Le Correspondant Informatique & Libertés. Forum International de l Assurance. 19 avril Casablanca

Transcription

1 Le Correspondant Informatique & Libertés Forum International de l Assurance 19 avril 2013 Casablanca Ph. SALAÜN : CIL de CNP Assurances 1

2 Sommaire La Loi «Informatique et Libertés» Le CIL Risques et moyens associés Conclusion 2

3 La Loi «Informatique & Libertés» Son contenu La Loi «Informatique & libertés» du 4 janvier 1978, modifiée par la loi du 4 août 2004 : Vise à «protéger les informations à caractère personnel de chaque citoyen» Une donnée à caractère personnel est constituée par : (L.1978 art.2) «toute information relative à une personne physique : Identifiée ou qui peut être identifiée directement ou indirectement par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres» A titre d illustration, n de tel, n de contrat, n de plaque d immatriculation automobile, photographie, sont des données à caractère personnel. 3

4 La Loi «Informatique & Libertés» Les données interdites Les données à caractère personnel dont la collecte est interdite, sont : Les origines raciales et ethniques ; Les opinions politiques ; Les opinions philosophiques ; Les opinions religieuses ; Les appartenances syndicales ; Les informations de santé ; Les données relatives à la vie sexuelle. Des dérogations légales peuvent être obtenues par autorisation de la CNIL. 4

5 La Loi «Informatique & Libertés» 5 Principes fondateurs Les fondements de la loi La Loi «I&L» s appuie sur les 5 principes fondateurs suivants : Le principe de finalité ; Le principe de transparence ; Le principe de proportionnalité ; Le principe de sécurité ; Le droit à l oubli. Chaque analyse de risque «I&L» doit respecter ces 5 principes 5

6 La Loi «Informatique & Libertés» 5 Principes fondateurs Principe de finalité Le principe de finalité définit la relation entre les données et les traitements Les traitements informatisés ou manuels ne peuvent porter que sur des données: «collectées pour des finalités déterminées, explicites et légitimes» (L1978 art.6) «Les traitements ne peuvent être utilisés ultérieurement de manière incompatible avec ces finalités» (L1978 art.6). Restreindre les usages afin d éviter les détournements d utilisation 6

7 La Loi «Informatique & Libertés» 5 Principes fondateurs Principe de transparence L individu doit pouvoir : Exercer une maîtrise sur les informations à caractère personnel qui le concernent ; Être informé sur ses droits ; Exprimer un consentement préalable à la gestion des données personnelles ; Connaître l ensemble des informations le concernant détenues par toutes personnes opérant sur ses données. Pour cette raison, chaque document de collecte de données doit porter les mentions légales I&L le Cil est intégré dans le processus de lancement de produit et service 7

8 La Loi «Informatique & Libertés» 5 Principes fondateurs A été introduit dans la loi «I&L» par la loi du 6 août 2004 ; Assure l équilibre entre : Les prérogatives des responsables des traitements ; Les droits des personnes concernées. Est appuyé sur 2 règles : Principe de proportionnalité Les données à caractère personnel doivent «être non excessives au regard des finalités des traitements pour lesquelles elles ont été collectées et de leurs traitements ultérieurs» (L.1978 art.6) ; Le consentement obtenu et formalisé est nécessaire pour utiliser ces données (hors données sensibles) à la réalisation «d un intérêt légitime» «sous réserve de ne pas méconnaître l intérêt ou les droits et libertés fondamentaux de la personne concernée» (L 1978 art 75). A titre d exemple, la CNIL a refusé l utilisation de la reconnaissance digitale pour contrôler l accès à une cantine scolaire : biométrie de «confort» 8

9 La Loi «Informatique & Libertés» 5 Principes fondateurs Principe de sécurité Protéger «l intimité numérique» et le respect de la vie privée en assurant : L intégrité des données à caractère personnel (L 1978 art 34) : Ni endommagées Ni déformées La confidentialité en définissant une organisation adaptée pour limiter l accès des informations aux tiers légalement autorisés. Habilitation et contrôle d accès au SI, accès aux locaux d archives Chiffrement nécessaire pour les données de santé, Sécurisation de la consultation des dossiers papier : contrats, santé, 9

10 La Loi «Informatique & Libertés» 5 Principes fondateurs Imposer de ne plus conserver, audelà de la finalité d origine, les données à caractère personnel : L.1978 art.6 : «Les données à caractère personnel sont conservées sous une forme permettant l identification des personnes concernées pendant une durée qui n excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées». Sa mise en œuvre se traduit par : La nécessité de prévoir des traitements d effacement physique des données ; Des procédures d anonymisation Le droit à l oubli Des dérogations sont possibles à des fins historiques, scientifiques ou statistiques sous certaines conditions après anonymisation. 10

11 Sommaire La Loi «Informatique et Libertés» Le CIL Risques et moyens associés Conclusion 11

12 Le CIL Origine du Correspondant Informatique et Libertés Introduit en 2004 à l occasion de la refonte de la loi «I&L» du 6 janvier 1978 Toutes les entreprises peuvent y recourir : Public/Privé ; Associations, collectivités locales, grandes administrations de l Etat ; PME/PMI ou entreprises multinationales Sa désignation est facultative pour l entreprise. Alléger les démarches administratives de la CNIL en les transférant au CIL. Assurer une meilleure application de la loi «I&L» au sein des sociétés. 12

