INFORMATIQUE ET LIBERTÉS

Transcription

1 INFORMATIQUE ET LIBERTÉS DAJ Crédits : CNRS. Y. Chraibi. Guide à l usage des chercheurs CENTRE NATIONAL DE LA RECHERCHE SCIENTIFIQUE

2

3 Edito L ampleur et la variété des activités du CNRS impliquent la création de nombreux traitements de données personnelles. On peut ainsi citer pêle-mêle quelques traitements dernièrement déclarés par le CNRS à la CNIL qui concernaient : la gestion des utilisateurs d une chimiothèque, une étude sur la formation des aversions alimentaires chez l enfant, la réalisation de recherches biomédicales, la surveillance de l exposition aux rayonnements ionisants des personnels, la création d un site web de publications et d informations scientifiques A ce titre, la législation «Informatique et libertés» doit être respectée par notre établissement, afin d assurer à chacun le respect de son identité, de sa vie privée et de ses libertés individuelles ou publiques. La loi correspondante de 1978 a été profondément modifiée par la loi du 6 août 2004 pour renforcer les droits des personnes sur leurs données, mais également pour simplifier les formalités administratives déclaratives et accroître de manière conséquente les pouvoirs d intervention de la CNIL. Ce guide a pour ambition de sensibiliser, d informer et d aider tous ceux qui au CNRS créent ou utilisent des traitements de données à caractère personnel, en mettant en lumière les principes clés à respecter pour leur création, les droits et obligations de chacun et les formalités à engager. Conçu par la direction des affaires juridiques (DAJ) du CNRS, en collaboration avec le bureau de pilotage et de coordination (BPC), le département Vivant et la direction des systèmes d information (DSI) chargée de la mise en œuvre de cette législation au CNRS, cet outil a été validé par la CNIL afin d offrir aux lecteurs un document de référence. Une version électronique est téléchargeable sur le site web de la DAJ et de la DSI. Alain Resplandy-Bernard Secrétaire général du CNRS

4 Sommaire Fiche 1 : Qu est-ce qu un traitement régi par la loi Informatique et Libertés?... 3 Fiche 2 : Quelles conditions doit respecter un traitement?... 5 Fiche 3 : Quels droits pour les personnes concernées?... 9 Fiche 4 : Quelles procédures pour quels traitements? Fiche 4-1 : Votre traitement ne comporte pas de données présentant des risques particuliers d atteinte aux droits et libertés Fiche 4-2 : Votre traitement comporte des données présentant des risques particuliers d atteinte aux droits et libertés Fiche 5 : Votre traitement de données à caractère personnel a pour fin la recherche dans le domaine de la santé Fiche 6 : Le sort des traitements mis en œuvre avant la publication de la nouvelle loi Informatique et Libertés Fiche 7 : La CNIL et ses pouvoirs Fiche 8 : Les sanctions Annexes Adresses / Liens utiles - Lexique - Textes fondamentaux Direction des affaires juridiques - 01/09/06

5 Fiche 1 : Qu est-ce qu un traitement régi par la loi Informatique et Libertés? Les traitements automatisés ou les fichiers manuels de données à caractère personnel dont le responsable est établi sur le territoire français ou recourt à des moyens de traitement situés sur ce territoire 1 sont régis par la loi Informatique et Libertés. Qu est-ce qu un traitement? Toute opération portant sur des données «quel que soit le procédé technique utilisé», tel que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la transmission, l interconnexion de données à caractère personnel,... Qu est-ce qu un fichier? Attention Ne sont pas concernés par la loi, les traitements mis en œuvre pour l exercice d activités exclusivement personnelles (agendas électroniques, répertoires d adresses personnelles,...). Tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. Qu est-ce qu une donnée à caractère personnel? Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Attention Des données que vous pourriez considérer comme anonymes peuvent constituer des données à caractère personnel si elles permettent d identifier indirectement ou par recoupement d informations une personne précise (exemples : date et lieu de naissance, adresse et profession des parents). 1 - Articles 2 et 3 de la loi Informatique et Libertés. Direction des affaires juridiques - 01/09/06 3

6 Qui est le responsable du traitement? Le responsable du traitement de données à caractère personnel est la personne, l'autorité publique, le service ou l organisme qui détermine ses finalités et ses moyens. Le responsable doit être établi sur le territoire français ou recourir à des moyens de traitement situés sur ce territoire. Exemple Le directeur d unité est responsable des traitements mis en œuvre dans son laboratoire (entité chargée de la mise en œuvre du traitement). 4 Direction des affaires juridiques - 01/09/06

