Fiche préalable de Traitement* annotée Correspondant informatique et libertés mutualisé des établissements universitaires du PRES Université de Grenoble v2.10-1 Utilisez cette fiche annotée pour renseigner la fiche préalable de traitement (*) Information aux personnes concernées par les formalités d un traitement (responsable du traitement, personnes en charge ou opérateurs de la mise en œuvre, référents informatique et libertés, destinataires éventuels des données). L instruction des formalités de déclaration des traitements mis en œuvre par les établissements constitue un traitement déclaré et porté au registre du Correspondant informatique et libertés (CIL) mutualisé des établissements. Certaines de vos données à caractère personnel peuvent apparaître dans le présent document et dans le registre du CIL, accessible au public. Conformément à la loi «informatique et libertés» du 6 janvier 1978 modifiée, vous pouvez exercer vos droits d accès et de rectification, pour les données qui vous concernent, auprès du CIL par mail à CIL@grenet.fr (Sujet/Objet : «CIL : DEMANDE D EXERCICE DES DROITS») (**) L entête de la fiche est renseigné par le demandeur. Cette fiche doit être préalablement validée par le responsable de la mise en œuvre du traitement pour que le traitement puisse être déclaré (porté au registre du CIL) : fiche datée et signée ou réf. courrier ou mail de validation du responsable du projet NOM DU ENTÊTE DE FICHE** DATE 1 ÈRE DEMANDE ÉTABLISSEMENT SERVICE COMPOSANTE LABORATOIRE RESPONSABLE DE MISE EN ŒUVRE (MOE) CYCLE DE VIE DE LA FICHE (à renseigner par l intervenant ad hoc) VERSION DATE RÉFÉRENT I&L (CIL / RELAISCIL) ex. 1.1 jj/mm/aaaa ex. relaiscil RÉFÉRENT MOE ÉTAT DE LA FICHE V : Validé EC : En_Cours AV : A_Valider AUTEUR VERSION (RÉF. I&L OU MOE) CORPS DE FICHE TYPE FICHE DE Création N déclaration (réservé CIL) Modification / Mise à jour réf. du traitement modifié : (N déclaration) Décrire les modifications envisagées (personnes concernées, données, destinataires, durée de conservation, liens avec d autres traitements, connexion avec d autres traitements, changement de maîtrise d œuvre, changement de service pour le droit d accès) Suppression réf. traitement supprimé : (N déclaration) FORMALITÉ CNIL Dispense Norme simplifiée Autorisation unique Acte réglementaire unique DI- NS- AU- RU- A renseigner par le relais CIL ou par le CIL après engagement de conformité du responsable de traitement (via le responsable de la MOE en général) Normale DN Avis CNIL DAv Réservé CIL Autorisation CNIL DAu Fiche prélable de traitement annotée Fiche prélable de traitement annotée V2.10-2.docx1/6 2014-01-24
RESPONSABILITÉ ET FINALITÉ RESPONSABLE DE CARACTÈRE OBLIGATOIRE FINALITÉ(S) DU Un des 7 établissements du PRES (UdG, UJF, UPMF, Stendhal, UdS, INP, IEP) OUI/NON Beaucoup de traitements ne sont pas obligatoires (ex. enquêtes). Art. 38 de la loi «Informatique et Libertés» (droit d opposition) «Toute personne physique a le droit de s opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l objet d un traitement» Le traitement peut être légitimement obligatoire par rapport à la finalité (ex. gestion RH, gestion des étudiants, ). Dans ce cas, préciser les conséquences d un refus (opposition). Décrire les principaux objectifs du traitement à déclarer. Ces objectifs doivent être déterminés, explicites et légitimes. Ils ne doivent pas varier durant toute la durée du traitement INFORMATIONS GÉNÉRALES SUR LE DÉTAILS DU LIENS AVEC D AUTRES S DATE SOUHAITÉE DE MISE EN ŒUVRE Décrire la méthodologie, les étapes, les processus et les éléments permettant d avoir une idée claire et précise de ce qui est fait Attention à l interconnexion de fichiers à finalité différente! Le traitement est-il dépendant d un autre? Des données seront-elles collectées