L info. Les notions essentielles de la Loi Informatique et Libertés 5. Éditorial 2. Agenda 3. Sous le regard attentif de la CNIL 6

Transcription

1 L info La lettre d information du Correspondant Informatique et Libertés Éditorial 2 Les notions essentielles de la Loi Informatique et Libertés 5 Agenda 3 Sous le regard attentif de la CNIL 6 Les activités de la CNIL en Revue de presse 7 d e s c o m p é t e n c e s a u s e r v i c e d e l e m p l o y e u r t e r r i t o r i a l Louis CORRE Correspondant Informatique et Libertés - CDG60

2 2 é d i t o r i a l YANNICK LECLERE Directeur Général Centre de Gestion de l Oise de la Fonction Publique Territoriale éditorial Après un aparté de quelques mois, l Info CIL est de retour pour vous communiquer l essentiel de l actualité de la CNIL et vous présenter les différents services du Cdg60 pour l employeur public. Aujourd hui, le correspondant Informatique et Libertés du Centre de Gestion de l Oise collabore avec 8 collectivités du département. 8 établissements publics qui jouissent de l expertise de Louis CORRE en la matière. Outre notre correspondant, et toujours pour vous aider, la CNIL a également mis à votre disposition depuis mars 2013, un guide destiné à accompagner les collectivités dans la mise en ligne de leurs archives. Cette année, la question de l open data pose le problème du respect de la vie privée des individus. En effet, l open data étant un mouvement visant à généraliser la mise à disposition aux internautes des informations détenues par le secteur public, la CNIL a lancé une consultation des acteurs publics et privés concernés afin d avoir une meilleure perception de ce mouvement et de son développement à moyen terme. Je vous rappelle que le Système d Archivage Électronique du Centre de Gestion de l Oise est aujourd hui opérationnel. Notre équipe se tient à votre disposition pour tous renseignements. Le terme innovation fait parti de notre langage, et très bientôt, vous pourrez retrouver la nouvelle newsletter de votre correspondant CIL directement dans votre boite aux lettres électronique.le portail e- services ne sera pas en reste, une nouvelle évolution est prévue début 2014, mais j aurai très bientôt l occasion de vous en reparler. Louis CORRE Correspondant Informatique et Libertés mutualisé Centre de Gestion de l Oise cil@cdg60.com info cil numéro 1 - NOVEMBRE 2012 Le Correspondant Informatique et Libertés (CIL) est avant tout l intermédiaire entre la CNIL et l organisme qui le désigne. Il a pour mission principale l interprétation et l application des normes produites par la CNIL. De formation juridique et ayant récemment intégré la Direction des Territoires Numériques au sein du Centre de Gestion de la Fonction Publique de l Oise, Louis CORRE, sensible à la protection des données personnelles, a été désigné Correcpondant Informatique et Libertés du Cdg60. La CNIL préconise aux organismes traitant des données à caractère personnel de procéder à la désignation d un CIL. Cet accompagnement permet aux collectivités de se conformer à la loi Informatique et Libertés. Le Centre de Gestion de l Oise, en partenariat avec l ADICO (Association pour le Développement Informatique des Collectivités de l Oise) met à votre disposition un CIL mutualisé afin de répondre à ce besoin. Excellente lecture

3 a g e n d a 3 agenda 14 novembre 2013 Concertation départementale de l emploi public territorial à Breuil Le Vert Mi décembre 2013 CIL News - La Newsletter d information Informatique et Libertés du Cdg60 - n 1 Février 2013 Info CIL n 3