7 Fiche 2 : Quelles conditions doit respecter un traitement? A la création du traitement Les 5 règles d or à respecter respecter le principe de finalité et de proportionnalité : le traitement doit avoir une finalité déterminée, explicite et légitime et les données, collectées de manière loyale et licite, doivent être pertinentes au regard de cette finalité. conserver les données pendant une durée limitée fixée en fonction de la finalité du traitement. assurer la sécurité et la confidentialité des données. Exemple Les données ne doivent pas déformées, endommagées ou être accessibles à des tiers non autorisés 3. informer la personne du traitement dont elle fait l objet et de ses caractéristiques afin de lui permettre d exercer ses droits d accès, de modification, de suppression et d opposition. Attention Le responsable du traitement doit obligatoirement informer les personnes concernées de leurs droits et identifier clairement le service auprès duquel s exercent ces droits dans l unité. déclarer le traitement auprès de la CNIL et obtenir un numéro d enregistrement avant sa mise en œuvre, sauf dispenses autorisées par la loi ou la CNIL 4. Attention Le responsable du traitement s engage à réaliser une déclaration conforme à la réalité du traitement mis en œuvre. 3 - Article 34 de la loi. 4 - Cf. Fiche 4-1. Direction des affaires juridiques - 01/09/06 5

8 Conditions propres aux données sensibles Les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. Par principe, il est interdit de collecter et de traiter ce type de données. Toutefois, la loi prévoit certaines dérogations. Ainsi la CNIL peut autoriser, compte tenu de leur finalité, certains traitements si les données sont à bref délai, anonymisées selon un procédé reconnu conforme, au cas par cas, par la CNIL ou si les traitements sont justifiés par un intérêt public 5. Exemple Peuvent être reconnus conformes des procédés irréversibles de transcodage ou de hachage des identités. Pendant l exploitation du traitement Les données doivent être mises à jour 6 ; La CNIL doit être informée de toute modification ou suppression affectant les traitements (notamment finalité, nature des données, durée de conservation, personnes concernées, destinataires des données, changement d adresse ou de nom du responsable du traitement...) 7 ; La réutilisation des données pour une autre finalité est interdite sauf pour les traitements à des fins statistiques, historiques ou de recherche scientifique et sous réserve de : Ne pas être utilisés pour prendre des décisions à l égard des personnes concernées ; et de respecter les conditions de la loi (finalité et proportionnalité, durée limitée, sécurité, information des personnes, déclaration ). 5 - Pour d autres dérogations, cf. les articles 8 et 25 de la loi. 6 - Cf. Fiche Pour une liste complète des modifications affectant les traitements et nécessitant une information de la CNIL, cf. l article 30 de la loi. 6 Direction des affaires juridiques - 01/09/06

9 Les transferts de données. Vers un Etat appartenant à la Communauté européenne : Les transferts ne soulèvent pas de difficulté particulière, s ils ont été prévus dans la déclaration initiale ou dans l acte autorisant le traitement. A défaut, une modification de la déclaration ou de l acte autorisant le traitement est nécessaire. Vers un Etat n appartenant pas à la Communauté européenne 8 : Les transferts de données à caractère personnel ne sont possibles que si les Etats destinataires assurent un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes concernées par le traitement. A défaut, il convient de solliciter l autorisation de la CNIL ou de respecter les conditions prévues par la loi. En pratique Si vous envisagez un tel transfert, contactez la DSI pour déterminer le régime applicable et la procédure à suivre. A l expiration de la durée de conservation des données prévue pour C.le traitement Il est interdit de réutiliser les données collectées et traitées à l expiration de la durée de conservation prévue pour le traitement. Au-delà de cette durée, les données doivent donc être détruites, effacées, supprimées ou archivées dans les conditions prévues par la réglementation applicable en matière d archives publiques. Les dérogations Les données collectées peuvent être conservées au-delà de la durée nécessaire aux finalités initiales en vue d être traitées à des fins historiques, statistiques ou scientifiques 9, sous réserve de respecter les conditions de la loi (finalité et proportionnalité, durée limitée, sécurité, information des personnes, déclaration ). 8 - Articles 68 à 70 de la loi. 9 - Article 36 de la loi. Direction des affaires juridiques - 01/09/06 7

10

11 Fiche 3 : Quels droits pour les personnes concernées? Toute personne auprès de laquelle sont recueillies des données à caractère personnel ou qui est concernée par un traitement dispose d un droit à l information, d un droit d accès, d un droit d opposition, d un droit de rectification. Qu est-ce que le droit à l information? C est le droit pour toute personne de savoir si des données la concernant font l objet d un traitement et d obtenir du responsable du traitement des informations sur celui-ci 10. Les informations à transmettre systématiquement à la personne concernée sont : l identité du responsable du traitement ou de son représentant ; la finalité poursuivie par le traitement ; le caractère obligatoire ou facultatif des réponses ; les conséquences éventuelles, à son égard, d'un défaut de réponse ; les destinataires des données ; les droits d accès, d opposition et de rectification ; le cas échéant, les transferts de données envisagés à destination d'un Etat non membre de la Communauté européenne. En pratique Les informations peuvent être délivrées par tous moyens, par exemple : par courrier électronique ou lettre d information ; par affichage dans les locaux recevant les personnes concernées ; par annonce dans le journal d information de l organisme concerné ; par mention sur un questionnaire, un formulaire de collecte de données en ligne ; au cours d un entretien individuel. En pratique Des modèles de note d information sont disponibles sur le site de la DSI : Article 32 de la loi. Direction des affaires juridiques - 01/09/06 9