depuis un autre traitement? Comment? D autres traitements utiliseront-ils des fichiers ou des données de ce traitement? Comment? postérieure à la date de déclaration par le CIL Date précise (jj/mm/aaaa) prévue pour la mise en exploitation RÉCURRENCE DU DURÉE D EXPLOITATION DATE DE FIN DATE DE MISE À JOUR Traitement unique? Occasionnel? récurrent? Information nécessaire car l arrêt d un traitement doit être déclaré au CIL pour mettre à jour le registre des traitements Durée = depuis le début de la collecte des données à traiter jusqu à la fin de leur exploitation ou jusqu à la modification du traitement NB : s il existe, le premier contact individuel (mail, courrier, téléphone, ) pour informer les personnes du traitement futur fait partie du traitement Attention : toute évolution est soumise à une déclaration de modification PERSONNES CONCERNÉES CATÉGORIE DES PERSONNES CONCERNÉES Les personnes concernées sont celles dont les données personnelles font l objet du traitement Donner les catégories de personnes concernées et leur nombre (approximatif) Fiche prélable de traitement annotée Fiche prélable de traitement annotée V2.10-2.docx2/6 2014-01-24
INFORMATION AUX PERSONNES CONCERNÉES EXERCICE DES DROITS SERVICE AUPRÈS DUQUEL S EXERCE LE DROIT D ACCÈS l information préalable aux personnes sur le traitement Donner le contenu de l information donnée aux personnes et sous quelle forme (orale, affichage, mail, intranet, etc.)? Art. 32.I de la loi «Informatique et Libertés (obligation d information préalable) «La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l a été au préalable, par le responsable du traitement ou son représentant : 1 De l identité du responsable du traitement et, le cas échéant, de celle de son représentant 2 De la finalité poursuivie par le traitement auquel les données sont destinées 3 Du caractère obligatoire ou facultatif des réponses 4 Des conséquences éventuelles, à son égard, d un défaut de réponse 5 Des destinataires ou catégories de destinataires des données 6 Des droits qu elle tient des dispositions de la [loi] (droits des personnes à l égard des traitements de données : opposition, accès, rectification) 7 Le cas échéant, des transferts de données à caractère personnel envisagés à destination d un État non membre de la Communauté européenne. Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1, 2, 3 et 6. toute personne concernée par un traitement justifiant de son identité a un droit d accès à ses données dans les 2 mois suivant sa demande (pour information, rectification) Service et/ou fonction de la (des) personne(s) apte à donner l information et à la rectifier le cas échéant. En général, pour des raisons pratiques, c est le service responsable de la Maîtrise d Œuvre (ou le responsable du service ou du projet) Le relais CIL, voire le CIL peuvent être cités IMPORTANT : 1. Toute demande des personnes concernées doit systématiquement être signalée au relais CIL (référent de l établissement) et au CIL pour son enregistrement 2. Toute demande doit faire l objet d une réponse complète dans les 2 mois DONNÉES TRAITÉES Les données traitées sont exactes, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées. Elles ne peuvent être conservées sous une forme permettant l identification des personnes concernées que pendant une durée qui n excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées et doivent être supprimées ensuite. Selon les catégories de données, l origine, les destinataires, la durée de conservation peut être différente. Le principe fondamental à respecter est la proportionnalité : les données, leur durée de conservation et les destinataires sont pertinents (nécessaires et suffisants) par rapport à la finalité. Pour les enquêtes, sondages, joindre le questionnaire à la fiche