Fiche préalable de Traitement* annotée



Documents pareils
Agrément des hébergeurs de données de santé. 1 Questions fréquentes

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

CODE PROFESSIONNEL. déontologie. Code de déontologie sur les bases de données comportementales

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

Les transferts de données à caractère personnel hors Union européenne

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

Les données à caractère personnel

«Informatique et Libertés» POUR L ENSEIGNEMENT DU SECOND DEGRÉ

Commission nationale de l informatique et des libertés

Les fiches déontologiques Multicanal

GUIDE POUR LES EMPLOYEURS ET LES SALARIÉS

GUIDE POUR LES EMPLOYEURS ET LES SALARIÉS

Les Règles Contraignantes d Entreprise francophones (RCEF) Foire aux questions (FAQ) Version pour les entreprises décembre 2014

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

Guide pratique Déclarer à la CNIL Un fichier ou un traitement de données personnelles

MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ ADMINISTRATION. Commission nationale de l informatique et des libertés

Instructions dans la recherche clinique

COMMUNICATION POLITIQUE ObligationS légales

DOSSIER PREFECTURE ET CNIL MOINS DE 8 CAMERAS ET NE FILMANT PAS LA VOIE PUBLIQUE

Le Traitement des Données Personnelles au sein d une Association

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

JE MONTE UN SITE INTERNET

Article 1. Enregistrement d un nom de domaine

Procédure Juridique de mise en place d une base de données biométriques

Déclaration des droits sur Internet

VIE PRIVEE CIRCUS BELGIUM

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

des données à caractère personnel A. Les cinq principes clefs à respecter Page 2 Fiche n 1 : Les fichiers relatifs aux clients Page 13

DELIBERATION N DU 12 MARS 2014 DE LA COMMISSION DE CONTRÔLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE À LA MISE EN ŒUVRE

Group AXA Règles internes d entreprise ou Binding Corporate Rules (BCR)/

et développement d applications informatiques

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Conditions générales du contrat Dynatic-Vol de Atral-Services

DELIBERATION N DU 28 JUILLET 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

Le contrat Cloud : plus simple et plus dangereux

L EVALUATION PROFESSIONNELLE

Evaluation des stages hospitaliers par les étudiants en médecine

«Marketing /site web et la protection des données à caractère personnel»

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

Conditions Générales d Utilisation de la plateforme ze-questionnaire.com

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

Big Data: les enjeux juridiques

DELIBERATION N DU 3 MAI 2010

Conditions d'utilisation de la plateforme Défi papiers

LES NOUVELLES CONTRAINTES EN MATIERE DE MARCHES PUBLICS

BIENVENUE AU PARADIS DES ENTREPRENEURS

Les questions posées pour la protection des données personnelles par l externalisation hors de l Union européenne des traitements informatiques

Vu la demande d'avis de M. Christos DOULKERIDIS, Secrétaire d Etat au Gouvernement de la Région de Bruxelles-Capitale reçue le 23/02/2012;

L EXONÉRATION ou LA DISPENSE de déclaration : Aucune formalité déclarative requise

GUIDE PRATIQUE. Droit d accès

LA LOI INFORMATIOUE ET LIBERTES. et les collectivités locales QUESTIONS

Guide juridique de l'e-commerce 7 règles à connaître pour la sécurisation juridique et la valorisation d'un site e-commerce

Vu la Convention de sauvegarde des droits de l homme et des libertés fondamentales du Conseil de l Europe du 4 novembre 1950 ;

IMPORTANT Bienvenue

MODE D EMPLOI.

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

Cadre juridique de la Protection des Données à caractère Personnel

CONDITIONS GENERALES YOUSIGN v1.4 A - CONDITIONS APPLICABLES A TOUTES LES PRESTATIONS YOUSIGN

Directive cadre du groupe. Protection des données des clients et des partenaires.

