Protection des données et transparence dans le canton de Genève MBA - MAS en Management de la sécurits curité des Systèmes d'information Haute Ecole de Gestion de Genève 7 juin 2011 Par Anne Catherine Salberg, Préposée suppléante
Plan de l'exposé 1. Une nouvelle loi, une nouvelle autorité 2. La protection des données 3. Un exemple de communication des données 4. Exercice : un cas de sous-traitance 5. Conclusion
LIPAD, nouvelle teneur Entrée en vigueur, le 1er janvier 2010, de la loi sur l'information du public, l'accès aux documents et la protection des données personnelles http://www.ge.ch/legislation/rsg/f/rsg_a2_08.html Regroupe la loi sur l'information du public et l'accès aux documents de 2002 (LIPAD; transparence) et la loi sur le traitement automatisé par ordinateur de 1973 (LITAO; protection des données) Opère un changement profond de paradigme
Bureau des prépos posées Composé d'une préposée, Isabelle Dubois, d'une préposée suppléante, Anne Catherine Salberg et de deux collaborateurs (secrétariat; juriste) Les préposées s'acquittent de leurs tâches en toute indépendance (élection) et de manière autonome. Rattachement administratif à la chancellerie, à des fins logistiques
Mission Surveiller la bonne application de la LIPAD Offrir information, services et conseils aux citoyens et aux institutions; gérer les conflits pouvant naître du traitement des données personnelles comme de l'exercice du droit d'accès aux documents Effectuer des contrôles auprès des institutions et émettre des recommandations à leur endroit
Répartition de compétences entre prépos posé fédéral et prépos posés cantonaux Préposé fédéral: traitement de données par des personnes privées et par des organes fédéraux http://www.edoeb.admin.ch/index.html?lang=fr Préposés cantonaux: traitement de données par les organes cantonaux http://www.edoeb.admin.ch/dokumentation/00444/01010/index.html?lang=fr exemples: CFF, TPG, vidéosurveillance, statistiques
Plan de l'exposé 1. Une nouvelle loi, une nouvelle autorité 2. La protection des données 3. Un exemple de communication des données 4. Exercice : un cas de sous-traitance 5. Conclusion
Définitions (art. 4 LIPAD) Données personnelles : toutes les informations se rapportant à une personne physique ou morale de droit privé, identifiée ou identifiable; Données personnelles sont dites "sensibles" si elles portent sur : 1 les opinions ou activités religieuses, philosophiques, politiques, syndicales ou culturelles, 2 la santé, la sphère intime ou l'appartenance ethnique, 3 des mesures d'aide sociale, 4 des poursuites ou sanctions pénales ou administratives; Fichier: tout système destiné à réunir des données personnelles d'un segment de population déterminé et structuré de manière à permettre de relier les informations recensées aux personnes qu'elles concernent.
La protection des données et le dossier des personnes -1 Les dossiers contiennent des données personnelles sensibles (données médicales, financières, ), et sont donc soumis aux articles 35 et suivants de la LIPAD. Leur traitement requiert une base légale formelle et doit être indispensable à l'accomplissement des tâches légales.
La protection des données et le dossier des personnes -2 Les exigences de la LIPAD s'appliquent à tout traitement de données personnelles où quelles soient: dossiers des personnes, dossiers du personnel, et quelle que soit la forme, orale ou écrite Constitue un traitement de données leur collecte, conservation, exploitation, modification, communication, archivage, destruction.