4 4 L E S A C T I V I T É S D E L A C N I L E N 2012 LES ACTIVITÉS DE LA CNIL EN 2012 Publié cette année, le 33ème rapport d activité annuel de la CNIL rend compte de ses nombreuses missions. Retraçons ensemble les actions mises en place par la CNIL en L éducation numérique a été une priorité pour la CNIL dans son rôle d information, elle a notamment accompagné la mise en conformité de la vidéosurveillance et la vidéoprotection en énumérant les bonnes pratiques afin d avoir un système le plus respectueux de la vie privée. Cette année encore la CNIL a produit un ensemble normatif destiné à réglementer certains domaines propres aux données personnelles. En particulier, elle a modifié l autorisation unique n 7 qui dorénavant n autorise plus l utilisation biométrique par En 2012, la CNIL c est : 2078 décisions et délibérations adoptées, 316 autorisations dont 3 AU, 113 avis, 3 dispenses, 2 recommandations sur la communication politique et les compteurs communicants, la reconnaissance du contour de la main aux fins de gestion des horaires. Elle a également actualisé ses recommandations en matière de communication politique qui encadraient les élections présidentielles et législatives qui ont eu lieu au printemps Une nouvelle mission a été confiée à la CNIL : elle doit apprécier le niveau de sécurité des systèmes des fournisseurs de services de communication électronique, mais surtout les accompagner dans la mise en œuvre de mesures de protection efficaces contre toute violation de données. Elle peut, enfin, en fonction de la gravité de la violation, imposer aux fournisseurs l information des personnes concernées. Cette nouvelle compétence s inscrit dans une démarche de protection des citoyens car l on constate que l année 2012 fût une année record en nombre de plaintes et qu il y a eu une forte progression de demandes de droit d accès indirect. Face aux évolutions de la technologie, la CNIL ne peut pas se permettre de réagir, mais elle doit anticiper et accompagner les innovations. C est pour cela qu elle a lancé son programme d étude qui a pour axes de travail, notamment, la notion des usages des photos et de la reconnaissance faciale, ainsi qu une étude sur la prospective de la biométrie dans la vie quotidienne à l horizon Elle pose aussi ses sujets de réflexion pour l année 2013, à savoir : big data, tous calculés? Vers un droit à l oubli numérique. La biométrie : une doctrine pragmatique et évolutive. Enfin, le G29, c est-à-dire le groupe des 27 «CNIL» européennes, nommé ainsi en référence à l article 29 de la directive de 1995 qui l a institué a poursuivit ses activités, notamment, lors de l audit des règles de confidentialité GOOGLE : une première dans la coopération des autorités européennes. LA CNIL PRÉSENTE AU NIVEAU EUROPÉEN L Union européenne a adopté le 24 octobre 1995 une directive destinée à harmoniser au sein des États membres la protection assurée à toute personne quelque soit le lieu où sont opérés les traitements de ses données à caractère personnel. A ce jour, les 28 États membres ainsi que les pays de l Espace Économique Européen (Islande, Liechtenstein, Norvège), disposent d une loi «informatique et libertés» et d une autorité de contrôle indépendante. Ces autorités indépendantes se réunissent régulièrement à Bruxelles pour conseiller la Commission européenne sur ses initiatives législatives et pour harmoniser leurs pratiques ou recommandations destinées aux concepteurs et aux utilisateurs des technologies de l information. Ces CNIL européennes réunies au sein du groupe de l article 29, par référence à l article de la directive qui l institue, se prononcent par des avis qui sont rendus publics.