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

region guide sante bis:mise en page 1 05/03/13 09:24 Page1 Guide pratique à l attention des professionnels de santé URPS DE BIOLOGIE MÉDICALE PACA

Sur les informations traitées

Être plus proche, mais pas à n importe quel prix

CONDITIONS PARTICULIERES D UTILISATION DU COMPTE EN LIGNE

Conditions générales de vente OPHOS SYSTEM Hébergement Mutualisé version janvier 2007

CHARTE WIFI ET INTERNET

Groupe Banque européenne d investissement. Politique de vidéosurveillance

CONDITIONS PARTICULIERES D UTILISATION DE L ESPACE CLIENT SUR LE SITE

CONDITIONS PARTICULIERES D UTILISATION DE L ESPACE CLIENT SUR LE SITE

CONDITIONS GENERALES DE VENTE

GESTION DES CARTES «ACHAT»

données à caractère personnel (ci-après la "LVP"), en particulier l'article 29 ;

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

DU CORRESPONDANT INFORMATIQUE ET LIBERTES

DOSSIER-TYPE DE DEMANDE D AUTORISATION DE CREATION D UN SITE INTERNET DE COMMERCE ELECTRONIQUE DE MEDICAMENTS

TRANSMETTRE UN NOM DE DOMAINE OU MODIFIER LES COORDONNEES DE SON TITULAIRE

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Commission nationale de l informatique et des libertés

Nomination et renouvellement de MCF et PR associé à temps plein

CODE PROFESSIONNEL. déontologie

VIE PRIVÉE ET TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

Avis d'initiative relatif à la protection de la vie privée dans le cadre du commerce électronique.

Quelles informations votre banquier détient-il sur vous? Pourquoi refuse-t-il de vous fournir une carte bancaire ou un chéquier?

DELIBERATION N DU 28 JANVIER 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION A LA MISE EN ŒUVRE DE LA

GUIDE PRATIQUE POUR LES EMPLOYEURS

CARTE PROFESSIONNELLE DECLARATION PREALABLE D ACTIVITE

Conditions Générales d'utilisation du compte V lille

Directive de la Direction. Directive No 6.9 Fichiers informatiques et protection des données personnelles ou sensibles.

1. Procédure. 2. Les faits

CHARTE D UTILISATION DU SITE

Le dispositif de la Banque de France pour l accès aux données individuelles

Transcription:

Fiche préalable de Traitement* annotée Correspondant informatique et libertés mutualisé des établissements universitaires du PRES Université de Grenoble v2.10-1 Utilisez cette fiche annotée pour renseigner la fiche préalable de traitement (*) Information aux personnes concernées par les formalités d un traitement (responsable du traitement, personnes en charge ou opérateurs de la mise en œuvre, référents informatique et libertés, destinataires éventuels des données). L instruction des formalités de déclaration des traitements mis en œuvre par les établissements constitue un traitement déclaré et porté au registre du Correspondant informatique et libertés (CIL) mutualisé des établissements. Certaines de vos données à caractère personnel peuvent apparaître dans le présent document et dans le registre du CIL, accessible au public. Conformément à la loi «informatique et libertés» du 6 janvier 1978 modifiée, vous pouvez exercer vos droits d accès et de rectification, pour les données qui vous concernent, auprès du CIL par mail à CIL@grenet.fr (Sujet/Objet : «CIL : DEMANDE D EXERCICE DES DROITS») (**) L entête de la fiche est renseigné par le demandeur. Cette fiche doit être préalablement validée par le responsable de la mise en œuvre du traitement pour que le traitement puisse être déclaré (porté au registre du CIL) : fiche datée et signée ou réf. courrier ou mail de validation du responsable du projet NOM DU ENTÊTE DE FICHE** DATE 1 ÈRE DEMANDE ÉTABLISSEMENT SERVICE COMPOSANTE LABORATOIRE RESPONSABLE DE MISE EN ŒUVRE (MOE) CYCLE DE VIE DE LA FICHE (à renseigner par l intervenant ad hoc) VERSION DATE RÉFÉRENT I&L (CIL / RELAISCIL) ex. 1.1 jj/mm/aaaa ex. relaiscil RÉFÉRENT MOE ÉTAT DE LA FICHE V : Validé EC : En_Cours AV : A_Valider AUTEUR VERSION (RÉF. I&L OU MOE) CORPS DE FICHE TYPE FICHE DE Création N déclaration (réservé CIL) Modification / Mise à jour réf. du traitement modifié : (N déclaration) Décrire les modifications envisagées (personnes concernées, données, destinataires, durée de conservation, liens avec d autres traitements, connexion avec d autres traitements, changement de maîtrise d œuvre, changement de service pour le droit d accès) Suppression réf. traitement supprimé : (N déclaration) FORMALITÉ CNIL Dispense Norme simplifiée Autorisation unique Acte réglementaire unique DI- NS- AU- RU- A renseigner par le relais CIL ou par le CIL après engagement de conformité du responsable de traitement (via le responsable de la MOE en général) Normale DN Avis CNIL DAv Réservé CIL Autorisation CNIL DAu Fiche prélable de traitement annotée Fiche prélable de traitement annotée V2.10-2.docx1/6 2014-01-24

