Bailleurs Sociaux et les Pouvoirs d Ingérence de la CNIL, des décisions à prendre?

Transcription

1 Bailleurs Sociaux et les d Ingérence de la CNIL, des décisions à prendre?

2 Données à Caractère Personnel: Principes et Obligations couvert par la loi N modifiée de la CNIL des contraintes CNIL Présentation des Risques Vie Privée Sécurisation du Responsable de Traitement Pérennisation du patrimoine informationnel de l Organisme CNIL, Bluff ou Réalité, Présentation de cas Feuille de route type Questions/Réponses p. 2

3 L Intervenant Richard BERTRAND Contact: , Courriel: Protection des données personnelles(plus de 15 ans de pratique) Mastère Spécialisé en Management et Protection des Données à Caractère Personnel externer Datenschutzbeauftragter CIL externe en Allemagne Chargéde la Protectiondes Donnéesaccréditépar la CommissionNationale Luxembourgeoise Conseil en Protection des Données Personnelles au Maroc Autres Master en Gestion et Management Stratégique(ICG) Informatique: Diplômédu Centred EtudeSupérieurIndustriel (CESI) Chargé de Cours Akademie ULM Allemagne, SUPINFO CNIL Secteur ESH : Démarches ACTECIL pour plus de 50 Organismes p. 3

4 Logement Social & couvert par la loi N modifiée dite Loi Informatique et Libertés p. 4

5 Des données à caractère personnel au cœur de votre système d information? De quel type? p. 5

6 Traitement de Données à Caractère Personnel Base de données, logiciels, tableur,. Armoire/ Classeur Traitement nominatif? p. 6

7 p. 7

8 de la CNIL p. 8

9 Autorité Administrative Indépendante, la CNIL 2004 Transposition Directive Européenne Nouvelles Missions Nouveaux de Contrôle et de Sanctions p. 9

10 Autorité Administrative Indépendante, la CNIL Les Missions Informe des droits et obligations Veille à la mise en œuvre conformément aux dispositions de la loi Autorise les traitements Etablie et publie des normes Reçoit les plaintes et informe des suites données Informe sans délai le procureur de la République des infractions dont elle a connaissance p. 10

11 Autorité Administrative Indépendante, la CNIL Les Missions Procède à des vérifications sur place ou sur pièces Prononce des Sanctions Répond aux demandes d accès indirect Emet des Avis Délivre des labels Se tient informée de l évolution des technologies de l information p. 11

12 Autorité Administrative Indépendante, la CNIL Ses Contrôle sur Place de 6:00 à 21:00 Mise en demeure de modifier un traitement Non délivrance d une autorisation de mise en oeuvre Amende max Poursuite délit d entrave Pouvoir de Publication p. 12

13 Autorité Administrative Indépendante, la CNIL Une réflexion CNIL préalable s impose avant tout acte d acquisition, de développement ou d une prise de décision organisationnelle. NON-CONFORMITE = ILLEGALITE Pouvoir d ingérence de la CNIL en matière de Système d Information p. 13

14 Constat: 1. La Loi N modifiée = Code de la Route de l Economie Numérique 2. la CNIL = le Gendarme p. 14

15 Enjeux et état des contraintes CNIL p. 15

16 Risques CNIL Vie Privée La tendance : Vers un renforcement des contrôles et des sanctions Une connaissance de plus en plus partagée des droits et obligations p. 16

17 Risques Vie Privée Coercition Une activité accrue: Le renforcement en personnel du service des sanctions a permis de faire croître son activité de plus de 30 % par rapport à 2006 Le rôle de la formation contentieuse est devenu déterminant et s avère particulièrement efficace Source: Bilan d activité de la CNIL p. 17

18 Risques Vie Privée Coercition Source: Bilan d activité de la CNIL p. 18

19 Risques Vie Privée Coercition Source: Bilan d activité de la CNIL p. 19

20 Risques Vie Privée Coercition Code pénal : Art à Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est.. Le fait, hors les cas où le traitement a été autorisé ( ) ( ) incluant parmi les données sur lesquelles il porte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, ( ) p. 20

21 Risques Vie Privée Coercition Code pénal : Art à R.T.est puni de cinq ans d'emprisonnement et de d'amende. Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies à la présente section. Les peines encourues par les personnes morales sont : 1º L'amende, suivant les modalités prévues par l'article ; 2º Les peines mentionnées aux 2º, 3º, 4º, 5º, 7º, 8º et 9º de l'article L'interdiction mentionnée au 2º de l'article porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise. p. 21

22 Sécurisation du Responsable de Traitement Continuité d activité, Risque élevé pour le Logement Social Risque sous-traitant, Obligations d information Recueil Consentement Confidentialité Sécurité Licéité Traitements Proportionnalité des données, subjectivité,. p. 22

23 Pérennisation Patrimoine Informationnel Etapes incontournables Atteinte niveau de conformité adéquat CNIL Principe de Direction Contrat de sous-traitance, Sélection du sous-traitant Mise en place d une organisation CNIL Droit des personnes Formalités préalables Obligations d information p. 23 Sécurité confidentialité Sensibilisation des parties prenantes Audit sous-traitants Stratégie Mot de Passes / Gestion des rôles Cybersurveillance,.

24 Autorité Administrative Indépendante, la CNIL Coercition Logement Social Source: CNIL p. 24

25 Autorité Administrative Indépendante, la CNIL Coercition Logement Social Programme Contrôle 2010 Source: CNIL p. 25

26 Autorité Administrative Indépendante, la CNIL Coercition Logement Social Programme Contrôle 2009 Source: CNIL p. 26

27 Autorité Administrative Indépendante, la CNIL Coercition Les cas récents Source: Journal le Parisien p. 27

28 Autorité Administrative Indépendante, la CNIL Coercition Les cas récents Source: p. 28

29 Autorité Administrative Indépendante, la CNIL Coercition Les cas récents Source: dna.fr/ p. 29

30 Proposition Feuille de Route p. 30

31 Feuille de route Informations Connaissance Organisme Votre état Informatique et Libertés Calcul de votre Niveau de Maturité et des Risques CNIL Maturité de l'organisme Niveau de Risque 100 Organi Traite 50 Sécurité Droit 0 Maitri Maturité de l'organisme 100 Organis Traitem 50 Sécurité 0 Droit Maitrise Informa Niveau de Risque Inform Réalisation d un catalogue de recommandations Réalisation d un plan d actions validé par la Direction p. 31

32 Feuille de route Organisation CNIL Chef de Projet ou Désignation C.I.L Maitrise des sous-traitants Mentions d Informations Formulaires, Questionnaires Gestion des flux d information Process et Procédures CNIL p. 32

33 Feuille de route Actions Correctives CNIL Les traitements nominatifs Cartographie et Mise à jour des formalités Passage CE Intégration autres législations,.. p. 33

34 Feuille de route Actions Préventives CNIL Nouveaux collaborateurs et intervenants externes Acquisition de nouveaux traitements Sensibilisation des collaborateurs Audit des process et actions correctives Politique Vie Privée et Communication p. 34

35 Feuille de route Je vous remercie pour votre attention Questions / Réponses p. 35