Le CNAM est le premier organisme public à disposer du label CNIL FORMATION (avril 2013)

Transcription

1

2 Le CNAM est le premier organisme public à disposer du label CNIL FORMATION (avril 2013) Le CNAM ouvre un certificat de spécialisation correspondant «informatique et libertés» en septembre 2013 En savoir plus sur : Le blog informatique et libertés du CNAM de Paris :

3 Réglementation applicable Directive 95/46/CE du 24 octobre 1995 Directive 2002/58/CE du 12 juillet 2002 Loi «informatique et libertés» du 6 janvier 1978 modifiée le 6 août 2004 La Commission Nationale de l Informatique et des Libertés (CNIL) Mai 2013 : publication du nouveau rapport annuel de la CNIL

4 Risque d image Risque pénal Risque de contentieux civil ou prud homal Risque de sanction administrative prononcée par la CNIL

5 Obligation déclarative auprès de la CNIL (ou du CIL) Obligations de fond Loyauté de la collecte Proportionnalité de la finalité et des catégories de données Durée de conservation limitée Sécurité et confidentialité des données Encadrement des transferts de données en dehors de l Union européenne Respect des droits des personnes (droit à l information, droit d accès, droit d opposition et de suppression) Vigilance renforcée concernant certains traitements ou données (données sensibles, fichiers d infraction et numéro de sécurité sociale)

6 Implique la mise en œuvre d une série de mesures de nature juridique, technique ou organisationnelle Afin d assurer, sur le plan opérationnel, la conformité des traitements à la loi «informatique et libertés»

7 CONFORMITE Relais opérationnels Aspect déclaratif Politique de sécurité et de confidentialité Audit Gestion des droits des personnes Formation Procédures liées à la mise en œuvre des traitements (RH, marketing, fraude, etc.).

8 Projet de règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données /0011 (COD) Proposition de directive européenne relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données (2012/0010 (COD)

9 2010 : consultations publiques lancées par la Commission européenne auprès des professionnels 04/11/2010 : communication de la Commission européenne intitulée «Une approche globale de la protection des données à caractère personnel dans l'union européenne» 25/01/2012 : publication du projet de règlement et du projet de directive 2012 / 2013 / 2014 : processus d'adoption des textes au niveau européen Puis délai de transition de 2 ans pour la mise en œuvre au niveau national Retro planning général : 2015/2016

10 Le nouvel acteur en charge de la conformité «informatique et libertés» Un nouveau métier innovant désormais inscrit au Répertoire Opérationnel des Métiers et des Emplois (ROME) ainsi que dans le référentiel des métiers du Centre National de la Fonction Publique Territoriale (CNFPT) organismes ont déjà désigné un CIL en France Un dispositif actuellement facultatif mais probablement obligatoire à moyen terme dans le cadre de la réforme européenne Le CIL = l acteur essentiel du projet de réforme européen (gestion de «l accountability»)

11 Absence d expertise interne sur des sujets de plus en plus complexes et mouvants Difficultés de recensement des traitements Absence de sensibilisation des responsables opérationnels et/ou de la DSI Absence de procédures formalisées Relais opérationnels, identification et déclaration des traitements, gestion RH, gestion des réclamations, etc. Absence d information des personnes concernées (voire de recueil du consentement dans certains cas) Absence de politique relative aux durées de conservation / archivage Absence de PSSI / charte NTIC

12 Police municipale / prévention de la délinquance Applications télébillettiques Vidéosurveillance Téléservices Agrégation d'information / communication d'informations à des tiers Open Data Communication politique / fichiers de population Dispositifs de contrôle individuel d'activité RH (contrôle des horaires, etc.) Etc.

13 Modalités de désignation Le CIL n est pas un salarié protégé mais doit bénéficier d un positionnement «indépendant» dans l organigramme CIL interne ou CIL externe? Niveau de responsabilité du CIL Fin d exercice de la mission du CIL

14 Recenser les traitements mis en œuvre Mettre en œuvre des actions internes de mise en conformité à la réglementation «informatique et libertés» Etre l interlocuteur privilégié des personnes fichées et de la CNIL Rédiger un bilan annuel d activités

15 Avantages Exemption pour certaines déclarations (sauf pour les traitements impliquant des transferts vers des pays situés hors UE ou pour les traitements soumis à autorisation ou demande d avis de la CNIL) Disposer d un expert formé à la réglementation «informatique et libertés» Disposer d une vision transversale des traitements de données personnelles Contraintes Nécessité d y affecter des moyens (budget et temps) Procédure administrative contraignante quant à sa désignation et à sa révocation (information de la CNIL et des IRP) Importance de disposer d un fort sponsoring de la direction générale Disposer d un lien privilégié avec la CNIL Anticiper sur la réforme européenne qui est susceptible d imposer la mise en place d un CIL Disposer d un maître d œuvre en charge de la conformité «informatique et libertés» Diffusion d une culture «Informatique et Libertés» au sein de l entreprise Le CIL doit justifier de son niveau de formation et de compétence sur la réglementation «informatique et libertés»

16 Contrôles CNIL réalisés en 2011 : le CIL «impliqué» est le vecteur d une meilleure application de la loi "informatique et libertés" Selon la CNIL, l efficacité de ces CIL repose notamment sur : des actions de sensibilisation à la loi en interne et à l extérieur une communication avec les services opérationnels internes la mise en place de relais ou d adjoints qui assistent le CIL dans ses missions la réalisation d audits par le CIL pour apprécier concrètement la conformité à la loi Elément statistique : les organismes ayant désigné un CIL divisent par trois le risque d une sanction en cas de contrôle de la CNIL

17 Le risque de non-conformité doit être pris en compte La loi n interdit pas par principe la mise en œuvre de traitements de données dès lors qu ils sont correctement encadrés Le CIL permet de limiter fortement le risque de nonconformité juridique et le risque d image

18 Guillaume Desgens-Pasanau Maître de conférences associé Le CNAM Equipe Métiers du droit 2, rue Conté Paris CEDEX 03 Accès 37-3e- bureau