RESPONSABILITÉ ET FINALITÉ RESPONSABLE DE CARACTÈRE OBLIGATOIRE FINALITÉ(S) DU Un des 7 établissements du PRES (UdG, UJF, UPMF, Stendhal, UdS, INP, IEP) OUI/NON Beaucoup de traitements ne sont pas obligatoires (ex. enquêtes). Art. 38 de la loi «Informatique et Libertés» (droit d opposition) «Toute personne physique a le droit de s opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l objet d un traitement» Le traitement peut être légitimement obligatoire par rapport à la finalité (ex. gestion RH, gestion des étudiants, ). Dans ce cas, préciser les conséquences d un refus (opposition). Décrire les principaux objectifs du traitement à déclarer. Ces objectifs doivent être déterminés, explicites et légitimes. Ils ne doivent pas varier durant toute la durée du traitement INFORMATIONS GÉNÉRALES SUR LE DÉTAILS DU LIENS AVEC D AUTRES S DATE SOUHAITÉE DE MISE EN ŒUVRE Décrire la méthodologie, les étapes, les processus et les éléments permettant d avoir une idée claire et précise de ce qui est fait Attention à l interconnexion de fichiers à finalité différente! Le traitement est-il dépendant d un autre? Des données seront-elles collectées depuis un autre traitement? Comment? D autres traitements utiliseront-ils des fichiers ou des données de ce traitement? Comment? postérieure à la date de déclaration par le CIL Date précise (jj/mm/aaaa) prévue pour la mise en exploitation RÉCURRENCE DU DURÉE D EXPLOITATION DATE DE FIN DATE DE MISE À JOUR Traitement unique? Occasionnel? récurrent? Information nécessaire car l arrêt d un traitement doit être déclaré au CIL pour mettre à jour le registre des traitements Durée = depuis le début de la collecte des données à traiter jusqu à la fin de leur exploitation ou jusqu à la modification du traitement NB : s il existe, le premier contact individuel (mail, courrier, téléphone, ) pour informer les personnes du traitement futur fait partie du traitement Attention : toute évolution est soumise à une déclaration de modification PERSONNES CONCERNÉES CATÉGORIE DES PERSONNES CONCERNÉES Les personnes concernées sont celles dont les données personnelles font l objet du traitement Donner les catégories de personnes concernées et leur nombre (approximatif) Fiche prélable de traitement annotée Fiche prélable de traitement annotée V2.10-2.docx2/6 2014-01-24