12 Lorsque les données sont recueillies directement auprès de la personne, ces informations doivent lui être délivrées par le responsable du traitement ou son représentant. Si les données sont recueillies par voie de questionnaire, les informations suivantes doivent en outre être mentionnées sur le questionnaire : l identité du responsable du traitement ou de celle de son représentant ; la finalité poursuivie par le traitement ; le caractère obligatoire ou facultatif des réponses ; les droits d accès, d opposition et de rectification. Lorsque les données ne sont pas recueillies auprès de la personne concernée, toutes les informations relatives au traitement citées en préalable, doivent être fournies à la personne concernée dès l enregistrement des données ou, si une communication de ces données à des tiers est envisagée, au plus tard lors de la première communication. Exemple C est le cas si les données sont recueillies directement auprès du responsable d un autre traitement. Lorsque les données ont été initialement recueillies pour un autre objet, toutes ces informations doivent également être fournies à la personne concernée, sauf si : la personne concernée est déjà informée ; son information se révèle impossible ou exige des efforts disproportionnés par rapport à l intérêt de la démarche. Attention L impossibilité d informer les personnes concernées doit pouvoir être justifiée auprès de la CNIL. Lorsque les données sont appelées à faire l objet dans un bref délai d un procédé d anonymisation, les informations qui doivent être délivrées à la personne concernée peuvent se limiter à l identité du responsable du traitement et à la finalité poursuivie par le traitement. 10 Direction des affaires juridiques - 01/09/06

13 Qu est-ce que le droit d accès? Toute personne a le droit d obtenir communication des données la concernant enregistrées dans le traitement sous une forme accessible et en obtenir une copie 11. Les informations qui doivent être communiquées. Toute personne peut interroger le responsable d un traitement de données à caractère personnel et obtenir sans justification : la confirmation que des données la concernant font l objet ou non d un traitement ; des informations relatives à la finalité du traitement, aux catégories de données et aux destinataires de ces données ; la communication des données qui la concernent ainsi que toute information sur l origine de celles-ci ; des informations sur les transferts de données envisagés à destination d'un Etat non membre de la Communauté européenne. Recommandation La réponse doit être faite par écrit. Les modalités d exercice du droit d accès. Le droit d accès s exerce auprès du service responsable du traitement. Il est tenu d y faire droit sauf si la demande est manifestement abusive (par son caractère répétitif ou systématique). Attention Seul le coût de la reproduction de la copie des données peut être facturé. Qu est-ce que le droit d opposition? Toute personne peut s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement Article 39 de la loi 12 - Article 38 de la loi. Direction des affaires juridiques - 01/09/06 11

14 Lorsque ces données sont destinées à être utilisées par le responsable du traitement à des fins de prospections, notamment commerciales, le droit d opposition peut être exercé sans motif. Qu est-ce que le droit de rectification? Toute personne peut exiger du responsable d'un traitement que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données la concernant qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite 13. Attention Lorsqu une personne en fait la demande, le responsable du traitement doit justifier sans frais qu'il a procédé aux modifications demandées Article 40 de la loi. 12 Direction des affaires juridiques - 01/09/06

15 Fiche 4 : Quelles procédures pour quels traitements? Les procédures prévues par la loi La loi Informatique et Libertés abandonne la distinction entre les fichiers du secteur public soumis à un régime d'autorisation après avis de la CNIL et les fichiers du secteur privé soumis à un simple régime de déclaration. Désormais, c'est la finalité du traitement et la nature des données collectées qui déterminent le régime applicable au traitement (déclaration, autorisation ou avis préalables). Le principe est celui de la déclaration préalable. Par conséquent, tous les traitements de données à caractère personnel doivent être déclarés préalablement à la CNIL avant leur mise en œuvre 14. Les traitements les plus courants peuvent être dispensés de déclaration 15 ou faire l objet d une déclaration simplifiée s ils respectent l une des normes établies par la CNIL 16. Attention La dispense de déclaration n exonère pas les services et entités du CNRS de respecter les principes de la loi Informatique et Libertés dans la mise en œuvre du traitement et de garantir les droits des personnes. Pour les données sensibles et les traitements susceptibles de porter atteinte aux droits et libertés des personnes limitativement énumérés par la loi, la mise en œuvre de ces traitements est soumise à une autorisation de la CNIL ou à un acte réglementaire pris après avis de la CNIL. Les traitements ayant pour fin la recherche dans le domaine de la santé sont soumis à l autorisation préalable de la CNIL et font l objet d une fiche spécifique 17 de ce guide Article 22 de la loi Article 24 de la loi Article 24 de la loi Cf. Fiche 5. Direction des affaires juridiques - 01/09/06 13

