La CNIL et le CIL mutualisé
Sommaire La CNIL Panorama de la réglementation applicable Définitions Conditions pour recourir à un traitement de données personnelles La liste des formalités préalables Le CIL mutualisé Les raisons de la désignation d'un CIL Les principales missions du CIL Le CIL et la tenue du «registre» Le registre Bilan de l'action du CIL Fin de mission du CIL Droits et responsabilité Les droits des personnes fichées Responsabilité pénale et loi informatique et liberté
LA CNIL Autorité administrative indépendante crée en 1978 composé d'un collège de 17 membres. Elle est chargée de veiller à ce que l'informatique ne porte atteinte ni : à l'identité humaine, aux droits de l'homme, à la vie privée, aux libertés individuelles ou publiques. Elle joue un rôle quotidien d alerte et de conseil auprès des particuliers et des professionnels Elle dispose également d'un pouvoir de contrôle et de sanction sur l'ensemble des traitements de données personnelles
Panorama de la réglementation applicable Loi n 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Convention 108 du Conseil de l Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel Directive européenne 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Loi n 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi du 6 janvier 1978 Ordonnance n 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives Loi n 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d allègement des procédures Loi n 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieur modifiant le régime juridique relatif à la vidéo protection Loi n 2011-334 du 29 mars 2001 relative au défenseur des droits Loi n 2011-525 du 17 mai 2011 de simplification et d'amélioration de la qualité du droit Décret n 2010-112 portant le référentiel général de sécurité
Définitions Données personnelles Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Exemple : nom, prénom, numéro de téléphone, numéro de plaque minéralogique, numéro de parcelle immobilière, numéro de sécurité sociale, empreintes digitales, ADN, le nombre de repas de cantine facturés aux parents d'un enfant... Données sensibles Données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. Conséquences : toute donnée personnelle n'est pas forcément une donnée sensible
Définitions Traitement de données personnelles Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l enregistrement, l organisation, la conservation, l adaptation ou la modification, l extraction, la consultation, l utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l interconnexion, ainsi que le verrouillage, l effacement ou la destruction. Exemple : constitution d'une base de données, l'utilisation d'un autocommutateur téléphonique, un système d'accès par badge ou un site internet. Responsable de traitement Le responsable d un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l autorité publique, le service ou l organisme qui détermine ses finalités et ses moyens. Exemple : Maire, Président du département ou de la région ou de l'epci concerné
Conditions pour recourir à un traitement de données personnelles la finalité Les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, et s il n est pas utilisé pour prendre des décisions à l égard des personnes concernées ; Exemple : un fichier municipal (cadastre, inscriptions scolaires, demandeurs d'emplois...) ne peut être utilisé à des fins commerciales ou politiques la proportionnalité les données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; Exemple : ne pas enregistrer la situation familiale lorsque seuls sont nécessaires au regard de la finalité du traitement le nom et l'adresse de la personne
Conditions pour recourir à un traitement de données personnelles Conservation des données pour une durée limitée les données sont conservées sous une forme permettant l identification des personnes concernées pendant une durée qui n excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Exemple : 1 mois pour les enregistrements vidéos, 2 ans à compter de la dernière aide pour le fichier d'aide social,, 1 an après le dernier contact pour le fichier des demandeurs d'emploi...) sécurité et la confidentialité Le maire ou tout autre représentant légal doit par exemple veiller à mettre en place et gérer le renouvelle ment des mots de passe, ou encore, déterminer diffé rentes règles d accès aux don nées et gérer les habilitations. Le respect du droit des personnes Information/droit d'accès et de rectification/droit d'opposition.