INFORMATION AUX PERSONNES CONCERNÉES EXERCICE DES DROITS SERVICE AUPRÈS DUQUEL S EXERCE LE DROIT D ACCÈS l information préalable aux personnes sur le traitement Donner le contenu de l information donnée aux personnes et sous quelle forme (orale, affichage, mail, intranet, etc.)? Art. 32.I de la loi «Informatique et Libertés (obligation d information préalable) «La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l a été au préalable, par le responsable du traitement ou son représentant : 1 De l identité du responsable du traitement et, le cas échéant, de celle de son représentant 2 De la finalité poursuivie par le traitement auquel les données sont destinées 3 Du caractère obligatoire ou facultatif des réponses 4 Des conséquences éventuelles, à son égard, d un défaut de réponse 5 Des destinataires ou catégories de destinataires des données 6 Des droits qu elle tient des dispositions de la [loi] (droits des personnes à l égard des traitements de données : opposition, accès, rectification) 7 Le cas échéant, des transferts de données à caractère personnel envisagés à destination d un État non membre de la Communauté européenne. Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1, 2, 3 et 6. toute personne concernée par un traitement justifiant de son identité a un droit d accès à ses données dans les 2 mois suivant sa demande (pour information, rectification) Service et/ou fonction de la (des) personne(s) apte à donner l information et à la rectifier le cas échéant. En général, pour des raisons pratiques, c est le service responsable de la Maîtrise d Œuvre (ou le responsable du service ou du projet) Le relais CIL, voire le CIL peuvent être cités IMPORTANT : 1. Toute demande des personnes concernées doit systématiquement être signalée au relais CIL (référent de l établissement) et au CIL pour son enregistrement 2. Toute demande doit faire l objet d une réponse complète dans les 2 mois DONNÉES TRAITÉES Les données traitées sont exactes, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées. Elles ne peuvent être conservées sous une forme permettant l identification des personnes concernées que pendant une durée qui n excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées et doivent être supprimées ensuite. Selon les catégories de données, l origine, les destinataires, la durée de conservation peut être différente. Le principe fondamental à respecter est la proportionnalité : les données, leur durée de conservation et les destinataires sont pertinents (nécessaires et suffisants) par rapport à la finalité. Pour les enquêtes, sondages, joindre le questionnaire à la fiche préalable (demande d instruction de la déclaration). Le niveau d anonymat du questionnaire doit être apprécié par le CIL. Traitement du NIR (N insee) INTERDIT a priori demande d AVIS à la CNIL ou conformité à un acte réglementaire visé par la CNIL (déclaration simplifiée) Traitement de données sensibles (art. 8) - santé, social, comportement, politique, religion, biométrie, syndicalisme INTERDIT a priori demande d AUTORISATION à la CNIL ou conformité à une décision CNIL (autorisation unique) : Attention aux données «zones libres» (commentaires, Post it, ) qui doivent être objectives, porter sur des données strictement pertinentes pour le traitement et ne pas porter atteinte à la vie privée ou à la dignité de la personne (jugement de valeur, données sensibles, confidentielles, ) Fiche prélable de traitement annotée Fiche prélable de traitement annotée V2.10-2.docx3/6 2014-01-24

DONNÉES OU CATÉGORIES Qu est-ce qu on traite? Catégorie 1 Ex. Identité Catégorie 2 Ex. coordonnées ORIGINE / SOURCE* D où proviennent les données? * Indiquer les organismes et les traitements sources des flux de données entrantes (via des applications par ex.) Ex. Fichier existant (et déclaré) DURÉE DE CONSERVATION** Tant qu elles sont nécessaires ** au traitement puis Suppression DESTINATAIRES*** Durée 1 Destinataires 1 Durée 2 Destinataires 2 Quels destinataires pour quelles catégories de données? Indiquer les organismes et les traitements destinataires des flux de données sortantes (via des applications par ex.) Catégorie 3 Ex. situation professionnelle Ex. saisie par la personne Durée 3 Destinataires 3 Etc. Etc. Etc. Etc. TRANSFERT DES DONNÉES HORS U E OUI/NON (voir le CIL) Le transfert de données hors UE ou dans un pays ne garantissant pas un niveau de sécurité adéquat (CNIL) est soumis à autorisation de la CNIL. OK : Islande, Liechtenstein, Norvège, Andorre, Argentine, Canada, Iles Féroé, l Ile de Man, Guernesey, Jersey, Israël, Uruguay et Suisse sont dans le périmètre reconnu adéquat, ainsi que les États-Unis pour les organismes adhérant au Safe Harbor (accords USA/UE) Info site CNIL - http://www.cnil.fr/vos-responsabilites/le-transfert-de-donnees-a-letranger/ (réglementation) - http://www.cnil.fr/pied-de-page/liens/les-autorites-de-controle-dans-le-monde/ (niveau/pays) (*) Si les données proviennent d un autre fichier, s assurer qu il est bien déclaré et qu on est destinataire autorisé de ces données (information contenue dans la déclaration) (**) La durée de conservation des données est la durée du traitement (jusqu à la fin de leur exploitation) augmentée d une durée où on considère qu elles peuvent encore être occasionnellement utiles au service. Dans cette dernière période, les données sont particulièrement protégées (support différent du support de l exploitation, accès restreint à des personnes bien définies). En tout état de cause, la durée de conservation est finie et définie par la finalité (art. 36) (***) Les personnes ou services chargés de la mise en œuvre ne sont pas des destinataires. S assurer de la légitimité du transfert et de la pertinence des données transmises SÉCURITÉ SÉCURITÉ DES DONNÉES CONFIDENTIALITÉ La sécurité des données est une disposition légale obligatoire (art. 34). Décrire comment elle est assurée : - Sécurité physique (des locaux, des équipements, ) et accès aux équipements - Sécurité logique des fichiers (accès par réseau, accès authentifié, communication sécurisée, données chiffrées, ) - Intégrité des données - Sauvegarde La CNIL propose un document spécifique «annexes de sécurité» à renseigner Décrire les moyens permettant de l assurer (sécurité des accès, le secret professionnel, etc.) Secret professionnel des personnes chargées de la mise en œuvre Clause de confidentialité du/des prestataire/s éventuel/s annexer le document Fiche prélable de traitement annotée Fiche prélable de traitement annotée V2.10-2.docx4/6 2014-01-24

