J'espère poster dans le bon forum, même si la question est plus
"réseau" que "Internet"
J'installe actuellement un serveur/controleur de domaine sur le réseau
de mon collège. J'envisage de proposer à tous les usagers (élèves comme
profs) un espace personel sur le serveur pour les données personnelles.
Conséquence : l'accès au domaine est *nominatif* (login - mot de passe)
controlé par un annuaire ldap.
Question : Cet annuaire ldap est-il déclarable à la CNIL ?
Je crois me souvenir avoir lu (sur le site de la CNIL ????) que la
déclaration de ce genre d'annuaire n'est pas nécessaire étant donné que
c'est un processus normal de sécurité sur un réseau.
Quelqu'un a-t-il des sources fiables là-dessus ?
Ce n'est pas que je ne veuille pas en faire la déclaration si c'est
nécessaire mais je préfère ne pas me laisser surprendre...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Tobe ORNOT
Bonjour, A partir du moment où il s'agit seulement d'un login et d'un mot de passe et que, par conséquent, nul n'est identifiable et qu'aucune autre donnée (adresse, age ou autre) ne fait l'objet d'un traitement, votre serveur n'opère pas de traitement automatisé de données au sens de la loi CNIL.
Donc aucune déclaration n'est nécessaire.
Cordialement,
MC
"Christian" a écrit dans le message de news:
Bonjour à tous,
J'espère poster dans le bon forum, même si la question est plus "réseau" que "Internet"
J'installe actuellement un serveur/controleur de domaine sur le réseau de mon collège. J'envisage de proposer à tous les usagers (élèves comme profs) un espace personel sur le serveur pour les données personnelles.
Conséquence : l'accès au domaine est *nominatif* (login - mot de passe) controlé par un annuaire ldap.
Question : Cet annuaire ldap est-il déclarable à la CNIL ?
Je crois me souvenir avoir lu (sur le site de la CNIL ????) que la déclaration de ce genre d'annuaire n'est pas nécessaire étant donné que c'est un processus normal de sécurité sur un réseau.
Quelqu'un a-t-il des sources fiables là-dessus ?
Ce n'est pas que je ne veuille pas en faire la déclaration si c'est nécessaire mais je préfère ne pas me laisser surprendre...
Par avance merci Christian
Bonjour,
A partir du moment où il s'agit seulement d'un login et d'un mot de passe et
que, par conséquent, nul n'est identifiable et qu'aucune autre donnée
(adresse, age ou autre) ne fait l'objet d'un traitement, votre serveur
n'opère pas de traitement automatisé de données au sens de la loi CNIL.
Donc aucune déclaration n'est nécessaire.
Cordialement,
MC
"Christian" <westphal.christian@wanadouille.fr> a écrit dans le message de
news: MPG.1ba6ea2a12c841dd9896f4@news.wanadoo.fr...
Bonjour à tous,
J'espère poster dans le bon forum, même si la question est plus
"réseau" que "Internet"
J'installe actuellement un serveur/controleur de domaine sur le réseau
de mon collège. J'envisage de proposer à tous les usagers (élèves comme
profs) un espace personel sur le serveur pour les données personnelles.
Conséquence : l'accès au domaine est *nominatif* (login - mot de passe)
controlé par un annuaire ldap.
Question : Cet annuaire ldap est-il déclarable à la CNIL ?
Je crois me souvenir avoir lu (sur le site de la CNIL ????) que la
déclaration de ce genre d'annuaire n'est pas nécessaire étant donné que
c'est un processus normal de sécurité sur un réseau.
Quelqu'un a-t-il des sources fiables là-dessus ?
Ce n'est pas que je ne veuille pas en faire la déclaration si c'est
nécessaire mais je préfère ne pas me laisser surprendre...
Bonjour, A partir du moment où il s'agit seulement d'un login et d'un mot de passe et que, par conséquent, nul n'est identifiable et qu'aucune autre donnée (adresse, age ou autre) ne fait l'objet d'un traitement, votre serveur n'opère pas de traitement automatisé de données au sens de la loi CNIL.
Donc aucune déclaration n'est nécessaire.