Les formalités préalables L'exonération ou dispense de déclaration Déclaration simplifiée ou déclaration de conformité Norme simplifiée Autorisation unique Acte réglementaire unique Déclaration normale Demande d'autorisation Demande d'avis Déclaration site internet
Les formalités préalables - L'exonération ou dispense de déclaration Finalité du fichier texte de référence Gestion des rémunérations Dispense n 1 Fichier fournisseur Dispense n 4 Gestion dématérialisée (marchés publics, contrôle de légalité) Dispense n 3 Dispense n 5 Gestion des activités sociales et culturelles Dispense n 10 Fichier électoral Dispense n 12 Registre dans le cadre du plan d'alerte et d'urgence départemental en cas de risques exceptionnels Comptabilité générale Conservation archives Décrêt n 204-926 Délibération n 80-34 Article 36 de la loi du 6/01/78 www.cnil.fr/en-savoir-plus/deliberations/dispenses-de-declaration/
Les formalités préalables - Déclaration simplifiée ou déclaration de conformité (NS : norme simplifié) Finalité du fichier consommations de gaz, électricité, eau et redevances d'assainissement facturables Prêts de livres, disques, archives publiques NS n 9 Gestion et facturation des services périscolaires (trasports, restauration, cetres aérés et garderies, musiques,... texte de référence NS n 8 (exception assainissement non collectif NS n 27 Gestion des élèves NS n 33 Etat Civil Cadastre Impôt locaux Gestion courante ressources humaines (carrières, formation, organisation du travail,...) NS n 43 NS n 44 NS n 45 NS n 46 Utilisation des services téléphoniques sur lieux de travail NS n 47 http://www.cnil.fr/en-savoir-plus/deliberations/normes-simplifiees/
Les formalités préalables - Déclaration simplifiée ou déclaration de conformité à une autorisation unique (AU) ou un acte réglementaire unique Finalité du fichier texte de référence Système d'information géographique AU n 1 Gestion des titres de transports AU n 15 Gestion police municipale AU n 16 Téléservice «demande d'actes de naissance» Arrêté du 06/02/06 http://www.cnil.fr/en-savoir-plus/deliberations/autorisations-uniques/
Les formalités préalables - Déclaration normale Finalité du fichier Tout traitement automatisé comportant des données à caractère personnel qui ne rentre pas dans le cadre des cas explicités précédemment. Exemples Gestion des demandes de pièces d'identité, gestion du recensement militaire Observatoire fiscal et aide au recensement des base d'imposition Gestion des cimetières Alerte à la population en cas de risque naturel ou industriel, plan communal de sauvegarde Gestion de l'aide sociale et facultative Système de vidéosurveillance installé dans un lieu public ou ouvert au public lorsque les enregistrements sont contenus dans des fichiers.
Les formalités préalables la demande d'autorisation Finalité du fichier Traitement ayant pour objet l'interconnexion de fichiers dont les finalités sont différentes (SIG, cartes multiapplicatives Traitement des données comportant des appréciations sur les difficultés sociales des personnes Utilisation de données biométriques nécessaires au contrôle de l'identité des personnes (contrôle accès par enregistrement de l'empreinte digitale dans un fichier, vidéosurveillance utilisant une technologie de reconnaissance faciale) commentaires SIG n'entrant pas dans le champ de l'au n 1 Les appréciations doivent être de nature subjective. Dispositif biométriques n'entrant pas dans le champ des AU n 7,8 et 19
Les formalités préalables la demande d'avis Finalité du fichier Utilisation du NIR ou consultation du répertoire national d'identification des personnes physiques Recensement de la population commentaires Si autorisation par décrêt, le traitement est soumis à une déclaration normale Les fichiers mis en place par les communes pour suivre l'avancement du processus de collecte est exonéré. La durée de conservation doit cependant être limité dans le temps. Pas de conservation. Téléservices de l'administration électronique
Les formalités préalables la déclaration de site internet La déclaration site internet Depuis 2006, les sites internet n ont plus à être déclarés en tant que tels. Mais, si vous faites un traitement de données personnelles utilisant un site internet, vous devez vérifier s il faut ou non le déclarer à la CNIL. Pour les sites non marchands Les sites internet des particuliers ; les sites personnels ou «blogs» sont dispensés de déclaration si ils se conforment à la dispense n 6 Sites internet institutionnels sont dispensés de déclaration à la condition qu ils soient conformes à la dispense n 7. Les sites mis en œuvre par les association «loi 1901», qui recueillent et/ou diffusent des données concernant leurs membres et leurs donateurs sont dispensés de déclaration à la condition qu ils soient conformes à la dispense n 8. Pour les sites marchands Les sites de e-commerce relèvent en général de la norme simplifiée n 48 relative aux fichiers de clients et de prospects. Si votre traitement est conforme à cette norme : Faites une déclaration simplifiée Autres cas Faites une déclaration normale