préalable (demande d instruction de la déclaration). Le niveau d anonymat du questionnaire doit être apprécié par le CIL. Traitement du NIR (N insee) INTERDIT a priori demande d AVIS à la CNIL ou conformité à un acte réglementaire visé par la CNIL (déclaration simplifiée) Traitement de données sensibles (art. 8) - santé, social, comportement, politique, religion, biométrie, syndicalisme INTERDIT a priori demande d AUTORISATION à la CNIL ou conformité à une décision CNIL (autorisation unique) : Attention aux données «zones libres» (commentaires, Post it, ) qui doivent être objectives, porter sur des données strictement pertinentes pour le traitement et ne pas porter atteinte à la vie privée ou à la dignité de la personne (jugement de valeur, données sensibles, confidentielles, ) Fiche prélable de traitement annotée Fiche prélable de traitement annotée V2.10-2.docx3/6 2014-01-24
DONNÉES OU CATÉGORIES Qu est-ce qu on traite? Catégorie 1 Ex. Identité Catégorie 2 Ex. coordonnées ORIGINE / SOURCE* D où proviennent les données? * Indiquer les organismes et les traitements sources des flux de données entrantes (via des applications par ex.) Ex. Fichier existant (et déclaré) DURÉE DE CONSERVATION** Tant qu elles sont nécessaires ** au traitement puis Suppression DESTINATAIRES*** Durée 1 Destinataires 1 Durée 2 Destinataires 2 Quels destinataires pour quelles catégories de données? Indiquer les organismes et les traitements destinataires des flux de données sortantes (via des applications par ex.) Catégorie 3 Ex. situation professionnelle Ex. saisie par la personne Durée 3 Destinataires 3 Etc. Etc. Etc. Etc. TRANSFERT DES DONNÉES HORS U E OUI/NON (voir le CIL) Le transfert de données hors UE ou dans un pays ne garantissant pas un niveau de sécurité adéquat (CNIL) est soumis à autorisation de la CNIL. OK : Islande, Liechtenstein, Norvège, Andorre, Argentine, Canada, Iles Féroé, l Ile de Man, Guernesey, Jersey, Israël, Uruguay et Suisse sont dans le périmètre reconnu adéquat, ainsi que les États-Unis pour les organismes adhérant au Safe Harbor (accords USA/UE) Info site CNIL - http://www.cnil.fr/vos-responsabilites/le-transfert-de-donnees-a-letranger/ (réglementation) - http://www.cnil.fr/pied-de-page/liens/les-autorites-de-controle-dans-le-monde/ (niveau/pays) (*) Si les données proviennent d un autre fichier, s assurer qu il est bien déclaré et qu on est destinataire autorisé de ces données (information contenue dans la déclaration) (**) La durée de conservation des données est la durée du traitement (jusqu à la fin de leur exploitation) augmentée d une durée où on considère qu elles peuvent encore être occasionnellement utiles au service. Dans cette dernière période, les données sont particulièrement protégées (support différent du support de l exploitation, accès restreint à des personnes bien définies). En tout état de cause, la durée de conservation est finie et définie par la finalité (art. 36) (***) Les personnes ou services chargés de la mise en œuvre ne sont pas des destinataires. S assurer de la légitimité du transfert et de la pertinence des données transmises SÉCURITÉ SÉCURITÉ DES DONNÉES CONFIDENTIALITÉ La sécurité des données est une disposition légale obligatoire (art. 34). Décrire comment elle est assurée : - Sécurité physique (des locaux, des équipements, ) et accès aux équipements - Sécurité logique des fichiers (accès par réseau, accès authentifié, communication sécurisée, données chiffrées, ) - Intégrité des données - Sauvegarde La CNIL propose un document spécifique «annexes de sécurité» à renseigner Décrire les moyens permettant de l assurer (sécurité des accès, le secret professionnel, etc.) Secret professionnel des personnes chargées de la mise en œuvre Clause de confidentialité du/des prestataire/s éventuel/s annexer le document Fiche prélable de traitement annotée Fiche prélable de traitement annotée V2.10-2.docx4/6 2014-01-24