16 Les traitements de données de santé à caractère personnel à des fins d évaluation ou d analyse des pratiques ou des activités de soins et de prévention sont soumis à des dispositions spécifiques de la loi 18. Les procédures internes au CNRS Tous les projets de traitement appelés à comprendre des données à caractère personnel, quelle que soit la procédure applicable, doivent être adressés à la DSI qui : élabore et met en œuvre les procédures correspondantes au CNRS ; assiste et conseille les agents et les services dans leur démarche déclarative ; informe les entités du CNRS des modalités déclaratives via son site : ; instruit et centralise les projets de déclaration ; transmet, pour le compte du CNRS, les déclarations à la CNIL. En pratique Tous les formulaires de déclaration préremplis sont disponibles sur le site de la DSI : Les traitements des laboratoires propres au CNRS (ex : UPR, UPS,...) doivent être transmis à la DSI préalablement à leur mise en œuvre. Les traitements des laboratoires communs (ex : UMR, UMS, FR/IFR, GDR,...) doivent être transmis préalablement à leur mise en œuvre à la DSI ou à un des établissements partenaires pour leur déclaration. Les établissements partenaires des unités doivent s informer mutuellement, par l intermédiaire des directeurs de laboratoire, des déclarations qu ils effectuent auprès de la CNIL pour le compte de leurs laboratoires communs. Information La liste des traitements déclarés à la CNIL par le CNRS est accessible sur le site de la DSI : à la rubrique «droit d accès/information» Articles 62 à 66 de la loi. 14 Direction des affaires juridiques - 01/09/06

17 Fiche 4-1 : Votre traitement ne comporte pas de données présentant des Fiche 4-1 : risques particuliers d atteinte aux droits et libertés Tous les traitements ou fichiers doivent faire l objet d une déclaration préalable auprès de la CNIL. La dispense de déclaration En pratique Toutes les déclarations doivent être adressées à la DSI, qui assure leur transmission à la CNIL. La CNIL peut dispenser de déclaration les traitements les plus courants. La déclaration simplifiée Exemples Sont dispensés de déclaration les traitements de données à caractère personnel relatifs : à la gestion des fichiers de fournisseurs comportant des personnes physiques, à la dématérialisation des marchés publics, mis en œuvre par les organismes publics ; à la gestion des rémunérations, mis en œuvre par l Etat et les établissements publics En pratique Consulter la liste des traitements dispensés de déclaration sur le site de la DSI : et de la CNIL : Des normes ont été établies pour les traitements que la CNIL considère comme n étant pas susceptibles de porter atteinte aux droits et libertés des personnes. Si le traitement de données à caractère personnel est strictement conforme à l une des normes établies par la CNIL, une déclaration simplifiée peut être mise en œuvre. Dans le cas contraire, le traitement de données à caractère personnel doit faire l objet d une déclaration normale auprès de la CNIL. Direction des affaires juridiques - 01/09/06 15

18 Exemples Peuvent faire l objet d une déclaration simplifiée les traitements de données à caractère personnel mis en œuvre : par les organismes publics et privés pour la gestion de leurs personnels ; sur les lieux de travail pour la gestion des contrôles d'accès aux locaux, des horaires et de la restauration ; dans le cadre de l utilisation de services de téléphonie fixe et mobile sur les lieux de travail La déclaration normale En pratique La liste des normes simplifiées est disponible sur les sites de la DSI : et de la CNIL : Le formulaire de déclaration simplifiée prérempli est également disponible sur le site de la DSI : Vous devez effectuer une déclaration normale si votre traitement : n est pas dispensé de déclaration ; n est pas conforme aux normes simplifiées établies par la CNIL ; ne relève pas d un autre régime (autorisation de la CNIL pour les données sensibles par exemple). Le cas des sites internet En pratique Les formulaires de déclaration préremplis sont disponibles sur le site de la DSI : Les sites internet doivent respecter la loi Informatique et Libertés s ils comportent des données à caractère personnel. Les sites internet ne font plus l objet d un formulaire spécifique de déclaration. Les traitements mis en œuvre à partir d un site internet peuvent relever selon leur finalité et la nature des données : d une dispense de déclaration, pour les sites vitrines ou institutionnels collectant ou diffusant des données personnelles dans un but de communication ou d information (abonnement à une lettre d information, diffusion d organigrammes, d annuaires) et pour sites web personnels (blogs ) ; 16 Direction des affaires juridiques - 01/09/06