Selon la LIPAD/la LPD le traitement des données personnelles implique qu'elles soient : Pertinentes et nécessaires (art. 35 al. 1 et 36 I a LIPAD/art. 4 al. 2 LPD) Exactes et mises à jour (art. 36 I b LIPAD/art. 5 al. 1 LPD) Collectées de manière reconnaissable (art. 38 LIPAD/art. 4 al. 4 LPD) Détruites ou rendues anonymes (art. 40 LIPAD) Confiées à un tiers: aux mêmes conditions que le mandant qui en garantit la sécurité (art. 37 al. 2 LIPAD et 10a LPD)
Selon la LIPAD/la LPD, le traitement des données personnelles implique qu'elles soient sécuriss curisées (art. 37 LIPAD/art. 7 LPD), à savoir : Protégées contre tout traitement illicite (art. 37 al. 1 LIPAD/art. 7 LPD) Intègres (art. 37 al. 2 LIPAD/art. 8 al. 1 OPD) Disponibles (art. 37 al. 2 LIPAD; art. 8 al. 1 OPD) Tenues confidentielles (art. 37 al. 2 LIPAD; art. 8 al. 1 OPD)
Au cœur c de la transparence et de la protection des données, le catalogue des fichiers Le préposé dresse et tient à jour un catalogue des fichiers des institutions soumises à la loi Le catalogue est public et facilement accessible CatFich : http://www.ge.ch/ppdt/catalogue.asp PFPD: webdatareg https://www.datareg.admin.ch/webdatareg/search/search.aspx?lang=fr
Plan de l'exposé 1. Une nouvelle loi, une nouvelle autorité 2. La protection des données 3. Un exemple de communication des données 4. Exercice : un cas de sous-traitance 5. Conclusion
L'agrément Aval de notre bureau, sous l'angle de la protection des données, à un projet d'une institution, qui lui a été soumis sur une base volontaire Accompagnement d'un projet, par des échanges interdisciplinaires Contrôle préalable, au sens de la réglementation européenne
Exemple n 1: n Agrément portant sur l'utilisation de "Google Analytics" La problématique: transfert de données personnelles à l'étranger (adresse IP) La solution, un engagement éclairé Une programmation des logiciels respectueuse de la protection des données Une protection juridique lors de la communication aux USA (Safe Harbor US-Swiss List) La création d'une rubrique "protection des données" sous l'onglet "mention légale" La création d'une Charte Google Analytics
Plan de l'exposé 1. Une nouvelle loi, une nouvelle autorité 2. La protection des données 3. Un exemple de communication des données 4. Exercice : un cas de sous- traitance 5. Conclusion
Exercice sur un contrat d'infogérance La problématique: conclusion d'un contrat de gestion des services informatiques entre la Ville de Genève et la société Service-now.com avec hébergement informatique de données personnelles par Interoute Managed Services SARL (Infogérance) En sous-groupe de 3: 1. Identifiez les problématiques (5') 2. Imaginez des pistes de solutions (10') 3. Discussion en grand groupe (15')
Exemple n 2: n Agrément portant sur un contrat d'infog infogérance La solution, un engagement éclairé http://www.ge.ch/ppdt/doc/documentations/ppdt_agrement_pd_20 11_I_003_VilleGE.pdf Garantir la sécurité du traitement des données personnelles confiées à un tiers en infogérance Assurer contractuellement la protection des données personnelles Prendre des mesures organisationnelles internes
Plan de l'exposé 1. Une nouvelle loi, une nouvelle autorité 2. La protection des données 3. Un exemple de communication des données 4. Exercice : un cas de sous-traitance 5. Conclusion
Vers la professionnalisation de l'agrément - 1 Collaboration avec le CLUSIS Élaboration d'un questionnaire d'évaluation ciblé sur la protection des données et la transparence Applicabilité à certains organismes privés
Vers la professionnalisation de l'agrément - 2 Applications possibles : Dans l'agrément Dans le point de cohérence Hermès En vue d'un plan d'action par l'entité Intérêt à tester le questionnaire?
En guise de conclusion Favoriser une approche interdisciplinaire Intégrer la protection des données en amont «Privacy by Design» Adopter une attitude transparente en informant sur les processus mis en place
Merci de votre attention Notre bureau se tient à votre disposition: Sur place: 27bd Helvétique, 8 ème étage Par téléphone: 022.546.52.40 Par courriel: ppdt@ge.ch Plus d'informations sur notre site: www.ge.ch/ppdt