13 Le CIL Alléger les formalités de déclaration à la CNIL Exonération des responsables de traitement de tout ou partie des formalités préalables leur incombant : Avec un CIL, seul les traitements soumis à autorisation ou avis préalable de la CNIL sont à déclarer ; Les autres traitements, sans risque manifeste pour les droits des personnes, sont référencés dans une liste tenue localement par le CIL. La présence d un CIL ne dispense pas totalement de demandes à la CNIL. 13

14 Le CIL Assurer une meilleure application de la loi «I&L» Assurer le respect des droits des personnes concernées Droit d accès ; Droit de rectification ; Droit de radiation ; Droit d opposition. Veiller à ce que ces données traitées ne soient utilisées qu aux seules fins pour lesquelles elles ont été collectées ; Faire respecter la sécurité des données à caractère personnel collectées ; Garantir la confidentialité de ces informations. Ces obligations impliquent : une réflexion sur l usage qui sera fait des données à caractère personnel ; l application de mesures concrètes adaptées au sein des processus et des SI. 14

15 Les missions du CIL Le CIL est chargé d assurer, d une manière indépendante, le respect des obligations prévues par la loi «I&L» : Conseiller et recommander : Consultation préalable obligatoire à la MEO des traitements ayant des informations à caractère personnel ; Recommandation au responsable des traitements. Assurer la médiation I&L : Alerter : Veiller à l application de la loi «I&L» (1) Réception des réclamations et des requêtes des personnes concernées ; Transmission aux services concernés ; Elaboration des réponses (droit d accès, d opposition, de rectification, ) ; Suivi des plaintes issues de la CNIL. Dans certains cas justifiés, le CIL doit alerter le responsable du traitement du nonrespect de la loi «I&L». Le responsable du traitement est le responsable de l entité juridique 15

16 Les missions du CIL Veiller à l application de la loi «I&L» (2) Le CIL est chargé également de : Rendre compte de son action : Elaboration d un bilan annuel de ses activités au responsable de traitement ; Mise à disposition de la CNIL sur demande de ce document. Sensibiliser et former les collaborateurs : Rédaction de brochures ; Mise en place de site Intranet dédié ; Comités tels que le Comité de Sécurité des Systèmes d Informations, Assurer une veille : Conférences à la CNIL ; Formation à la CNIL ; Association des responsables «I&L» des sociétés. L Association des Cils (AFCDP) permet d échanger les pratiques autour d un métier nouveau. 16

17 Sommaire La Loi «Informatique et Libertés» Le CIL Risques et moyens associés Conclusion 17

18 Risques potentiels Les sanctions sont lourdes de conséquences En cas de non respect de la loi «I&L», des sanctions de différentes natures sont prononçables par la CNIL : Sanctions administratives : Interdiction de traitement ; Amendes ; Publication dans la presse des manquements constatés. Sanctions civiles : En cas de préjudice personnel et direct subi par une personne physique, paiement de dommages et intérêts (art 1382 du Code Civil) Sanctions disciplinaires : Pour les professionnels de santé, les avocats, et membres de professions réglementées. Sanction pénales : Non respect y compris par négligence des formalités préalables : 3 ans d emprisonnement et 300 K d amende. Non respect de la sécurité : 5 ans d emprisonnement et 300 K d amende 18

19 Risques potentiels Les zones de risque à surveiller dans l Assurance Au niveau des SI Au niveau de la bureautique Au niveau des dossiers papier Au niveau de la logistique Au niveau de la DRH Au niveau de la Santé d assurance Au niveau des partenaires : l assureur est responsable de sa délégation Au niveau des soustraitants : l assureur est responsable de sa soustraitance Au niveau des technologies : Ged, GPS, Biométrie, Le sujet est vaste : négligence et mauvaise foi sont sanctionnées par la CNIL 19

20 Les moyens associés Un Comité mensuel de Sécurité des SI Composition Directeur des Risques et de la Conformité : président Directeur de l Audit interne RSSI CIL Responsable de la Production des SI Processus pour nouveaux traitements Dossier d analyse de risques Sécurité par le RSSI Risque Info et Libertés identifiée : données sensibles ou pas ; Solutions proposées Décision formalisée, tracée et appliquée. Actions conjointes du Cil et du RSSI : analyse de risque commune 20

21 Sommaire La Loi «Informatique et Libertés» Le CIL Risques et moyens associés Conclusion 21

22 Conclusion Projet de Règlement européen du 25 janvier 2012 Un renforcement des exigences de la Loi Rendre obligatoire les DPO (Data Protection Officiers), ex CILs ; Instaurer une obligation de sécurisation des données incombant au responsable des traitements et créer une obligation de notification à la CNIL des failles de sécurité ; Mettre en place l accountability : traçabilité des actions, analyse des risques DPO : Une fonction nouvelle qui deviendra bientôt obligatoire exigeant des compétences juridiques, informatiques et de risk management, dans un exercice quotidien de contrôle interne : traçabilité et testing. 22

23 Conclusion Le Cil, nouvel acteur «Sécurité» de l entreprise qui gére la conformité des traitements avec la loi I&L en «toute» indépendance de par la loi en liaison avec de nombreux acteurs internes de l entreprise DSI RSSI Juristes Back offices Marketing DRH Logisticiens Sûreté IRP avec les CE et CHSCT en faisant appel à des compétences : Juridique Système d information Contrôle interne Risk management Relationnelles organisé autour d une association AFCDP 23