19 d une déclaration simplifiée, pour les sites marchands ; et dans les autres cas, d une déclaration normale, voir d une demande d avis ou d autorisation. Instruction de la déclaration Tous les projets de déclarations doivent être adressés préalablement à la DSI qui les transmet à la CNIL. A la réception de la déclaration, la CNIL délivre un récépissé, assorti d un numéro d enregistrement, à la DSI, qui en transmet une copie au responsable du traitement. La réception du récépissé conditionne la mise en oeuvre du traitement. Attention La délivrance du récépissé atteste que le responsable du traitement a satisfait à ses obligations déclaratives mais ne l exonère pas de ses responsabilités. Direction des affaires juridiques - 01/09/06 17

20

21 Fiche 4-2 : Votre traitement comporte des données présentant des risques Fiche 4-2 : particuliers d atteinte aux droits et libertés 19 D une manière générale, la finalité de ces traitements doit être clairement définie afin d apprécier précisément la légitimité du recours à ce type de données à caractère personnel. S il s agit de données sensibles Les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. Par principe, la collecte et le traitement de ces données sont interdits. Cependant, dans la mesure où la finalité du traitement l exige, ne sont pas soumis à cette interdiction : les traitements pour lesquels la personne concernée a donné son consentement exprès ; les traitements justifiés par un intérêt public après autorisation de la CNIL ou décret en Conseil d Etat 20. La collecte et le traitement de ces données doivent dans ces hypothèses, être justifiés au cas par cas au regard des objectifs recherchés. Si le traitement comprend des données génétiques, des données pénales ou comporte des appréciations sur les difficultés sociales des personnes Dans tous ces cas, votre traitement doit faire l objet d une autorisation de la CNIL Cf. Les articles 8 à 10 et 25 à 27 de la loi 20 - Cf. Fiche 2 et l article 8 de la loi pour les autres exceptions. Direction des affaires juridiques - 01/09/06 19

22 En pratique Vous devez contacter la DSI avant la mise en œuvre des traitements afin d engager la demande d autorisation auprès de la CNIL. La Commission se prononce dans un délai de 2 mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la CNIL ne s est pas prononcée dans ces délais, la demande d autorisation est réputée rejetée. Si le traitement comprend des données biométriques Une donnée biométrique est une donnée qui permet d identifier un individu à partir de ses caractéristiques physiques, biologiques ou physiologiques. Exemple L ADN, la rétine, l iris, les empreintes digitales, le contour de la main,... Les traitements de données à caractère personnel qui portent sur des données biométriques nécessaires à l authentification ou au contrôle de l identité des personnes sont soumis à l autorisation de la CNIL. Si le traitement comprend le numéro NIR ou nécessite la consultation du RNIPP Le numéro d inscription des personnes (NIR) au répertoire national d identification des personnes physiques (RNIPP), appelé encore numéro INSEE ou tout simplement numéro de sécurité sociale, est créé à partir de l état civil et est géré par l INSEE. Il permet l identification de toute personne au moyen d un numéro de 13 chiffres. Recommandation de la CNIL La CNIL recommande que l'emploi du NIR comme identifiant des personnes dans les fichiers soit justifié et en aucun cas systématique et généralisé 21 : les responsables de la conception d'applications informatiques doivent donc se doter d'identifiants diversifiés et adaptés à leurs besoins propres ; la consultation du répertoire, qu'elle donne lieu ou non à utilisation du numéro d'inscription audit répertoire, doit être subordonnée à la conclusion de conventions spécifiques avec l'insee Délibération n du 29 novembre 1983 portant adoption d'une recommandation concernant la consultation du RNIP et l'utilisation du NIR. 20 Direction des affaires juridiques - 01/09/06

23 L utilisation de ce numéro est toujours soumise à autorisation L utilisation du NIR est soumise selon le cas, à une autorisation de la CNIL ou par décret en Conseil d Etat pris après avis motivé et publié de la CNIL ou à une décision de l organe délibérant de l établissement (le conseil d administration au CNRS) prise après avis motivé et publié de la CNIL. En pratique Vous devez contacter la DSI pour mettre en œuvre ce traitement, déterminer le régime d autorisation applicable et effectuer les démarches légales correspondantes. Direction des affaires juridiques - 01/09/06 21

24

25 Fiche 5 : Votre traitement de données à caractère personnel a pour fin la Fiche 5 : recherche dans le domaine de la santé Les recherches dans le domaine de la santé peuvent constituer, ou non, des recherches biomédicales. Ces dernières sont soumises à une réglementation spécifique 22 qui n exclut pas l application de la loi Informatique et Libertés pour les traitements de données mis en œuvre à l occasion de ces recherches. Il convient donc de respecter dans ce cas les deux régimes de protection relatifs, l un aux protocoles de recherche mis en œuvre dans le domaine de la santé, l autre aux traitements de données à caractère personnel qui en découlent. Quels sont les traitements de données à caractère personnel concernés? Sont concernés tous les traitements de données à caractère personnel permettant d identifier, même indirectement, les personnes concernées, mis en œuvre notamment dans les domaines de recherche suivants : épidémiologie ; recherche biomédicale (ex : essais cliniques) ; pharmacoépidémiologie. En revanche, ne relèvent pas de ces dispositions les traitements de données : ayant pour fin le suivi thérapeutique ou médical individuel des patients ; permettant d'effectuer des études à partir des données ainsi recueillies, si ces études sont réalisées par les personnels assurant ce suivi et sont destinées à leur usage exclusif. Exemple Les recherches réalisées dans le cadre d'un service hospitalier ou d'une structure de soins qui ne nécessitent pas de transmission d'informations à caractère personnel à l'extérieur de cette structure Articles L et suivants du code de la santé publique (loi Huriet-Sérusclat). Direction des affaires juridiques - 01/09/06 23