LE CIL mutualisé
Les raisons de la désignation d'un CIL Simplifier les modalités administratives Seuls les traitements identifiés comme sensibles dans la loi demeurent soumis à autorisation et continuent à faire l objet de formalités. Garantir la sécurité juridique certains manquements sont pénalement sanctionnés. Renforcer la sécurité informatique Préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des personnes non autorisées y aient accès. Affirmer un engagement éthique et citoyen Engagement de la collectivité en faveur du respect de la vie privée et des droits des personnes dont les données sont traitées. Valoriser le patrimoine informationnel garantit la possibilité de céder, transmettre ou louer les fichiers détenus par votre organisme dans le respect de la loi «informatique et libertés». Permettre un accès personnalisé aux services de la CNIL une ligne téléphonique,une adresse électronique dédiées et un extranet
Les principales missions du CIL Établissement de la liste des traitements automatisés Elle doit être établie dans les 3 mois qui suivent la désignation du CIL. il s agit de mettre à disposition sur simple demande des informations relatives aux traitements mis en œuvre par un organisme. Veiller au respect de la loi pour les traitements réalisés Sensibilise le responsable des traitements à la culture informatique et libertés(support d'informations, notes, audit...) Répond aux demandes de renseignements et d avis dont il est saisi. il est obligatoirement consulté avant la mise en œuvre d un nouveau traitement ou la modification substantielle d un traitement en cours Exercice d'un droit d'alerte : informe le responsable de traitement des difficultés qu il rencontre dans l exercice de ses missions. Le CIL peut saisir la CNIL. Médiation et coordination : il est le contact privilégié du responsable de traitement et de la CNIL, mais aussi des personnes dont les données sont traitées. Rendre compte de son action Un bilan des activités doit être établit, présenté au responsable des traitements et tenu à la disposition de la CNIL.
Les principales missions du CIL Autres missions - l élaboration des dossiers de formalités auprès de la CNIL pour les traitements non exonérés - l élaboration d une politique de protection des données à caractère personnel (par exemple, dans le cadre d une charte d utilisation sur les moyens informatiques et sur la sécurité, dans le cadre d un règlement intérieur ) ; - la sensibilisation des personnels aux dispositions de la loi sous forme de brochures explicatives, de mesures diffusées sur l extranet, d actions de formation ; - l élaboration et le contrôle de l application de codes de conduite spécifiques
Le CIL et la tenue du registre La mise en place du place du CIL entraîne un allègement des formalités préalable. Cela a pour effet de dispenser des formalités préalables à la mise en œuvre des traitements. En contrepartie le CIL est tenu de tenir un registre. Le registre C'est la liste des traitements automatisés qui sont mis en œuvre par un organisme public ou privé. La constitution du registre La tenue du registre est obligatoire. En cas de CIL mutualisé, celui-ci doit constituer un registre par organisme représenté. Les traitements à recenser Le CIL doit obligatoirement inscrire dans son registre les traitements relevant du régime de la déclaration normale, d une norme simplifiée, d une dispense de déclaration. Pour tous ces traitements, le CIL n enverra aucun dossier de formalité auprès de la CNIL. Attention, la désignation d'un CIL n a pas pour effet d exonérer l organisme des formalités pour les demande d autorisation ou d avis
Le registre Composition d'une fiche de registre - le nom et l adresse du responsable du traitement, - la finalité du traitement, - le service chargé de sa mise en œuvre, - la fonction de la personne ou le service auprès duquel s exerce le droit d accès et de rectification ainsi que leurs coordonnées, - les catégories de données traitées, - les catégories de personnes concernées par le traitement, - les destinataires habilités à recevoir communication des données, - la durée de conservation des données traitées. L'accès au registre Le CIL doit toujours répondre favorablement à une demande d accès et de copie du registre. Pour faciliter l'accès, possibilité de mettre en ligne le registre sur l'intranet ou site internet.