Cordialement,
MC
"Christian" a écrit dans le message de news:
Bonjour à tous,
J'espère poster dans le bon forum, même si la question est plus "réseau" que "Internet"
J'installe actuellement un serveur/controleur de domaine sur le réseau de mon collège. J'envisage de proposer à tous les usagers (élèves comme profs) un espace personel sur le serveur pour les données personnelles.
Conséquence : l'accès au domaine est *nominatif* (login - mot de passe) controlé par un annuaire ldap.
Question : Cet annuaire ldap est-il déclarable à la CNIL ?
Je crois me souvenir avoir lu (sur le site de la CNIL ????) que la déclaration de ce genre d'annuaire n'est pas nécessaire étant donné que c'est un processus normal de sécurité sur un réseau.
Quelqu'un a-t-il des sources fiables là-dessus ?
Ce n'est pas que je ne veuille pas en faire la déclaration si c'est nécessaire mais je préfère ne pas me laisser surprendre...
Par avance merci Christian
Spyou
"Tobe ORNOT" a écrit dans le message de news: 413d80de$0$24262$
Bonjour, A partir du moment où il s'agit seulement d'un login et d'un mot de passe
et
que, par conséquent, nul n'est identifiable et qu'aucune autre donnée (adresse, age ou autre) ne fait l'objet d'un traitement, votre serveur n'opère pas de traitement automatisé de données au sens de la loi CNIL.
Si le login est (par exemple) "eleve1456" et qu'il n'y a aucune table de correspondance entre "eleve1456" et le nom de l'eleve, oui. Mais je doute qu'il n'y ai aucun moyen de retrouver l'utilisateur a partir de son login (ne serait-ce que pour savoir qui abuse du systeme en cas de probleme)
Mais le login sera probablement du type "jdupont" pour monsieur Jean Dupont, donnée nominative, declaration a la CNIL ..
"Tobe ORNOT" <mattthieucordelier@hotmail.com> a écrit dans le message de
news: 413d80de$0$24262$626a14ce@news.free.fr...
Bonjour,
A partir du moment où il s'agit seulement d'un login et d'un mot de passe
et
que, par conséquent, nul n'est identifiable et qu'aucune autre donnée
(adresse, age ou autre) ne fait l'objet d'un traitement, votre serveur
n'opère pas de traitement automatisé de données au sens de la loi CNIL.
Si le login est (par exemple) "eleve1456" et qu'il n'y a aucune table de
correspondance entre "eleve1456" et le nom de l'eleve, oui.
Mais je doute qu'il n'y ai aucun moyen de retrouver l'utilisateur a partir
de son login (ne serait-ce que pour savoir qui abuse du systeme en cas de
probleme)
Mais le login sera probablement du type "jdupont" pour monsieur Jean Dupont,
donnée nominative, declaration a la CNIL ..
"Tobe ORNOT" a écrit dans le message de news: 413d80de$0$24262$
Bonjour, A partir du moment où il s'agit seulement d'un login et d'un mot de passe
et
que, par conséquent, nul n'est identifiable et qu'aucune autre donnée (adresse, age ou autre) ne fait l'objet d'un traitement, votre serveur n'opère pas de traitement automatisé de données au sens de la loi CNIL.
Si le login est (par exemple) "eleve1456" et qu'il n'y a aucune table de correspondance entre "eleve1456" et le nom de l'eleve, oui. Mais je doute qu'il n'y ai aucun moyen de retrouver l'utilisateur a partir de son login (ne serait-ce que pour savoir qui abuse du systeme en cas de probleme)
Mais le login sera probablement du type "jdupont" pour monsieur Jean Dupont, donnée nominative, declaration a la CNIL ..
Christian
Spyou nous a écrit en substance :
Mais le login sera probablement du type "jdupont" pour monsieur Jean Dupont,
C'est évidemment le cas ...
donnée nominative, declaration a la CNIL ..