26 Quels sont les droits des personnes? Le droit à l information 23 Par principe, les personnes doivent être, avant la mise en œuvre du traitement de données à caractère personnel, individuellement informées : de la nature des informations transmises ; de la finalité du traitement de données ; des destinataires des données ; du droit d'accès et de rectification ; du droit d'opposition et, le cas échéant, de l obligation de recueillir leur consentement. Attention Ce droit à l information ne doit pas être confondu avec le droit à l information des personnes qui participent à une recherche biomédicale 24. Le recueil du consentement éclairé et exprès 25 Lorsque la recherche nécessite des prélèvements biologiques identifiants, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données. Attention Ce consentement ne doit pas être confondu avec le consentement libre et éclairé requis préalablement à la réalisation d une recherche biomédicale sur une personne 26. En pratique Lorsqu un traitement de données à caractère personnel est lié à une recherche biomédicale, le recueil des différents consentements et la mise en œuvre de ces droits à l information peuvent s effectuer en une seule fois sur un formulaire unique. La méthodologie de référence (MR-001) comprend des modèles de rédaction qui peuvent être insérés dans la note d information et de recueil de consentement Article 57 de la loi Article L du code de la santé publique Article 56 de la loi Article L du code de la santé publique Décision CNIL du 5 janvier 2006, publiée au J.O du 19 février Direction des affaires juridiques - 01/09/06

27 Le droit d opposition 28 Toute personne a le droit de s'opposer à ce que des données à caractère personnel la concernant fassent l'objet d une levée du secret professionnel rendue nécessaire par un traitement de données ayant pour fin la recherche dans le domaine de la santé. Le droit d accès et de rectification Ils s exercent dans les mêmes conditions que pour les autres traitements 29. Quelles procédures? Si le traitement est conforme à une méthodologie de référence établie par la CNIL : Un engagement de conformité doit être adressé à la DSI qui le transmet ensuite à la CNIL. En pratique Une méthodologie de référence pour les traitements de données personnelles opérés dans le cadre des recherches biomédicales (méthodologie de référence MR-001) a été établie par la CNIL. Elle est disponible sur les sites de la DSI : et de la CNIL : ainsi que le formulaire d engagement de conformité. Le Département Vivant est votre interlocuteur privilégié. Il valide le formulaire d engagement de conformité à cette méthodologie et la DSI le transmet à la CNIL. Si le traitement n est pas conforme à une méthodologie de référence, il doit être soumis à l avis du Comité consultatif sur le traitement de l information en matière de recherche dans le domaine de la santé (CCTIR) et à l autorisation de la CNIL Article 56 de la loi Cf. Fiche 3 et les articles 39 et 40 de la loi. Direction des affaires juridiques - 01/09/06 25

28 1 er étape - L avis du CCTIR Ce CCTIR, institué auprès du ministre chargé de la recherche, est composé de personnes compétentes en matière de recherche dans le domaine de la santé, de l épidémiologie, de la génétique et de la biostatistique. Le CCTIR doit se prononcer sur la méthodologie de la recherche au regard des principes de la loi Informatique et Libertés, la nécessité du recours à des données à caractère personnel et la pertinence de celles-ci par rapport à l'objectif de la recherche. En pratique Le département Vivant est votre interlocuteur privilégié pour préparer le dossier à soumettre au CCTIR. Le formulaire de la demande d avis est validé par le département Vivant et transmis par la DSI au président du CCTIR. Le CCTIR dispose d un délai d un mois pour transmettre son avis au CNRS. A défaut, l avis du CCTIR est réputé favorable. Le formulaire de demande d avis est disponible sur les sites internet du : Département Vivant : CCTIR : 2 e étape - L autorisation de la CNIL Après réception de l avis du CCTIR, la demande d autorisation est adressée par la DSI à la CNIL. En pratique La CNIL se prononce dans un délai de 2 mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la CNIL ne s est pas prononcée dans ces délais, la demande d autorisation est réputée rejetée. Le formulaire de demande d autorisation prérempli est disponible sur le site de la DSI : 26 Direction des affaires juridiques - 01/09/06

