Les Réunions Info Tonic Etre en règle avec la CNIL Mardi 8 octobre 2013
Etre en règle avec la CNIL : La loi CCI de Touraine 8 octobre 2013 Valérie BEL Consultante
Valérie BEL Consultante Juriste à la CNIL de 2000 à 2010 06.03.25.18.37 valerie-bel@laposte.net Conseil et Formation Inventaire des Traitements de Données personnelles Audit de Conformité Formalités CNIL Correspondant (CIL) http://www.viadeo.com/fr/profile/valerie.bel
Plan de la présentation I.- Objet et champ d application de la loi Informatique et Libertés II.- Les grands principes de la protection des données à caractère personnel III.- Les enjeux pour les entreprises IV.- Les fichiers de clients et de prospects V.- Les fichiers de gestion du personnel VI.- La vidéosurveillance
I.- Objet et champ d application de la loi Une loi datant du 6 janvier 1978 (cf. vidéo «Les 30 ans de la CNIL») Débuts de la micro-informatique Projet gouvernemental d interconnexion des grands fichiers administratifs («Safari») Perception de risques pour les libertés individuelles et la vie privée Création de la CNIL, Commission Nationale de l Informatique et des Libertés
I.- Objet et champ d application de la loi Une loi réformée en 2004 Transposition d une directive européenne de 1995 Adaptation de la loi aux évolutions technologiques et aux nouveaux enjeux (ex : internet, biométrie ) Renforcement des pouvoirs de la CNIL (contrôle, sanctions) Modification des formalités préalables Le Correspondant
I.- Objet et champ d application de la loi Un champ d application très large La loi informatique et libertés s applique dès lors que sont traitées des informations relatives à des personnes physiques. Donnée à caractère personnel : Toute information relative à une personne physique, identifiée ou identifiable, directement ou indirectement Elle ne s applique pas aux informations concernant uniquement des personnes morales (entreprises, associations ). Mais attention aux «fichiers mixtes»
II.- Les grands principes de la protection des données à caractère personnel Légitimité et respect de la finalité du traitement (gestion des clients, gestion de la paye des personnels, etc.) Pertinence des données traitées. Interdiction de traiter certaines données («données sensibles») Conservation limitée des données Sécurité et confidentialité Respect des droits des personnes Formalités auprès de la CNIL
Le respect des droits des personnes Droit à l information Information obligatoire des personnes sur: l identité du responsable du traitement, la finalité du traitement, les destinataires des informations, les droits reconnus par la loi. Prend la forme d une mention obligatoire sur les formulaires de collecte. Lorsque les données ne sont pas collectées par le biais de formulaires, l information doit se faire par tout autre moyen approprié (affichage, mention dans les devis ou bons de commande, courriers adressés, etc.)
Le respect des droits des personnes Droit d opposition : Droit pour toute personne de s opposer au traitement de ses données personnelles (sauf si le traitement répond à une obligation légale) «Droit à la tranquillité» : droit absolu de s opposer, sans frais et sans motivation, à l utilisation de ses données à des fins de prospection commerciale. Permettre aux personnes d exercer leur droit d opposition dès la collecte des données : par exemple par le biais d une case à cocher.
Le respect des droits des personnes Droit d accès et de rectification : Toute personne peut, sur simple demande et justification d identité, avoir accès à l intégralité des informations la concernant contenues dans un fichier, et le cas échéant les faire rectifier ou compléter. «Mauvais élèves»! : «Vous avez un problème avec votre abonnement?» (Télévision) «Nous sommes propriétaires des données. En conséquence nous ne les communiquons pas.» (Energie et secteur automobile) «Nous n avons aucune donnée bancaire vous concernant mais nous pouvons les modifier.» (Biens culturels) «Il faudrait nous assigner en justice pour nous forcer à vous donner ces informations.» (Réseau social) «Il est hors de question que je vous fournisse la liste de nos abonnés à notre lettre d informations!» (Ministère)
Les formalités obligatoires auprès de la CNIL Les traitements et fichiers informatiques doivent être déclarés à la CNIL : - obligation légale - transparence -pédagogie Qui doit déclarer? : le responsable du traitement Que faut-il déclarer? : tout fichier ou traitement informatique comportant des données personnelles, sauf dispense de déclaration ou désignation d un CIL
Les formalités obligatoires auprès de la CNIL Certains traitements sont dispensés de déclaration (ex. comptabilité et gestion des fournisseurs, gestion de la paye des personnels), ou peuvent faire l objet de déclarations simplifiées (gestion administrative du personnel, fichiers clients-prospects) Mais il faut dans tous les cas vérifier la conformité du traitement mis en œuvre avec le cadre fixé par la décision correspondante de la CNIL NB : le non respect du cadre fixé équivaut à un défaut de déclaration, passible de sanctions pénales.