5 L E S N O T I O N S E S S E N T I E L L E S D E L A LO I I N F O R M AT I Q U E E T L I B E R T É S 5 LES NOTIONS ESSENTIELLES DE LA LOI INFORMATIQUE ET LIBERTÉS Qu est-ce qu une «donnée à caractère personnel»? La définition est donnée par l article 2 de la Loi Informatique et Libertés. Pour résumé, une «donnée à caractère personnel» est toute information permettant d identifier une personne physique, quelque soit le moyen utilisé. Cela concerne donc aussi bien les informations directement nominatives (ex : nom et prénom), que les informations qui permettent d identifier, indirectement, une personne physique (ex : empreinte digitale, numéro de téléphone). Il s agit aussi de toutes les données qui sont rattachées à une personne (ex : le nombre de repas de cantines facturés aux parents d un enfant). Qu est-ce qu un «traitement de données»? La notion de «traitement de données» est aussi définit par l article 2 de la Loi Informatique et Libertés. C est une notion très large qui comprend toute opération portant sur ces données, quel que soit le procédé technique utilisé, notamment la collecte, l enregistrement, la conservation, la modification, l extraction, la consultation, la communication, le transfert, l interconnexion, le verrouillage, l effacement ou la destruction. Cela recouvre aussi bien la constitution d une base de données que l utilisation d un autocommutateur téléphonique, un site internet, un système de vidéosurveillance, un système d accès par badge. La loi vise les traitements «informatiques» mais également les traitements «non automatisés». Elle s applique donc aux «fichiers manuels», qui sont des ensembles de fiches, listes ou dossiers, structurés par un système de classement ou d indexation permettant d accéder facilement aux données (ex : les dossiers papier du personnel) Qui est le responsable de traitement? C est la personne qui détermine la finalité et les moyens du traitement mis en œuvre (Cf. Article 3 de la Loi Informatique et Libertés). Concrètement, il s agira du maire pour une commune ou du président de l EPCI concerné. Il convient de distinguer le responsable de traitement du prestataire de services (ou «sous-traitant»). En effet, ce dernier intervient pour le compte du responsable du traitement selon les objectifs qui lui ont été assignés, définis dans le contrat de prestation de service (ex : les éditeurs de logiciels et les bureaux d études auxquels les collectivités locales font appel sont des prestataires de services). Quelles sont les informations dont l enregistrement dans un fichier est interdit? L article 8 de la Loi Informatique et Libertés dispose que «il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celle-ci.» Ce sont des données dites «sensibles». Par exception, on peut enregistrer de telles données dans un fichier à condition : ET Qu elles soient pertinentes par rapport à la finalité du traitement (ex : l appartenance syndicale des agents de la mairie, qui ont le droit à des délégations d heures, peut être enregistrée dans le fichier de gestion du personnel) ; Si la personne concernée a donné son accord écrit préalablement à l enregistrement de cette information, ou si la CNIL a autorisé le traitement de cette donnée. La durée de conservation des données personnelles doit-elle être limitée? OUI. Les données personnelles ne peuvent être conservées dans un fichier que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées. Ces informations ne peuvent donc pas être conservées de manière illimitée! La durée de conservation doit être définie à l avance et, dans tous les cas, adaptée à la finalité du traitement. Il est important de différencier la durée de conservation et la notion d archivage des données sur un support distinct, dans le respect des dispositions du Code du patrimoine et des règles fixées par les services des archives. Quelles sont les 5 règles d or de la protection des données? La finalité du traitement : les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. La pertinence des données : elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et leurs traitements ultérieurs. De plus, elles doivent être exactes, complètes et mises à jour. Une conservation limitée des données : les données ne peuvent être conservées que pendant une durée limitée, définie en amont et déterminée en fonction de la finalité de chaque traitement. Une obligation de sécurité et de confidentialité : l article 34 de la Loi Informatique et Libertés pose le principe que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Le respect des droits des personnes : > Droit à l information Principe général de loyauté dans la collecte des données > Droit d opposition Toute personne a le droit de s opposer, pour des motifs légitimes, au traitement de ses données, sauf si le traitement répond à une obligation légale. > Droit d accès et de rectification Toute personne peut, directement auprès du responsable des traitements, avoir accès à l ensemble des informations la concernant, en obtenir la copie et exiger qu elles soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées.