29 Fiche 6 : Le sort des traitements mis en œuvre avant la publication de Fiche 6 : la nouvelle loi Informatique et Libertés Si le traitement n a pas fait l objet de déclaration ou autorisation avant le 7 août 2004, il convient de le déclarer auprès de la CNIL selon les nouvelles procédures 30. Si le traitement a été déclaré ou autorisé régulièrement avant le 7 août 2004, il doit être mis en conformité avec les nouvelles dispositions de la loi avant le 7 août Si cette mise en conformité ne modifie pas les caractéristiques du traitement, aucune formalité n est à réaliser auprès de la CNIL. En revanche, si les caractéristiques du traitement sont modifiées, il doit être déclaré à la CNIL selon les nouvelles procédures 31. Une liste des traitements déclarés par le CNRS auprès de la CNIL est accessible sur le site de la DSI : Chaque entité du CNRS peut ainsi vérifier le référencement des déclarations qui la concerne et signaler à la DSI (dsicnil@dsi.cnrs.fr) les traitements à référencer, supprimer ou ayant subi des modifications substantielles depuis la première déclaration cf. Fiches 4, 4-1, cf. Fiches 4, 4-1, 4-2. Direction des affaires juridiques - 01/09/06 27

30

31 Fiche 7 : La CNIL et ses pouvoirs La CNIL est une autorité administrative indépendante créée par la loi du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés : elle ne reçoit d instruction d aucune autorité, les ministres et les autorités publiques ne peuvent s opposer à son action. La CNIL est chargée de veiller au respect de la loi Informatique et Libertés, via quatre missions principales. Informer La CNIL informe les personnes de leurs droits et obligations et propose au gouvernement les mesures pour adapter la protection des libertés et de la vie privée à l évolution des techniques. Garantir le droit d accès La CNIL veille à ce que les modalités de mise en œuvre du droit d accès n entravent pas son libre exercice. Contrôler et sanctionner La CNIL veille à ce que les traitements soient mis en œuvre conformément aux dispositions de la loi. Elle use de ses pouvoirs de vérification et d investigation pour instruire les plaintes et surveille la sécurité des systèmes d information. Elle autorise ou donne un avis sur les traitements de données sensibles à caractère personnel et reçoit les déclarations des autres traitements. La CNIL tient à la disposition du public la liste des traitements déclarés et leurs principales caractéristiques. La CNIL peut prononcer diverses sanctions (avertissement, mise en demeure, sanction pécuniaire, injonction de cesser le traitement,...). Elle peut demander aux juridictions compétentes d ordonner toute mesure de sécurité nécessaire et dénoncer les violations de la loi. Réglementer Afin d alléger les déclarations, la CNIL peut établir des normes simplifiées pour les traitements les plus courants et les moins dangereux pour les droits et libertés des personnes. Elle peut également décider de dispenser de toute déclaration préalable les traitements ne présentant pas de risque d atteinte aux droits et libertés. Direction des affaires juridiques - 01/09/06 29

32

33 Fiche 8 : Les sanctions Base légale Infractions à la loi de 1978 modifiée Peines encourues (maximum) Amendes Emprisonnement Art. 51 de L entrave aux actions de la CNIL an la loi de 1978 Art La mise en œuvre d un traitement de du code pénal données à caractère personnel sans avoir accompli de déclaration. Art La mise en œuvre d un traitement de du code pénal données à caractère personnel sans avoir pris les mesures utiles pour préserver la sécurité des données. Art La collecte de données à caractère perdu code pénal sonnel par un moyen frauduleux, déloyal ou illicite. Art La mise en œuvre d un traitement de dondu code pénal nées à caractère personnel concernant ans une personne physique malgré l'opposition de celle-ci. Art Le fait de procéder à un traitement ayant du code pénal pour fin la recherche dans le domaine de la santé sans respecter les obligations légales. Art La conservation ou le traitement des dondu code pénal nées à caractère personnel au-delà de la durée autorisée. Art Le fait de détourner des informations du code pénal de leur finalité déclarée. Art La communication d informations à du code pénal caractère personnel à des personnes non autorisées. Direction des affaires juridiques - 01/09/06 31

34

35 Adresses / Liens utiles Direction des Systèmes d Information du CNRS Centre National de la Recherche Scientifique Bureau des affaires générales et de l'administration Mademoiselle Florence CELEN Rue Pierre-Gilles de Gennes, BP Labège Cedex Téléphone : Fax : Courriel : dsicnil@dsi.cnrs.fr Site internet : Commission Nationale de l Informatique et des Libertés 21, rue Saint-Guillaume Paris Cedex 07 Téléphone : Site internet : Département Vivant Centre National de la Recherche Scientifique Madame Martine LOIZEAU 3, rue Michel-Ange Paris Cedex 16 Téléphone : Courriel : ethique.sdv@cnrs-dir.fr Site internet : Comité consultatif sur le traitement de l information en matière de recherche dans le domaine de la santé Ministère délégué à la recherche Direction de la recherche 1, rue Descartes Paris cedex 5 Téléphone : Courriel : secretariat.cctir@recherche.gouv.fr Site internet : Direction des Affaires Juridiques du CNRS Centre National de la Recherche Scientifique 3 rue Michel-Ange Paris Cedex 16 Téléphone : Courriel : secretariat.daj@cnrs-dir.fr Site internet : Direction des affaires juridiques - 01/09/06 33