MISE EN ŒUVRE CATÉGORIES DES PERSONNES OU SERVICES CHARGÉS DE LA MISE EN ŒUVRE (MOE) Désigner le service pilote MOE (interne ou externe à l établissement) et le cas échéant, les autres services (internes ou externes à l établissement) qui participent à la mise en œuvre (ex. service informatique, ) Les services externes sont des sous-traitants (cf. rubrique Sous-traitance) RESPONSABLE DE LA MISE EN ŒUVRE Identité et fonction du responsable du projet (service ou composante pilote MOE, équipe ou porteur du projet) MOYENS DE MISE EN ŒUVRE SOUS-TRAITANCE Description de la méthodologie, des moyens humains et matériels En cas de sous-traitance de tout ou partie du traitement par un/des prestataire/s hors établissement, coordonnées du/des prestataire/s sous-traitant/s Chaque prestataire devra fournir une clause de confidentialité signée Si un prestataire héberge tout ou partie des données traitées, il doit en outre produire le document contractuel qui le lie au responsable de traitement (son client) où est spécifiée le niveau de sécurité des données hébergées. Remarques - Observations Informations complémentaires Utiliser cet espace pour l échange écrit avec le référent informatique et libertés Fiche prélable de traitement annotée Fiche prélable de traitement annotée V2.10-2.docx5/6 2014-01-24
Renvois de la FPT Informations complémentaires Ces rubriques doivent être accessibles à tout public en faisant la demande (obligation de transparence de déclaration du traitement) Ces rubriques sont à renseigner pour être en conformité avec la loi I&L (cela dépasse le périmètre de la formalité de déclaration) Annexes à la fiche de traitement (selon le traitement) [Documents à fournir par le responsable du traitement ou le responsable de la MOE] Documents réglementaires CNIL Information aux personnes (obligation légale) Documents réglementaires CNIL (dépend du type de déclaration) : délibération, dispense, norme simplifiée, avis, autorisation, ) Actes réglementaires visés par la CNIL (arrêté, décret, ) Engagement de conformité du traitement à des textes NB1 : la conformité à une dispense de déclaration, une déclaration simplifiée, un acte réglementaire (arrêté, décret), ne dispense pas de l obligation d appliquer la loi sur l ensemble du traitement (information, sécurité, ) NB 2 : La vérification de conformité par rapport à une dispense, une norme simplifiée, à un acte réglementaire peut prendre du temps Documents liés au traitement (questionnaire enquête, ) Tous documents et précisions apportant une information sur les moyens de mise en œuvre du traitement sur la méthodologie, sur la mise en œuvre technique, sur la sécurité, sur l information aux personnes, sur l anonymat (éventuellement), etc. Information sur les délais des formalités de déclaration NB : l existence du CIL allège les formalités (pas de déclaration à la CNIL) mais n en dispense pas. L instruction par le CIL des dossiers de formalités préalables reste nécessaire et les délais d instruction conséquents. A titre de repère : DÉLAI D INSTRUCTION LOCALE DU DOSSIER (RELAIS CIL - CIL - RESP. MOE- EXPERTS - ) 1 à 2 mois (voire plus selon complexité, charges CIL, ) DÉLAI D INSTRUCTION CNIL (S NÉCESSITANT UN AVIS OU UNE AUTORISATION) 1. Demande d AVIS (projet d acte réglementaire de l organisme, soumis à avis CNIL) > 4 à 5 mois Réponse par défaut (pas de réponse au bout de 4 mois) AVIS FAVORABLE 2. Demande d AUTORISATION (données sensibles, interconnexions, transferts hors UE) > 6 à 8 mois (voire plus!) Réponse par défaut (pas de réponse au bout de 4 mois) AVIS DÉFAVORABLE Fiche prélable de traitement annotée Fiche prélable de traitement annotée V2.10-2.docx6/6 2014-01-24