6 6 S O U S L E R E G A R D AT T E N T I F D E L A C N I L SOUS LE REGARD ATTENTIF DE LA CNIL Avec 173 contrôles et plus de 300 plaintes en 2012, la CNIL souhaite accompagner les professionnels et les particuliers dans une démarche de conformité. En effet, avec les caméras installées en France, tous les acteurs de la société se trouvent concernés par ces dispositifs. Il s agit tout d abord de distinguer la nuance entre la vidéosurveillance et la vidéoprotection. La vidéosurveillance est un dispositif de caméras permettant de visionner des images dans un lieu non ouvert au public, en revanche la vidéoprotection est un dispositif de caméras permettant de visionner des images sur la voie publique ou dans un lieu ouvert au public en conformité avec les dispositions du code de la sécurité intérieure. Quelles sont les démarches à suivre pour la mise en œuvre de ces dispositifs? L installation de ces outils est soumise au respect de plusieurs dispositions légales, selon qu elles sont mises en place dans un lieu ouvert ou non au public. Un dispositif de vidéoprotection installé sur la voie publique et/ou dans un lieu ouvert au public est soumis aux dispositions du code de la sécurité intérieure. Depuis la loi du 14 Mars 2011, dite LOPPSI 2, on ne parle en effet plus, dans ce cas, de vidéosurveillance, mais de vidéoprotection. Ce dispositif doit obtenir une autorisation préfectorale (art. 10 de la loi n du 21 Janvier 1995 modifiée), après avis d une commission départementale présidée par un magistrat. Si les images sont «enregistrées ou conservées dans des traitements informatisés ou des fichiers structurés qui permettent d identifier des personnes physiques», alors le dispositif doit faire l objet d une formalité déclarative auprès de la CNIL. Un dispositif de vidéosurveillance installé dans un lieu non ouvert au public est quant à lui soumis aux dispositions de la loi du 6 Janvier 1978 modifiée, dite «Informatique et Libertés». À ce titre, il doit faire l objet d une déclaration normale auprès de la CNIL et doit alors préciser : la durée de conservation des images (un mois maximum) ; les destinataires des images (limités aux seules personnes habilitées en fonction de leur besoin d en connaitre) ; les modalités d information des personnes filmées ou susceptibles de l être (affiches apposées de façon permanente à l entrée des locaux), ainsi que les modalités d exercice du droit d accès ouvert aux personnes concernées. Les contrôles des dispositifs dits «de vidéoprotection» par la CNIL : une nouvelle compétence. Jusqu alors la CNIL contrôlait les dispositifs de vidéosurveillance. La Loi d Orientation et de Programmation pour la Performance et la Sécurité Intérieure du 14 Mars 2011 (LOPPSI 2) a modifié l article 10 de la loi du 21 Janvier 1995 d orientation et de programmation relative à la sécurité, afin de permettre à la CNIL de pouvoir contrôler les dispositifs dit «de vidéoprotection». La compétence est donc désormais expressément reconnue pour le contrôle des dispositifs de vidéoprotection soumis au code de la sécurité intérieure que pour les dispositifs de vidéosurveillance soumis à la loi Informatique et Libertés. Extrait de la loi LOPPSI 2 La commission nationale de l informatique et des libertés peut, sur demande de la commission départementale prévue au premier alinéa du présent III, du responsable d un système ou de sa propre initiative, excercer un contrôle visant à s assurer que le système est utilisé conformément à [l autorisation préfectorale le concernant] et, selon le régime juridique dont le système relève, aux dispositions de la présente loi ou à celles de la loi n du 6 janvier 1978 précitée. La CNIL peut procéder, à son initiative, à des contrôles ou à la demande de la commission départementale de vidéoprotection. Le responsable d un dispositif de vidéoprotection peut aussi demander à la CNIL de vérifier la légalité des caméras qu il a installées. Le contrôle mené par la CNIL consiste en une visite sur place. Afin d accompagner les maires, la CNIL et l AMF (Association des Maires de France) ont travaillé conjointement à l élaboration d un guide des bonnes pratiques leur permettant d installer un système de vidéoprotection tout en respectant les libertés individuelles. 10 conseils sont disponibles sur les sites internet de l AMF et de la CNIL. + d infos : Vidéo Protection des lieux publics

