage d’un individu ou d’un prospect, la GED est déplacée vers un répertoire d’archive dont le chemin doit être indiqué dans le paramètre CheminUnix (+ArchiveFusionA/ab/abBgest)

Si le répertoire d'archivage n'existe pas, on essaye de le créer. S'il ne peut être créé ou si on ne peut pas y accéder car on a pas les droits nécessaires, la GED n'est pas déplacée, et l'utilisateur est averti, néanmoins l'individu est bien crypté. Dans ce cas le déplacement de la GED devra être fait manuellement.

Dans le cas nominal, pour chaque individu crypté possédant de la GED, la GED est déplacée dans un répertoire d’archivage paramétré, dont l'arborescence se créera automatiquement :

  • ArchiveFusionA\ab\abBbail\ …
  • ArchiveFusionA\ab\abOtele\...
  • ArchiveFusionA\ab\abOdosr\...
  • ArchiveFusionA\ab\abBgest\...
  • ArchiveFusionA\ab\abOtele\...
  • ArchiveFusionA\ab\abOdosr\...
  • ArchiveFusionA\ab\abBcpta\...
  • ArchiveFusionA\ab\abOtele\...
  • ArchiveFusionA\ab\abOdosr\...
  • ArchiveFusionA\ab\geTache\...
  • ArchiveFusionA\pe\pa1fc31\...
  • ArchiveFusionA\ab\abBfour\...