Se conformer à la Loi Informatique et Libertés

Transcription

1 Se conformer à la Loi Informatique et Libertés

2 Le cadre législatif Loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés modifiée par la loi du 6 août 2004 dite loi Informatique et Libertés (I&L) Objectif : fixer un cadre à la collecte et au traitement des données personnelles afin de garantir le respect des droits et libertés des personnes ainsi que le respect de leur vie privée. La CNIL : autorité administrative indépendante chargée de la mise en œuvre de la loi I&L. elle informe les responsables de traitements de leurs obligations elle informe le grand public de leur droits elle exerce un pouvoir de contrôle et de sanction. 2/20

3 Sommaire I. Les définitions des termes employés 1- Donnée à caractère personnel 2- Traitement de données à caractère personnel 3- Fichier de données à caractère personnel 4- Responsable d un traitement 5- Destinataire de données II. Les 5 principes clés de la loi 1- La finalité du traitement 2- La proportionnalité de la collecte 3- La limitation de la durée de conservation 4- La sécurité et la confidentialité 5- Le respect des droits des individus III. Les régimes de déclaration 1- La dispense de déclaration 2- La norme simplifiée 3- La déclaration normale 4- La demande d autorisation IV. La désignation d un CIL 1 - Une démarche en 4 étapes 2- La désignation d un Correspondant Informatique et Libertés 3 - Les missions du CIL 3/20

4 I. Définition des termes employés 1- Donnée à caractère personnel «Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.» Certaines données dites sensibles, sont interdites de collecte : données qui directement ou indirectement, font apparaître les origines raciales, les opinions politiques, philosophiques, religieuses, les appartenances syndicales, la santé, la «vie sexuelle» des personnes sauf accord exprès (signé) de l'intéressé, tenue d un registre des membres par les associations ou organismes à caractère religieux, philosophique, politique ou syndical, les données rendues publiques par la personne concernée. 4/20

5 I. Définition des termes employés 2- Traitement de données à caractère personnel «Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction.» Une définition très large de la notion de traitement qui recouvre une multitude d opérations. 5/20

6 Décoder le jargon juridique Identifier les idées clés Anticiper les évolutions I. Définition des termes employés 3- Fichier de données à caractère personnel «Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.» Un fichier n est pas forcément réalisé sur support électronique, il peut l être également sur support papier. L ensemble est être structuré. Les données sont accessibles selon des critères prédéterminés. 6/20

7 I. Définition des termes employés 4- Responsable d un traitement «Le responsable d un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l autorité publique, le service ou l organisme qui détermine ses finalités et ses moyens.» Sont responsables des traitements et de la sécurité des données personnelles les maires, les présidents d établissements publics de coopération intercommunale, les présidents de conseil généraux, régionaux, les dirigeants d entreprise Leur responsabilité pénale pourra être engagée. 7/20

8 I. Définition des termes employés 5- Destinataire de données «Le destinataire d un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités légalement habilitées, dans le cadre d une mission particulière ou de l exercice d un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires.» Il s agit donc de tout personne apte à recevoir ces données. 8/20

9 II. Les 5 principes clés de la loi 1- La finalité du traitement Les données à caractère personnel ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes. Elle ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités. Tout détournement de finalité est passible de sanctions pénales. 2- La proportionnalité de la collecte Les données doivent être «adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs» Si le nom et le prénom sont seuls indispensable pour une certaine procédure, il n est pas nécessaire de recueillir d autres informations (le numéro de sécurité sociale, la situation de famille ) 9/20

10 II. Les 5 principes clés de la loi 3- La limitation de la durée de conservation Les informations ne peuvent être conservées sous au-delà de la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Au-delà de cette période, les données pourront être archivées, mais sur un support distinct. La conservation indéfinie de données à caractère personnel est interdite. 4- La sécurité et la confidentialité Le responsable du fichier est astreint à une obligation de sécurité : pour respecter cette obligation il doit prendre les mesures adéquates pour assurer la confidentialité et la non-divulgation de ces données. Seuls les personnes habilités pourront accéder aux données. 10/20

11 II. Les 5 principes clés de la loi 5- Le respect des droits des individus Le recueil de données doit s accompagner de l information des usagers dont les données sont collectées. Cette information porte sur : la finalité du traitement, le caractère facultatif ou obligatoire de réponse aux informations demandées, les destinataires des données, les modalités d exécution des droits garantis par la loi «Informatique et Libertés» notamment le droit d accès, de modification/suppression et d opposition sauf dans des cas obligatoires (ex : état civil). Cette information peut être portée à la connaissance des usagers par voie de courrier qui leur serait directement adressé soit par voie d affichage dans les locaux des services accueillant le public ou sur les formulaires de demande d informations. 11/20