36 Lexique Acte autorisant le traitement Il peut s agir d une autorisation de la CNIL ou d un acte réglementaire pris après avis motivé et publié de la CNIL (décret en Conseil d Etat, arrêté ministériel, délibération du conseil d administration du CNRS). Anonymisation L anonymisation permet de rendre anonyme de manière irréversible, des données à caractère personnel selon différents procédés (ex : recours à un procédé irréversible de transcodage ou de hachage des identités). Des données constituent des données à caractère personnel si elles permettent d identifier, indirectement ou par recoupement d informations, une personne précise (ex : date et lieu de naissance, adresse et profession des parents, rapprochement entre un traitement de données à caractère personnel et un numéro d identification). Destinataire d un traitement Personne habilitée à recevoir communication des données à caractère personnel. Données biométriques Les données biométriques permettent d identifier un individu à partir de ses caractéristiques physiques, biologiques ou physiologiques (ex : l ADN, la rétine, l iris, les empreintes digitales...). Données à caractère personnel Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Données pénales Les données pénales concernent les infractions, condamnations et mesures de sûreté. 34 Direction des affaires juridiques - 01/09/06

37 Droit à l information Droit pour toute personne de savoir si elle fait l objet d un traitement ou non et d obtenir du responsable du traitement des informations sur celui-ci. Droit d accès Droit pour toute personne d obtenir sous une forme accessible, la communication des données la concernant enregistrées dans le traitement et en obtenir une copie. Droit d opposition Droit pour toute personne de pouvoir s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Droit de rectification Toute personne peut exiger du responsable d'un traitement que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données la concernant qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite. Fichier de données à caractère personnel Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. Interconnexion de fichiers Une interconnexion de fichiers consiste à mettre en relation des fichiers relevant d une ou plusieurs personnes et dont les finalités peuvent être identiques, différentes ou complémentaires. L interconnexion consiste notamment à alimenter un fichier par un autre fichier, à une fusion de fichiers, à mettre en relation plusieurs fichiers normalement gérés séparément ou à alimenter une base de données à partir de plusieurs fichiers. NIR / N INSEE / N de sécurité sociale Le numéro d inscription des personnes au répertoire national d identification des personnes physiques (RNIPP) appelé encore numéro INSEE, ou tout simplement numéro de sécurité sociale est créé à partir de l état civil et est géré par l INSEE. Il permet l identification de toute personne au moyen d un numéro de 13 chiffres. L utilisation de ce numéro est toujours soumise à autorisation. Le NIR est composé de 13 chiffres : le sexe (1 chiffre), l année de naissance (2 chiffres), le mois de naissance (2 chiffres) et le lieu de naissance (5 chiffres ou caractè- Direction des affaires juridiques - 01/09/06 35

38 res) de la personne concernée. Les 3 chiffres suivants correspondent à un numéro d ordre qui permet de distinguer les personnes qui auraient 10 premiers chiffres identiques. Organisme déclarant Personne morale pour le compte de laquelle sont établies les déclarations de traitements/fichiers de données à caractère personnel (ex : le CNRS). Personne concernée La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement. Répertoire national d identification des personnes physiques (RNIPP) Le RNIPP est un instrument d identification des personnes physiques. Sa consultation permet de préciser si une personne est en vie ou décédée et de connaître son numéro d inscription au répertoire (NIR). Le RNIPP est notamment utilisé par les organismes de sécurité sociale, l administration fiscale, la Banque de France, l INSEE. Le RNIPP comprend pour chaque personne les données suivantes : nom et prénoms, date et lieu de naissance (département ou commune ou pays), sexe, date et lieu de décès, numéro de l acte de naissance et de l acte de décès, numéro d inscription au répertoire (NIR), mentions de notification concernant les organismes qui ont demandé l identification de personnes physiques afin de les informer d éventuelles modifications d état civil. Responsable du traitement Sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine les finalités et les moyens d un traitement ou qui est chargé de la mise en œuvre du traitement (ex : le directeur d un laboratoire). Traitement de données à caractère personnel Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. 36 Direction des affaires juridiques - 01/09/06

39 Textes fondamentaux Textes internationaux et européens Convention du Conseil de l Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Textes législatifs Loi n du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés. Textes réglementaires Décret n du 20 octobre 2005 pris pour l'application de la loi n du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés. Maquette et mise en page : Bernard Dupuis (Service de l imprimé du Siège)

40 INFORMATIQUES ET LIBERTÉS DAJ Crédits : CNRS. Y. Chraibi. Guide à l usage des chercheurs CENTRE NATIONAL DE LA RECHERCHE SCIENTIFIQUE