Loi Informatique et libertés Cadre réglementaire

Transcription

1 Loi Informatique et libertés Cadre réglementaire 1 Loi Informatique et Libertés La loi Informatique et Libertés du 6 janvier 1978 modifiée par la loi du 6 août 2004 définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles. Elle renforce le droit des personnes sur leurs données et prévoit une simplification des formalités administratives déclaratives et précise les pouvoirs de contrôle et de sanction de la CNIL. CIL - Réunion d'information - mars

2 Loi Informatique et libertés - Cadre réglementaire (suite) 2 Fonctions du CIL Le Correspondant Informatique et Libertés (CIL) est aussi appelé «Correspondant à la protection des données personnelles (CPDP)» Le CIL se positionne en intermédiaire entre le responsable des traitements des données concernées et la CNIL : Il est responsable : - de la création et de la mise à jour d une liste des traitements effectués - de la publicité de cette liste - d une fonction d information, de conseil et de recommandation auprès des responsables des traitements - de l intermédiation CNIL/CNRS - d une fonction d alerte - de veiller au respect des principes de la protection des données personnelles ; d informer les personnes au sujet de l existence de leurs droits d accès, de rectification et d opposition. CIL - Réunion d'information - mars

3 La CNIL La CNIL est chargée de veiller à ce que l informatique soit au service du citoyen et qu elle ne porte atteinte ni à l identité humaine, ni aux droits de l homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la Loi Informatique et Libertés qui la qualifie d autorité administrative indépendante. - Le contrôle de la conformité à la Loi des projets de fichiers et traitements - Le rôle de conseil et d information - L instruction des plaintes - Le pouvoir de vérification sur place - Le pouvoir de sanction. CIL - Réunion d'information - mars

4 Qu est-ce qu une donnée personnelle? Art.2 de la Loi Informatique et Libertés «Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.» «La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l objet du traitement.» CIL - Réunion d'information - mars

5 Qu est-ce qu une donnée sensible? Les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. Par principe, la collecte et le traitement de ces données sont interdites. Cependant, dans la mesure où la finalité du traitement l exige, ne sont pas soumis à cette interdiction : - les traitements pour lesquels la personne concernée a donné son consentement exprès - les traitements justifiés par un intérêt public après autorisation de la CNIL ou décret en Conseil d Etat. CIL - Réunion d'information - mars

6 Qu est-ce qu une donnée sensible? (suite) Autres données à risque : - Données génétiques - Données relatives aux infractions pénales, aux condamnations - Données comportant des appréciations sur les difficultés sociales des personnes - Données biométriques - Données comportant le NIR. CIL - Réunion d'information - mars

7 Qu est-ce qu un traitement régi par la Loi Informatique et Libertés? C est un traitement automatisé ou un fichier manuel de données à caractère personnel dont le responsable est établi sur le territoire français ou qui recourt à des moyens de traitement situés sur ces territoires qui sont régis par la Loi Informatique et Libertés. Exemples de traitements : - Fichiers d adresses, base contacts, autocom, espaces numériques de travail - Procédure de télétransmission de données personnelles, d interconnexion, de consultation. Attention : les dispositions de la Loi Informatique et Libertés s appliquent dès la phase de collecte des données et non pas dès leur mise sur informatique. CIL - Réunion d'information - mars

8 Principe de la protection des données personnelles 1 Le principe de finalité Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions de l établissement, responsable du traitement. Tout détournement de finalité est passible de sanctions pénales. 2 Le principe de proportionnalité Seules doivent être enregistrées les informations pertinentes et nécessaires pour leur finalité. CIL - Réunion d'information - mars

9 Principe de la protection des données personnelles (suite) 3 Le principe de pertinence des données Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis. 4 Le principe de durée limitée de conservation de données Les informations ne peuvent pas être conservées de façon indéfinie dans les fichiers informatiques. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier. Au-delà les données peuvent être archivées sur un support distinct. CIL - Réunion d'information - mars

10 Principe de la protection des données personnelles (suite) 5 Le principe de sécurité et de confidentialité Le responsable de traitement est astreint à une obligation de sécurité. Il doit faire prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation. 6 Le principe de transparence La loi garantit aux personnes l information nécessaire relative aux traitements auxquels sont soumises des données les concernant et les assure de la possibilité d un contrôle personnel. Le responsable de traitement des données personnelles doit avertir ces personnes dès la collecte des données et en cas de transmission de ces données à des tiers. 7 Le principe du respect des droits des personnes - Informer les intéressés - Les droits d accès et de rectification - Le droit d opposition CIL - Réunion d'information - mars