Merci, maintenant j'ai retrouvé le doc dont il est question dans mon premier post :
Je cite : ------------------- 6. Les fichiers de journalisation
Les fichiers de journalisation des connexions destinés à identifier et enregistrer toutes les connexions ou tentatives de connexion à un système automatisé d’informations constituent une mesure de sécurité, généralement préconisée par la CNIL dans le souci que soient assurées la sécurité et la confidentialité des données à caractère personnel, lesquelles ne doivent pas être accessibles à des tiers non autorisés ni utilisées à des fins étrangères à celles qui justifient leur traitement. -------------------
La surveillance des "conneries" que pourraient faire les gamins (ou les adultes ;-) sur le réseau du collège fait elle partie de ces "des fins étrangères" ?
suite : ------------------- Ils n’ont pas pour vocation première le contrôle des utilisateurs. La finalité de ces fichiers de journalisation, qui peuvent également être associés à des traitements d’information dépourvus de tout caractère nominatif mais revêtent un caractère sensible pour l’entreprise ou l’administration concernée, consiste à garantir une utilisation normale des ressources des systèmes d’information et, le cas échéant, à identifier les usages contraires aux règles de confidentialité ou de sécurité des données définies par l’entreprise. Ces fichiers de journalisation n’ont pas, en tant que tels, à faire l’objet des formalités préalables auprès de la CNIL. -------------------
Si je comprend bien, mon annuaire LDAP ou les fichiers de log ne sont pas déclarables. Non ??
suite : ------------------- Lorsqu’ils sont associés à un traitement automatisé d’informations nominatives afin de garantir ou de renforcer le niveau de sécurité de ce dernier, ils doivent être portés à la connaissance de la CNIL au titre des mesures de sécurités entourant le fonctionnement du traitement principal dont ils sont le corollaire. En revanche, la mise en oeuvre d’un logiciel d’analyse des différents journaux (applicatifs et systèmes) permettant de collecter des informations individuelles poste par poste pour contrôler l’activité des utilisateurs doit être déclaré à la CNIL. -------------------
C'est quoi la différence entre "portés à la connaissance de la CNIL" et "déclaré à la CNIL" ?
C'est quoi dans ce cas : "un traitement automatisé d’informations nominatives" associé ???
un programme qui me permet de traiter les fichiers de log au lieu de le faire à la main ?
ou le simple fait de pouvoir faire le lien entre la machine "pc114-02 ip 10.131.101.2 1er avril 2004 14h52" et "Jean Dupond" ???
Merci à ceux qui m'ont déjà répondu et a ceux qui vont continuer. Christian
PS : j'ai bien sûr autre chose faire qu'à surveiller toutes les "bêtises" de mes gamins, qui ne général me font plutôt marrer, mais soyont prévoyant....
Spyou nous a écrit en substance :
Mais le login sera probablement du type "jdupont" pour monsieur Jean Dupont,
C'est évidemment le cas ...
donnée nominative, declaration a la CNIL ..
Merci, maintenant j'ai retrouvé le doc dont il est question dans mon
premier post :
Je cite :
-------------------
6. Les fichiers de journalisation
Les fichiers de journalisation des connexions destinés à identifier et
enregistrer toutes les connexions ou tentatives de connexion à un
système automatisé d’informations constituent une mesure de sécurité,
généralement préconisée par la CNIL dans le souci que soient assurées la
sécurité et la confidentialité des données à caractère personnel,
lesquelles ne doivent pas être accessibles à des tiers non autorisés ni
utilisées à des fins étrangères à celles qui justifient leur traitement.
-------------------
La surveillance des "conneries" que pourraient faire les gamins (ou les
adultes ;-) sur le réseau du collège fait elle partie de ces "des fins
étrangères" ?
suite :
-------------------
Ils n’ont pas pour vocation première le contrôle des utilisateurs.
La finalité de ces fichiers de journalisation, qui peuvent également
être associés à des traitements d’information dépourvus de tout
caractère nominatif mais revêtent un caractère sensible pour
l’entreprise ou l’administration concernée, consiste à garantir une
utilisation normale des ressources des systèmes d’information et, le cas
échéant, à identifier les usages contraires aux règles de
confidentialité ou de sécurité des données définies par l’entreprise.
Ces fichiers de journalisation n’ont pas, en tant que tels, à faire
l’objet des formalités préalables auprès de la CNIL.