MISE EN ŒUVRE CATÉGORIES DES PERSONNES OU SERVICES CHARGÉS DE LA MISE EN ŒUVRE (MOE) Désigner le service pilote MOE (interne ou externe à l établissement) et le cas échéant, les autres services (internes ou externes à l établissement) qui participent à la mise en œuvre (ex. service informatique, ) Les services externes sont des sous-traitants (cf. rubrique Sous-traitance) RESPONSABLE DE LA MISE EN ŒUVRE Identité et fonction du responsable du projet (service ou composante pilote MOE, équipe ou porteur du projet) MOYENS DE MISE EN ŒUVRE SOUS-TRAITANCE Description de la méthodologie, des moyens humains et matériels En cas de sous-traitance de tout ou partie du traitement par un/des prestataire/s hors établissement, coordonnées du/des prestataire/s sous-traitant/s Chaque prestataire devra fournir une clause de confidentialité signée Si un prestataire héberge tout ou partie des données traitées, il doit en outre produire le document contractuel qui le lie au responsable de traitement (son client) où est spécifiée le niveau de sécurité des données hébergées. Remarques - Observations Informations complémentaires Utiliser cet espace pour l échange écrit avec le référent informatique et libertés Fiche prélable de traitement annotée Fiche prélable de traitement annotée V2.10-2.docx5/6 2014-01-24

Renvois de la FPT Informations complémentaires Ces rubriques doivent être accessibles à tout public en faisant la demande (obligation de transparence de déclaration du traitement) Ces rubriques sont à renseigner pour être en conformité avec la loi I&L (cela dépasse le périmètre de la formalité de déclaration) Annexes à la fiche de traitement (selon le traitement) [Documents à fournir par le responsable du traitement ou le responsable de la MOE] Documents réglementaires CNIL Information aux personnes (obligation légale) Documents réglementaires CNIL (dépend du type de déclaration) : délibération, dispense, norme simplifiée, avis, autorisation, ) Actes réglementaires visés par la CNIL (arrêté, décret, ) Engagement de conformité du traitement à des textes NB1 : la conformité à une dispense de déclaration, une déclaration simplifiée, un acte réglementaire (arrêté, décret), ne dispense pas de l obligation d appliquer la loi sur l ensemble du traitement (information, sécurité, ) NB 2 : La vérification de conformité par rapport à une dispense, une norme simplifiée, à un acte réglementaire peut prendre du temps Documents liés au traitement (questionnaire enquête, ) Tous documents et précisions apportant une information sur les moyens de mise en œuvre du traitement sur la méthodologie, sur la mise en œuvre technique, sur la sécurité, sur l information aux personnes, sur l anonymat (éventuellement), etc. Information sur les délais des formalités de déclaration NB : l existence du CIL allège les formalités (pas de déclaration à la CNIL) mais n en dispense pas. L instruction par le CIL des dossiers de formalités préalables reste nécessaire et les délais d instruction conséquents. A titre de repère : DÉLAI D INSTRUCTION LOCALE DU DOSSIER (RELAIS CIL - CIL - RESP. MOE- EXPERTS - ) 1 à 2 mois (voire plus selon complexité, charges CIL, ) DÉLAI D INSTRUCTION CNIL (S NÉCESSITANT UN AVIS OU UNE AUTORISATION) 1. Demande d AVIS (projet d acte réglementaire de l organisme, soumis à avis CNIL) > 4 à 5 mois Réponse par défaut (pas de réponse au bout de 4 mois) AVIS FAVORABLE 2. Demande d AUTORISATION (données sensibles, interconnexions, transferts hors UE) > 6 à 8 mois (voire plus!) Réponse par défaut (pas de réponse au bout de 4 mois) AVIS DÉFAVORABLE Fiche prélable de traitement annotée Fiche prélable de traitement annotée V2.10-2.docx6/6 2014-01-24

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back