11 Qu est-ce qu un fichier? Au sens de la Loi Informatique et Libertés, tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. Ensemble de fichiers, listes ou dossiers structuré par un système de classement ou d indexation permettant d accéder facilement aux données. Un fichier peut donc être «papier» ou «électronique». CIL - Réunion d'information - mars

12 Obligations du responsable de traitement 1. Recueillir le consentement de la personne 2. Respecter les objectifs du fichier (sa finalité) 3. Protéger le fichier 4. Ne pas divulguer les informations 5. Agir dans la transparence Informer 6. Déclarer les fichiers CIL - Réunion d'information - mars

13 Procédure 1. Qui déclare? Le responsable de traitement, celui qui met en œuvre le traitement 2. Que déclarer? Tout traitement de données à caractère personnel 3. Exceptions : Certains types de traitement sont dispensés de déclaration (à titre de communication et d information par exemple) si un CIL est désigné 4. Déclaration simplifiées : par exemple gestion du personnel CIL - Réunion d'information - mars

14 Différents types de formalités préalables Déclaration : données à caractère personnel Autorisation : données sensibles, transfert hors UE, santé, génétique, infractions, condamnation, recherche en matière de santé, évaluation des soins Demande d avis : Activités régaliennes de l Etat (défense, sureté, sécurité publique, utilisation du NIR CIL - Réunion d'information - mars

15 DECLARATION DECLARATION ORDINAIRE DECLARATION SIMPLIFIEE (si norme simplifiée) CIL CIL DEMANDE DE COMPLEMENTS DEMANDE DE COMPLEMENTS TRAITEMENT ENREGISTRE CIL - Réunion d'information - mars

16 DEMANDE D AUTORISATION Demande Demande d autorisation d autorisation établie par le CIL CNIL Silence de 2 mois (ou 4 mois) REFUS RECOURS JURIDICTIONNEL AUTORISATION MISE EN OEUVRE CIL - Réunion d'information - mars

17 SECTEUR PUBLIC ET DEMANDE D AVIS depuis 2004 DEMANDE D AVIS + PROJET D ACTE REGLEMENTAIRE établis par le CIL Silence de 2 mois (ou 4 mois) CNIL AVIS FAVORABLE AVIS DEFAVORABLE ACTE REGLEMENTAIRE ACTE REGLEMENTAIRE 17 CIL - Réunion d'information - mars 2012

18 RECHERCHE / SANTE DEMANDE établie par le CIL COMITE CNIL Silence d un mois Silence de 2 mois (ou 4 mois) AVIS REFUS AUTORISATION EXPRESSE RECOURS JURIDICTIONNEL CIL - Réunion d'information - mars

19 Quelques exemples de traitements de données à caractère personnel Fichiers de paie, RH, fournisseurs Colloques Autocommutateurs téléphoniques, badges, cartes à mémoire, GPS (géolocalisation), reconnaissance biométrique... Sites intranet, extranet... Annuaires, trombinoscopes, listes d adresses CIL - Réunion d'information - mars

20 Déclaration de traitements comportant des données à caractère personnel 1 Faire l état des traitements existants dans sa structure Chaque entité CNRS (Délégation, direction, unité) doit faire annuellement l état exhaustif des traitements existants (déjà déclarés ou non), le mettre à jour et le transmettre au Correspondant informatique et libertés. Télécharger l état Excel à remplir : 2 Déclarer un traitement Tout nouveau traitement comportant des données personnelles doit être déclaré au Correspondant informatique et libertés. Télécharger le formulaire de déclaration à remplir : CIL - Réunion d'information - mars

21 CIL - Réunion d'information - mars

22 CIL - Réunion d'information - mars

23 Exemple de mention «les informations recueillies font l objet d un traitement informatique destiné à (veuillez préciser la finalité). Les destinataires des données sont. Conformément à la loi Informatique et Libertés du 6 janvier 1978 modifiée en 2004, vous bénéficiez d un droit d accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à (préciser le service et l adresse)» CIL - Réunion d'information - mars

24 FAQ Je souhaite créer une mailing list qui regrouperait les s des enseignants avec lesquels le laboratoire a été en contact Qu elles sont les formalités à effectuer dans le cas de données contenant des photos de personnes?" En tant que CSSI du laboratoire, je dois déclarer un fichier Excel qui contient IP/MAc adresse et Noms des Personnes du laboratoire pour la PSSI de notre laboratoire. Comment faire? Les annuaires de laboratoire et les pages personnelles diffusées sur les sites Web des laboratoires entrent-elles dans la liste des traitements à recenser? CIL - Réunion d'information - mars

25 L équipe du CIL Raymond DUVAL Sylvie COLLIGNON Emilie MASSON Karine METROT Marc GUICHARD Le site web : info.contact@cil.cnrs.fr CIL - Réunion d'information - mars