Atelier CIL Fondamentaux niveau 1
PLAN I La CNIL : carte de visite II Les mots clefs «informatique et libertés» III Les 5 règles d or de la protection des données IV Les différents régimes de formalités préalables V le CIL
I - La Commission Nationale de I Informatique Informatique et des Libertés
La loi de 1978 et la création de la CNIL. Elément déclencheur : le projet «SAFARI» et la crainte d un fichage général de la population par l Administration. Vote de la loi n 78-17 du 6 janvier 1978. Création de la CNIL : 1 ère Autorité Administrative Indépendante chargée de veiller à l application de la loi et notamment à ce que l informatique ne porte atteinte ni à l identité humaine, ni à la vie privée, ni aux libertés individuelles et publiques
La loi de 1978 modifiée Une refonte totale de la loi le 6 août 2004 pour : transposer la directive européenne de 95 adapter la loi de 78 aux évolutions technologiques et aux nouveaux enjeux (développement exponentiel de l informatique, avènement et consécration de l Internet, développement de la biométrie, etc.) Principales conséquences de la réforme: un renforcement des pouvoirs a posteriori i de la CNIL ; la création de la fonction de Correspondant Informatique et Libertés (CIL)
La CNIL : statut et composition une Autorité Administrative Indépendante composée de 17 membres (hauts magistrats, parlementaires, conseillers économiques et sociaux, personnalités qualifiées) un président élu par ses pairs les membres de la CNIL ne reçoivent d instruction d aucune autorité budget : de l ordre de 13 millions d euros services : 160 personnes
Les missions de la CNIL Informer et conseiller les autorités, les professionnels et le grand public (site internet, t guide, permanence téléphonique, etc.) ; Recenser les traitements déclarés : le «fichier des fichiers» ; Contrôler l application de la loi au sein des organismes; Sanctionner en cas de non respect de la loi ; Réglementer (normes simplifiées, autorisations uniques, recommandations, etc.) ; Garantir le droit d accès indirect aux traitements intéressant la sûreté de l Etat, la défense et la sécurité publique (fichiers STIC, JUDEX, RG, etc.) ;
II -Les mots-clés «informatique et libertés»
Les mots-clés «informatique et libertés» Donnée à caractère personnel (article 2) Traitement (article 2) Responsable de traitement (articles 3 et 5)
Donnée à caractère personnel toute information relative à une personne physique identifiée ou susceptible de l être, directement ou indirectement par référence à un numéro d identification (ex: n de sécurité sociale) ou un ou plusieurs éé éléments qui lui sont propres (ex: empreinte digitale )
Traitement/fichier Traitement: t toute t opération de collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, i verrouillage, effacement, destruction (ex: bases de données, applications cartes à puce, sites web, transferts de fichiers sur internet ) Fichier : tout ensemble structuré et stable de Fichier : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés
Responsable de traitement Qui? L autorité, l organisme, le service qui détermine les finalités du traitement et les moyens (notamment informatiques, financiers, humains) nécessaires à sa mise en œuvre. Où? Etabli sur le territoire français (installation stable, quelle que soit sa forme juridique, filiale, succursale ) ou recourt à des moyens de traitement situés sur le territoire français
Dans quels cas s applique la loi? T R Suis-je en présence de données à caractère personnel? Oui Un Traitement t de données est-il mis Oui Il ne s agit pas d un traitement mis en œuvre dans le cadre d activités exclusivement personnelles ou à en œuvre? des fins de (art. 2 al. 1 er de (art. 2) copies la loi) temporaires? (art. 2 et 4 ) Oui Le responsable du Traitement t est sur le territoire français ou les moyens de traitements sont situés sur le territoire français (art. 5) Oui A I T E M EN T S O U M I S A L A L O I Non Non Non Non Traitement t non soumis à la loi «Informatique et Libertés»
III - Les 5 règles d or de la protection des données
Les 5 règles d or de la protection des données Finalité du traitement (article 6) Pertinence des données (article 6) Conservation limitée des données (article 6) Obligation de sécurité (article 34) Respect des droits des personnes (articles 32, 38 à 40)
1. Finalité du traitement Principe fondamental de la réglementation «informatique et libertés» : les données sont collectées pour une finalité déterminée, explicite et légitime : articles 6 et 7-5 de la loi Ex: la CNIL a refusé que des fichiers de caisses de sécurité sociale soient utilisés pour envoyer de la publicité aux assurés ; pas d utilisation des fichiers administratifs à des fins de prospection politique. Le détournement de finalité est pénalement sanctionné (article 226-21 21 du Code pénal)
2. Pertinence des données Les données traitées doivent être adéquates, pertinentes et non excessives au regard de la finalité poursuivie par le responsable des traitements Interdiction de collecter les données sensibles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale ainsi que les données relatives à la santé ou à la vie sexuelle Sauf exceptions (consentement, intérêt public ) Interdiction de traiter les infractions, condamnations, mesures de sûreté Sauf exceptions (juridictions, auxiliaires de justice, etc.)