7 r e v u e d e p r e s s e 7 revue de presse Les mineurs californiens auront bientôt droit à l oubli numérique telerama.fr - 26 septembre 2013 L «Eraser Law» («loi gomme»), a été promulguée ce lundi 23 septembre 2013 par le gouverneur (démocrate) de Californie, Jerry Brown. Le texte, qui doit entrer en application au début de l année 2015, pourra sauver la «e-réputation» d adolescents pas tout à fait conscients des répercutions de leurs actes et paroles sur Internet. Cette loi leur permettra ainsi de faire disparaître de leurs pages personnelles sur les réseaux sociaux les photos ou commentaires embarrassants téléchargés sur un coup de tête ou après une soirée trop arrosée, comme l indique l AFP. Pour James Steyer, le fondateur de l ONG Common Sense Media, favorable à la loi, «les erreurs de jeunesse suivent leurs auteurs toute leur vie et leurs empreintes numériques les suivent où qu ils aillent», a-t-il écrit dans les colonnes du San Francisco Chronicle. «C est une protection révolutionnaire pour nos enfants, qui agissent souvent de façon impétueuse en téléchargeant des photos ou des messages déplacés avant de penser aux conséquences», a déclaré de son côté le parlementaire démocrate Darrell Steinberg, auteur de la loi. Mais cette loi ne fait pas l unanimité : certains y voient le risque de dérive de récolte d encore plus d informations personnelles par les sites Internet. Les critiques pointent aussi les difficultés que pourront rencontrer les sites pour appliquer la loi en fonction des différents Etats. Données personnelles : la Parlement Européen veut de lourdes sanctions Clubic.com - 22 octobre 2013 Lundi soir, le Parlement européen, par le biais de la Commission des libertés civiles, justice et affaires intérieures, a voté le projet de règlement sur les données personnelles. Les enjeux sont d importance : moderniser la législation européenne en la matière, qui ne repose pour le moment que sur la directive de 1995, qui n a été que légèrement modifiée depuis. Mais surtout, ce vote intervenait en plein scandale PRISM, le jour même des révélations du Monde concernant l espionnage massif de la France par la NSA. Le texte a été adopté par la Commission à la quasi-unanimité (49 voix pour, une voix contre). Avec près de trois ans de travail pour amendements déposés, sans compter les nombreux désaccords qui ont émaillé le parcours législatif du projet de règlement, le Parlement s est donc doté d un mandat pour négocier le texte avec les gouvernements de l Union européenne. Il doit également être adopté en séance plénière. Le projet soumis au vote des élus communautaires vise à mieux protéger les citoyens européens en matière de données personnelles. Pour atteindre son objectif, il dresse donc une série de dispositions et de sanctions: - Droit de regard sur le transfert de données hors de l UE Le Parlement européen inclut des dispositions obligeant une entreprise visée par une demande d un pays tiers de lui transférer des données à demander l autorisation à la CNIL du pays où elle est implantée. Elle devra également informer la personne visée par les requêtes. En prenant pour exemple dans son communiqué «un moteur de recherche, un réseau social ou un fournisseur de cloud», l entité communautaire semble vouloir démontrer que cette disposition vise aussi, et sans doute avant tout, les géants américains, et les requêtes des États-Unis. - Sanctions exemplaires Si les firmes n obtempèrent pas, alors elles seront, en l état du texte, exposées à des sanctions exemplaires : 100 milions d euros voire 5% du chiffre d affaires annuel mondial si ce dernier critère accroît la sanction. La Commission européenne a de son côté proposé des peines allant jusqu à un million d euros ou 2% du chiffre d affaires annuel dans le monde entier. - Droit à l effacement plus qu à l oubli Le projet de règlement consacre également le droit à l effacement, ou la faculté d obtenir la suppression des données laissées sur Internet si une demande en ce sens est formulée. Afin de renforcer ce droit, si une personne demande un contrôleur des données (par exemple une société Internet ) pour effacer ses données, l entreprise doit également transmettre la demande aux autres, où les données sont répliquées. Plus que d un droit à l oubli, il s agit donc bien d un droit à l effacement. - Réserves sur le consentement explicite Le consentement explicite vise à renforcer le contrôle des internautes sur leurs données. Car en consacrant le concept, il s agit de permettre à l internaute de se rétracter aussi aisément qu il a donné son consentement. Pour toute exécution d un contrat ou prestation de service nécessitant le traitement de données personnelles, l entreprise ou l organisme devra obtenir l accord de l internaute, sur la seule base du traitement des données strictement nécessaire à son service ou son activité. Sur ce point, la Quadrature du Net craint que le principe du consentement explicite ne soit largement altéré par celui de «l intérêt légitime à collecter des données», également consacré dans le texte. - Limiter le profilage «Les députés fixent des limites au profilage, une pratique utilisée pour analyser ou prédire la performance d une personne au travail, sa situation économique, son emplacement, sa santé ou son comportement». Le Parlement européen entend soumettre cette pratique au consentement de la personne visée. Celle-ci devra également pouvoir s y opposer. Là encore, la Quadrature du Net pointe du doigt le manque de protection des données pseudonymisées. En effet, le projet de règlement entend présumer le traitement de ces données comme n affectant pas les libertés individuelles de l individu. Mais pour la Quadrature des données pseudonymisées peuvent toujours être facilement rattachées à la personne concernée à l occasion d un autre traitement. Françoise Castex, l eurodéputée socialiste regrette elle aussi le manque d avancées sur ce point. «Nous aurions pu souhaiter un encadrement plus strict sur l encadrement des données pseudonymes mais ce résultat est dans l ensemble un bon résultat qui était encore impensable il y a quelques mois», fait-elle savoir. Reste désormais à trouver un accord auprès de la Commission européenne et du Conseil européen.

8