Les formalités obligatoires auprès de la CNIL Certains traitements sont soumis à un contrôle préalable et à une autorisation de la CNIL. Exemples : - les traitements de données biométriques (contrôle d accès aux locaux, reconnaissance faciale liée à un dispositif de vidéosurveillance, etc.) - l utilisation du numéro de sécurité sociale en dehors des cas prévus par la loi - les «listes noires» (de mauvais payeurs, fraudeurs ) en dehors des cas prévus par la loi - certains transferts de données en dehors de l Union européenne, y compris dans un cadre de sous-traitance (hébergement informatique )
III.- Les enjeux pour les entreprises Des risques juridiques non négligeables : Existence de sanctions pénales au non respect des dispositions de la loi (articles 226-16 à 226-24 du code pénal) Possibilité de contrôle et de sanction par la CNIL Possibilité de plaintes (clients ) ou contentieux divers (ex. en matière de gestion du personnel) -> Objectif de conformité réglementaire.
III.- Les enjeux pour les entreprises Des enjeux d image Afficher une politique respectueuse des libertés des personnes et de leur vie privée : Gagner et conserver la confiance de ses clients ou usagers Eviter les retombées économiques d atteintes à la protection des données personnelles -> Objectif d image, voire d éthique (à mettre en relation avec la Responsabilité Sociale des Entreprises)
IV.- Les fichiers de clients et de prospects Ils sont le «carburant» de votre entreprise, d où l importance de les respecter! Clarté et précision de l information qui leur est délivrée, en particulier sur l utilisation de leurs données personnelles et leur éventuelle transmission-cession à des tiers Prise en compte de leurs demandes d opposition (à recevoir de la prospection, à la transmission de leurs données ) Consentement préalable («opt-in») exigé pour la prospection électronique (B to C), par fax ou sms Attention aux «zones de libre commentaire» : pas d appréciations subjectives (encore moins d insultes!), pas de données «sensibles»
V.- Les fichiers de gestion du personnel La loi s applique aux données concernant vos collaborateurs, actuels ou futurs. Recrutement : attention aux informations demandées! Gestion de la paye : l utilisation du numéro de sécurité sociale n est autorisée que pour cette finalité Gestion des carrières, évaluations : attention aux commentaires Contrôle ou «surveillance» de l activité des salariés (badgeuses, vidéosurveillance, «cybersurveillance», géolocalisation ) : parfaite information des salariés et le cas échéant des IRP
VI.- La vidéosurveillance Les dispositifs de vidéosurveillance (ou «vidéoprotection») constituent des traitements de données (images des personnes) qui sont soumis à des règles particulières. Objectifs : assurer la sécurité des biens et/ou des personnes Transparence : information sur le dispositif au moyen de panneaux visibles Conservation des enregistrements : un mois maximum Zones filmées : ne pas porter atteinte à la vie privée ou aux droits fondamentaux des personnes
VI.- La vidéosurveillance Quelles formalités? 1. Vidéosurveillance de lieux ouverts au public (entrées et sorties, zones marchandes, caisses ) -> autorisation préfectorale 2. Vidéosurveillance de lieux non ouverts au public (lieux de stockage, zones dédiées au personnel ) -> déclaration à la CNIL
Merci de votre attention! Des questions? Retours d expériences Echanges Valérie BEL Consultante 06.03.25.18.37 valerie-bel@laposte.net La conformité des vos fichiers!
Les prochaines réunions Info Tonic : 19 novembre : Mettre en place des contrats en ligne 10 décembre : Améliorer la visibilité de son site web
4 bis rue Jules Favre BP 41028 37010 Tours Cedex 1 Tél. 02 47 47 20 00 www.touraine.cci.fr