3. Conservation limitée des données Les données ne peuvent être conservées dans les fichiers au-delà de la durée nécessaire à la réalisation de la finalité poursuivie (archivage courant conservation en base active). Tempéraments : conservation à des fins administratives i ti (archivage intermédiaire) ou à des fins historique, statistique ou scientifique (archivage définitif : livre II du Code du patrimoine) A l issue de cette durée, elles doivent être archivées, anonymisées ou effacées dans les conditions définies par la loi du 3 janvier 1979 sur les archives (tri) et par les recommandations de la CNIL du 10 mai 1988 (secteur public - n 88-052) et du 11 octobre 2005 (secteur privé - n 2005-213) 213)
4. Obligation de sécurité Le responsable du traitement doit veiller au respect de l intégrité ité et de la confidentialité des données : empêcher qu elles soient déformées, endommagées ou que des tiers non autorisés y aient accès ; Les données ne peuvent être communiquées qu à des destinataires légitimes et précisément identifiés ainsi i qu aux personnes autorisées à en connaître en application d un texte législatif ou réglementaire ; Les mesures de sécurité physique et logique doivent être adaptées à la nature des données et aux risques présentés par le traitement (ex: chiffrement des données sur internet).
5. Respect des droits des personnes - droit à l information Les personnes doivent être informées, lors du recueil, de l enregistrement ou de la première communication des données : de la finalité du traitement ; du caractère obligatoire ou facultatif des réponses et des conséquences d un défaut de réponse ; de l identité du responsable du traitement ; des destinataires des données ; de leurs droits (droit d accès et de rectification, droit d opposition) ; le cas échéant, des transferts de données vers des pays hors UE.
5. Respect des droits des personnes droit d opposition Toute personne a le droit de s opposer, pour des motifs légitimes, au traitement de ses données sauf si le traitement répond à une obligation légale (ex : fichiers des impôts) ; Tempérament: toute personne a le droit de s opposer, sans frais et sans motif légitime, à l utilisation de ses données à des fins de prospection commerciale : droit à la «tranquillité».
5. Respect des droits des personnes - droit d accès et de rectification Toute personne peut, directement auprès du responsable des traitements, avoir accès à l ensemble des informations la concernant, en obtenir la copie et exiger qu elles soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées. Cas particulier du droit d accès indirect : Ce doit s exerce auprès de la CNIL et non auprès du responsable du traitement t et concerne les fichiers intéressant la sûreté de l Etat, la défense ou la sécurité publique (ex : STIC, JUDEX, etc.).
Comment réaliser une «collecte licite et loyale»? Respect des droits des personnes (6) Finalité Déterminée Explicite Légitime (1) Données -adéquates, t - pertinentes, - non excessives au regard des finalités (2)? Destinataires limités (5) Sécurité (4) Durée de conservation limitée (3)
IV - Les formalités préalables
Les formalités préalables Le rôle des formalités préalables : un outil de contrôle «a priori» pour la CNIL Un contrôle a priori gradué selon la «sensibilité» du fichier : de la dispense de déclaration à l autorisation préalable (échelle des formalités)
Les différents régimes de formalités préalables La déclaration : régime de base La demande d avis : pour certains traitements du secteur public La demande d autorisation : -> pour certains traitements «sensibles» relevant majoritairement du secteur privé (article 25) -> pour les transferts de données hors de l union européenne (article 69) -> pour certains traitements du secteur de la santé (chapitre 9 et 10)
La demande d avis (Articles 26 et 27 de la loi) 2 critères d application cumulatifs : Le responsable du traitement est un organisme public (ou privé gérant une mission de service public) Et le traitement : Concerne la sûreté, la défense ou la sécurité publique ou ; Concerne la prévention, la recherche, la constatation ou la poursuite d'infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ou ; Comporte l'utilisation du NIR (numéro de sécurité sociale) ou la consultation du RNIPP (lorsque les organismes ne sont pas déjà habilités) ou ; Comporte l'utilisation de données biométriques ( empreintes digitales, contour de la main, iris de l'oeil oeil, etc.) pour l'authentification ou le contrôle de l'identité des personnes (Ex : passeports biométriques) ou ; Concerne le recensement de la population ou ; Est un téléservice de l'administration électronique (Ex : demandes d actes d état civil sur internet).