-------------------
Si je comprend bien, mon annuaire LDAP ou les fichiers de log ne sont
pas déclarables. Non ??
suite :
-------------------
Lorsqu’ils sont associés à un traitement automatisé d’informations
nominatives afin de garantir ou de renforcer le niveau de sécurité de ce
dernier, ils doivent être portés à la connaissance de la CNIL au titre
des mesures de sécurités entourant le fonctionnement du traitement
principal dont ils sont le corollaire.
En revanche, la mise en oeuvre d’un logiciel d’analyse des différents
journaux (applicatifs et systèmes) permettant de collecter des
informations individuelles poste par poste pour contrôler l’activité des
utilisateurs doit être déclaré à la CNIL.
-------------------
C'est quoi la différence entre "portés à la connaissance de la CNIL" et
"déclaré à la CNIL" ?
C'est quoi dans ce cas : "un traitement automatisé d’informations
nominatives" associé ???
un programme qui me permet de traiter les fichiers de log au lieu de le
faire à la main ?
ou le simple fait de pouvoir faire le lien entre la machine
"pc114-02 ip 10.131.101.2 1er avril 2004 14h52"
et
"Jean Dupond" ???
Merci à ceux qui m'ont déjà répondu et a ceux qui vont continuer.
Christian
PS : j'ai bien sûr autre chose faire qu'à surveiller toutes les
"bêtises" de mes gamins, qui ne général me font plutôt marrer, mais
soyont prévoyant....
Je cite : ------------------- 6. Les fichiers de journalisation
Les fichiers de journalisation des connexions destinés à identifier et enregistrer toutes les connexions ou tentatives de connexion à un système automatisé d’informations constituent une mesure de sécurité, généralement préconisée par la CNIL dans le souci que soient assurées la sécurité et la confidentialité des données à caractère personnel, lesquelles ne doivent pas être accessibles à des tiers non autorisés ni utilisées à des fins étrangères à celles qui justifient leur traitement. -------------------
La surveillance des "conneries" que pourraient faire les gamins (ou les adultes ;-) sur le réseau du collège fait elle partie de ces "des fins étrangères" ?
suite : ------------------- Ils n’ont pas pour vocation première le contrôle des utilisateurs. La finalité de ces fichiers de journalisation, qui peuvent également être associés à des traitements d’information dépourvus de tout caractère nominatif mais revêtent un caractère sensible pour l’entreprise ou l’administration concernée, consiste à garantir une utilisation normale des ressources des systèmes d’information et, le cas échéant, à identifier les usages contraires aux règles de confidentialité ou de sécurité des données définies par l’entreprise. Ces fichiers de journalisation n’ont pas, en tant que tels, à faire l’objet des formalités préalables auprès de la CNIL. -------------------
Si je comprend bien, mon annuaire LDAP ou les fichiers de log ne sont pas déclarables. Non ??
suite : ------------------- Lorsqu’ils sont associés à un traitement automatisé d’informations nominatives afin de garantir ou de renforcer le niveau de sécurité de ce dernier, ils doivent être portés à la connaissance de la CNIL au titre des mesures de sécurités entourant le fonctionnement du traitement principal dont ils sont le corollaire. En revanche, la mise en oeuvre d’un logiciel d’analyse des différents journaux (applicatifs et systèmes) permettant de collecter des informations individuelles poste par poste pour contrôler l’activité des utilisateurs doit être déclaré à la CNIL. -------------------
C'est quoi la différence entre "portés à la connaissance de la CNIL" et "déclaré à la CNIL" ?
C'est quoi dans ce cas : "un traitement automatisé d’informations nominatives" associé ???
un programme qui me permet de traiter les fichiers de log au lieu de le faire à la main ?
ou le simple fait de pouvoir faire le lien entre la machine "pc114-02 ip 10.131.101.2 1er avril 2004 14h52" et "Jean Dupond" ???
Merci à ceux qui m'ont déjà répondu et a ceux qui vont continuer. Christian
PS : j'ai bien sûr autre chose faire qu'à surveiller toutes les "bêtises" de mes gamins, qui ne général me font plutôt marrer, mais soyont prévoyant....