12 III. Les régimes de déclaration 1- La dispense de déclaration Les fichiers ou de traitements qui ne portent pas atteinte à la vie privée ou aux libertés sont dispensés de déclaration auprès de la CNIL. Il s agit notamment des fichiers ou traitements dont la finalité est : l information et la communication externe (dispense n 7) la comptabilité générale (délibération n du 21/10/1980) la gestion des œuvres sociales et culturelles par les comités d entreprises (dispense n 10) la gestion des fichiers de fournisseurs (dispense n 4) Bien que dispensé de déclaration, le responsable du traitement se doit de respecter les 5 principes clé de la loi I&L. 12/20

13 III. Les régimes de déclaration 2- La déclaration de conformité Les fichiers ou de traitements les plus courant sont encadrés par des décisions de la CNIL sous forme de norme simplifiée, d autorisation unique ou d acte règlementaire unique. Il s agit notamment des fichiers ou traitements concernant : l état civil (NS n 43) les données fiscales (NS n 44 et n 49) les contrôles d'accès aux locaux, des horaires et de la restauration (NS n 42) la gestion du personnel (NS n 46) la gestion des fichiers clients et prospects (NS n 48) Les fichiers ou traitements doivent respecter en tout point le cadre fixé par la décision de la CNIL, sinon ils devront faire l objet d une déclaration normale. 13/20

14 III. Les régimes de déclaration 3- La déclaration normale Si les fichiers ou de traitements n entrent pas dans le cadre d une dispense de déclaration ou d une déclaration de conformité, ils doivent faire l objet d une déclaration normale. Le formulaire de déclaration normale comporte les champs suivants : informations sur le déclarant, le service chargé de la mise en œuvre du traitement, le service chargé du droit d accès, sur le contact CNIL finalité et objectif du traitement déclaré fonctions de l application transferts d information hors de l UE, échange de données règles de sécurités mises en œuvre détail des catégories de données collectées et destinataires de ces données information des intéressées et exercice du droit d accès. La déclaration en ligne est possible. Le récépissé de la déclaration vaut feu vert pour la mise en œuvre du traitement tel que présenté dans la déclaration. 14/20

15 III. Les régimes de déclaration 4- La demande d autorisation Si les fichiers ou de traitements collectent des données dites sensibles, cela nécessite une demande d autorisation. Il s agit des fichiers ou traitements : ayant pour objet l interconnexion de fichiers dont les finalités correspondent à des intérêts publics différents ; comportant des appréciations sur les difficultés sociales des personnes ; utilisant des données biométriques nécessaires au contrôle de l identité des personnes Pour effectuer une demande d autorisation, il faut remplir le formulaire de déclaration normale et les annexes appropriées (sécurité, interconnexion, échange). De plus, il est d usage d accompagner cette demande d un dossier de présentation du fichier ou du traitement. 15/20

16 IV. La démarche de mise en conformité 1- Une démarche en 4 étapes Informer les services concernés Faire circuler une note d information à tous les services concernés, en fournissant une explication simple de la loi «informatique et libertés», les principes de cette loi et l importance de leur respect. Recenser les fichiers et traitements Faire circuler une fiche de recensement de tous les fichiers comportant des données à caractère personnel auprès des différents services existants. Classer les fichiers Selon les types de données contenues dans les fichiers et les traitements auxquels elles sont soumises, on pourra définir si les données doivent faire l objet d une déclaration à la CNIL et le type de formulaire de déclaration à remplir. Elaborer un document type d information des personnes Ce document type devra être communiqués aux différents services qui collectent des données personnelles et prévoir les modalités d exercice des droits garantis par la loi. 16/20

17 IV. La démarche de mise en conformité 2- La désignation d un Correspondant Informatique et Libertés Cette désignation permet de : bénéficier d une exonération de déclaration pour la plupart des fichiers mieux faire respecter la loi au sein de la collectivité qui l a désigné diminuer les risques de sanctions éventuelles à l encontre du responsable du traitement. Le CIL doit toutefois remplir certaines obligations : tenir et mettre à jour la liste des traitements exonérés de déclaration, les autres fichiers relevant de la demande d autorisation seront soumis à la CNIL assurer le respect des droits des personnes (accès, modification/suppression et opposition) en les informant sur les traitements mis en œuvre veiller au respect des principes énoncés dans la loi de /20

18 IV. La démarche de mise en conformité 3 Les missions du CIL CONSEIL : Il sera consulté avant la mise en œuvre de tout traitement RECOMMANDATION : Il traduit les dispositions de la loi en règles internes propres au secteur d activité PEDAGOGIE : Il diffuse la culture «Informatique et Libertés» au sein de la collectivité MEDIATION : Il reçoit les demandes des usagers ALERTE : Il fait part de ses constats du non respect de la loi au responsable INFORMATION : Il dresse le bilan annuel de son activité 18/20

19 En conclusion La CNIL dispose d un large éventail de mesures coercitives et de sanctions : un avertissement, une mise en demeure Si la mise en demeure reste infructueuse et à l issue d une procédure contradictoire : prononcer une sanction pécuniaire (pouvant aller jusqu à ) une injonction de cesser le traitement retirer une autorisation. Sanction pénale du non respect des dispositions de la loi I&L : 5 ans d emprisonnement et d amende Plus d information sur le site de la CNIL : 19/20