La demande d autorisation (Article 25) 2 critères alternatifs : selon les données enregistrées ou selon les finalités - le traitement comporte les données suivantes : données sensibles (article 8) hors professionnels de santé : origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes ; données biométriques : empreintes digitales, contour de la main, iris de l œil, réseau veineux du doigt ; NIR ou n de sécurité sociale (sauf organismes déjà habilités) ; données génétiques - ADN ; données relatives aux infractions, condamnations et mesures de sûreté. - ou le traitement a pour finalité : de permettre d exclure du bénéfice d un droit, duneprestation d une ou d un contrat (Ex. : fichier de mauvais payeurs) ; l interconnexion de fichiers correspondant à des intérêts publics différents ou des finalités différentes (Ex. : croisement de fichiers pour détecter de fraudeurs aux allocations).
La demande d autorisation : les transferts de données hors UE (Articles 68 et suivants de la loi) Les transferts de données envisagés vers un organisme situé dans un pays n appartenant pas à l Union européenne et n assurant pas un niveau de protection suffisant doivent faire l objet d une demande d autorisation. Mesures à prendre pour obtenir l autorisation de la CNIL : - passer un contrat avec le destinataire des données (sur le modèle des clauses contractuelles types proposées par la commission européenne) ; - ou adopter, si le transfert est intra-groupe, des BCR («binding corporate rules», règles internes).
Transferts de données hors UE Tempéraments à la demande d d autorisation ti : - les transferts vers un organisme situé dans un pays hors de l Union européenne mais assurant un niveau de protection suffisant (USA si société adhérente au Safe harbor, Argentine, Canada, Suisse, Guernesey, Ile de Man) => déclaration normale ; - couverts par une des exceptions prévues par l article 69 de la loi (application restrictive par la CNIL) => déclaration normale.
Tableau récapitulatif des formalités préalables en cas de transfert des données traitées hors de l union européenne Nature des garanties prises Transfert vers une société américaine adhérente au «Safe Harbor» ou vers un pays présentant une protection adéquate Transfert vers un pays «non adéquat» mais encadré par les clauses contractuelles types Recours aux exceptions prévues par l article 69 de la loi (appréciation restrictive de la CNIL) Adoption de «Binding corporate rules» (règles internes) au sein d un même groupe Déclaration normale (inscription au registre pour le CIL) Demande d autorisation
La déclaration normale : régime de base C est le régime de base, le plus fréquent Par élimination, si le traitement ne relève ni de la demanded d avis, ni de la demanded d autorisation, il relève de la déclaration normale Ex : fichier de recrutement, vidéosurveillance simple dans un atelier, site internet communautaire, etc.
Les dispenses de formalités Les traitements qui relèvent d une déclaration peuvent être dispensé de toute formalité devant la CNIL par 3 types de moyens : désignation d un CIL : l organisme qui désigne un CIL n a plus de déclarations à faire auprès de la CNIL (déclaration normale et déclaration de conformité à une norme simplifiée) dispense par la CNIL : pour les traitements les plus fé fréquents (ex. : paie du personnel). dispense par un texte spécifique (loi ou décret) (ex : fichiers «canicules» des mairies).
Déclarations simplifiées Pour les traitements les plus courants ne présentant pas de risques pour les libertés individuelles, la CNIL établi des cadres de référence, des déclarations simplifiées Pour les traitements courants relevant d une déclaration normale, la CNIL adopte des normes simplifiées ; Un simple engagement de conformité, sous forme d une déclaration simplifiée, suffit dans ce cas ; cet engagement peut se faire en ligne (rapidité) La liste à jour de ces délibérations est disponible sur le site internet de la CNIL («en savoir plus délibérations»).
Les déclarations simplifiées La CNIL adopte le même type de délibération pour les traitements relevant d une demande d autorisation ou d avis : demande d d autorisation ti : les autorisations ti uniques («AU») demande d avis : les actes réglementaires uniques («ARU») demande d autorisation recherche médicale : la méthodologie de référence (MR-001)
Les formalités devant la CNIL, en pratique Les formulaires : à chaque procédure, un formulaire CERFA toutes les démarches sont dématérialisées depuis mars 2010 : elles s effectuent sur le site internet de la CNIL (www.cnil.fr) Les délais de traitement : récépissé en 48 h pour les déclarations simplifiées ; avis ou autorisation : 2 mois éventuellement renouvelable une fois.
Schéma récapitulatif : les formalités préalables Cas particuliers : aucune formalité Les différents régimes de formalités Dispense de formalité Déclaration normale (Article 22-I) Demande d avis (2 catégories : Article 26 et article 27) Demande d autorisation (4 catégories : Article 25, article 69 alinéa 2 chapitre IX et chapitre X) 2 cas possibles Les simplifications associées Par la loi ou un texte spécial Ex. : article 22-II Déclaration simplifiée (Article 24-I) Avis sur acte réglementaire unique (Articles 26-IV et 27-III) Autorisation unique (Article 25-II) Par la CNIL (Article 24-II) Déclaration unique (uniquement au sein d un même organisme) (Article 23-II) Méthodologie de référence (Chapitre IX, article 54 alinéa 5) Désignation d un CIL = Dispense de formalité devant la CNIL (Article 22-III)
Déterminer le régime de formalité d un traitement Le traitement est-il exonéré de déclaration? (Dispense de déclaration) Oui Non Existe-t-il une mesure de simplification édictée par la CNIL? Oui Non Le traitement est-il effectué pour le compte de l Etat, ou dans le cadre d une mission de service public? Oui Relève de l art art. 27 ou 26? Non Le traitement entraîne-t-il notamment une interconnexion de fichiers, une collecte de données de santé ou le traitement du NIR? (Art. 25) Non Oui Oui Non Pas de déclaration Déclaration simplifiée (engagement de conformité) Demande d avis Déclaration normale Demande d autorisation NB : ce tableau ne traite pas les particuliers des traitements mis en œuvre dans le secteur de la santé ni ceux donnant lieu à un transfert hors de l Union européenne (voir supra).
V - Le Correspondant Informatique et Libertés
La création du CIL Origine : Introduit en 2004 à l occasion de la refonte de la loi informatique et libertés du 6 janvier 1978 par un amendement parlementaire déposé par Monsieur le Président Alex TÜRK. «Cette innovation constitue un tournant majeur dans l application de la loi : l accent est mis sur la pédagogie et le conseil en amont. En effet, désigner un correspondant à la protection des données permet certes de bénéficier d un allègement des formalités déclaratives mais c est surtout s assurer que l informatique de l organisation se développera sans danger pour les droits des usagers, des clients et des salariés. C'est aussi, pour les responsables de fichiers, le moyen de se garantir de nombreux risques vis-à-vis de l'application du droit en vigueur». Alex Türk
La création de la fonction CIL Article 22 III de la loi du 6 janvier 1978 modifiée Objectif : proposer aux responsables de traitements un moyen efficace pour assurer le respect de la réglementation «Informatique et Libertés» Le statut t t du CIL, son rôle, ses missions i et les conditions d exercice de sa fonction ont été précisés par le décret du 20 octobre 2005 => articles 42 à 55
Qui peut exercer les fonctions de Correspondant? Aucun élément précis ne figure dans les textes, la loi indique uniquement que le CIL : est une personne bénéficiant des qualifications requises exerce ses missions de manière indépendante Aucun agrément n est prévu, mais des incompatibilités i ii et des conflits fi d intérêts sont possibles avec certaines fonctions.
Un statut spécifique d indépendance Directement rattaché au responsable des traitements Liberté organisationnelle et décisionnelle => ne reçoit aucune instruction pour l exercice de sa mission et arrête seul les décisions s y rapportant A l abri des conflits d intérêts => ne peut être le responsable du traitement ou un délégataire des pouvoirs propres de ce dernier ou encore un représentant du personnel Une certaine protection vis-à-vis des sanctions => ne peut être déchargé de ses fonctions sans que la CNIL en connaisse les raisons Pas de transfert de responsabilité sur la tête du CIL => n engage que sa responsabilité de droit commun (manquements graves dûment constatés té et directement t imputables à ce dernier)
Modalités de la désignation et conséquences Une liberté de choix lorsque moins de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès => le CIL peut être aussi bien un salarié/agent de l organisme ou du groupe d entités auquel appartient l organisme qu un professionnel indépendant (avocat, expert comptable, consultant, ) Un choix limité lorsque plus de 50 personnes sont chargées de la mise en œuvre des traitements ou y ont directement accès => Pour répondre aux besoins de proximité et de disponibilité, seul peut être désigné CIL : -un salarié de l organisme -un salarié d une des entités du groupe de sociétés auquel appartient l organisme ou du GIE dont ce dernier est membre -Une personne mandatée à cet effet (salarié ou professionnel indépendant) par un organisme professionnel (ex. : syndicat professionnel) ou par un organisme regroupant des responsables de traitements d un même secteur d activité (ex. : EPCI, fédération d associations, ) La fonction de CIL peut aussi être mutualisée entre différents organismes publics ou privés => chaque organisme devra toutefois notifier à la CNIL la désignation du CIL concerné par la mutualisation
Un nouveau concept «Le Correspondant est chargé d assurer d une manière indépendante, le respect des obligations prévues dans la présente loi» Article 22 III de la loi du 6 Article 22 III de la loi du 6 janvier 1978 modifiée
Les missions du CIL Tenir la liste des traitements mis en œuvre au sein de l organisme et assurer son accessibilité => Article 47 du décret de 2005 : «Le responsable des traitements fournit au correspondant tous les éléments lui permettant d établir et d actualiser régulièrement une liste des traitements automatisés mis en œuvre au sein de l organisme au sein duquel il a été désigné et qui, à défaut de désignation d un correspondant, relèveraient des formalités de déclaration prévues par les 22 à 24 de la loi du 6 janvier 1978 modifiée» => Article 48 du décret de 2005 : «Le correspondant tient la liste à la disposition de toute personne qui en fait la demande» => Objectifs : obtenir une vision globale de l utilisation des données personnelles dans l organisme, disposer d un outil de gestion en la matière et garantir, en lieu et place de la CNIL, la nécessaire transparence des traitements soumis au régime de la déclaration normale et simplifiée
Les missions du CIL Veiller, en toute indépendance, au respect par le responsable des traitements des obligations qui lui incombent Diffusion d une «culture Informatique et Libertés» : => le CIL sensibilise le responsable des traitements au contenu de la loi et aux enjeux de la mise en conformité. => il peut élaborer des supports d information, des documents internes de référence, mener des actions de formation, organiser des missions d audit, Conseil et recommandation : => le CIL répond aux demandes de renseignements dont il est saisi => il est obligatoirement consulté avant la mise œuvre d un nouveau traitement ou la modification substantielle d un traitement en cours (modification concernant la finalité du traitement, la durée de conservation des données, les catégories de données traitées, les destinataires, etc.) et peut faire à son responsable toute recommandation
Les missions du CIL Etablissement d un bilan annuel d activité qu il doit transmettre au responsable des traitements => le CIL tient ce bilan à disposition de la CNIL Exercice d un droit d alerte : => le CIL informe le responsable des traitements des manquements constatés et le guide dans les réponses à apporter pour y remédier => il peut toujours saisir la CNIL des difficultés qu il rencontre dans l exercice de ses missions Interface et médiation : => le CIL veille à l effectivité ité des droits des personnes concernées par les traitements (clients/usagers, collaborateurs/agents, ) ; il reçoit leurs demandes et réclamations et les transmet aux services intéressés
Les missions complémentaires du CIL Mener des actions pédagogiques Organiser des missions d audits Mener ou faire mener des études de risque Élaborer de codes de conduite Appliquer les codes.
Les désignations validées 1000 800 600 400 200 85 174 472 567 384 1er trim. 2e trim. 3e trim. 4e trim. 0 2005 2006 2007 2008 2009 2010 1er trim. NON 85 174 472 567 384 2e trim. NON 94 282 819 323 436 3e trim. NON 98 238 770 314 351 4e trim. 11 157 219 795 360 483 TOTAL dé i ti i t é 07 t b 2011 8287 TOTAL désignations enregistrées au 07 septembre 2011 = 8287 NB : après soustraction des désignations refusées, annulées ou en fin de mission, le nombre exact d organismes ayant désigné un CIL est de 8287. de CIL désignés est de 2299.
Conclusion Un nouveau métier? A terme oui Pour l instant : une fonction à intégrer dans des fonctions de contrôle tôl de conformité existantes it t Exigences particulières : nécessaire transversalité importance de l expérience méthodologie propre à chaque organisme
Merci de votre attention!