Bilan de l'action du CIL Le CIL doit obligatoirement rédiger chaque année un bilan de ses activités. Quand le bilan d'activités doit-il être rédigé Ce bilan doit être rédigé chaque année, mais il n existe aucune obligation particulière quant à sa date de rédaction. Contenu et forme du bilan d'activités Les textes ne précisent ni le contenu,ni la forme, ni la nature des informations à y faire figurer. Le CIL peut donc y inscrire les éléments qu il jugera utiles et pertinents. L important étant d être relativement exhaustif. Bilan et CIL mutualisés Le CIL mutualisé doit produire un bilan d'activités par organisme Communication du bilan d'activités Le bilan doit être présenté au responsable des traitements et à la CNIL si elle en fait la demande expresse. Toute autre transmission du bilan est soumise à autorisation du responsable des traitements.
Fin de mission du CIL et registre Registre et fin de mission du CIL - si l organisme remplace son CIL Le nouveau correspondant désigné par l organisme poursuivra la tenue et la mise à jour du registre commencé par son prédécesseur. Toutefois, il lui appartiendra de s assurer de la conformité de celui-ci et de refaire éventuellement un audit des traitements mis en œuvre au sein de son organisme. - si l organisme ne souhaite pas désigner un nouveau CIL Il appartiendra alors au responsable des traitements d informer la CNIL de la fin de mission de ce dernier et de déclarer à la CNIL tous les traitements qui ont été inscrits dans le registre du CIL. Pour cela, il disposera d un délai d un mois à compter de la fin de mission de son correspondant.
Droits de personnes et responsabilité pénale
Les droits des personnes fichées Le droit à l'information Les personnes doivent être informées, lors du recueil, de l enregistrement ou de la première communication des données de la finalité du traitement, du caractère obligatoire ou facultatif des réponses et des conséquences d un défaut de réponse, de l identité du responsable du traitement, des destinataires des données. Le droit d'accès et de rectification Toute personne peut, directement auprès du responsable des traitements, avoir accès à l ensemble de ses informations et exiger qu elles soient rectifiées, complétées, mises à jour ou supprimées Cas particulier du droit d accès indirect : Un droit d'accès indirect peut être exercé auprès de la CNIL pour les fichiers intéressant la sûreté de l Etat, la défense ou la sécurité publique (ex : STIC, JUDEX, etc.). Utilisation de ses données : le droit d'opposition Toute personne a le droit de s opposer, pour des motifs légitimes sauf si le traitement répond à une obligation légale (ex : fichiers des impôts), et sans motif dans le cas de prospection commerciale.
Responsabilité pénale et loi informatique et liberté La responsabilité pénale des personnes morales La responsabilité pénale des personnes morales que sont les communes, les départements, les régions et les EPCI, ne peut valablement être engagée en cas de manquement à la loi informatique et liberté car ne concerne pas une activité susceptible de faire l'objet d'une convention de délégation de service public. La responsabilité pénale des personnes physiques : Les maires, les présidents de conseils généraux ou régionaux ainsi que d'établissements publics de coopération intercommunale sont responsables des traitements informatiques mis en œuvre par leurs services et de la sécurité des données personnelles qu'ils contiennent. A ce titre leur responsabilité pénale peut être engagée pour les infractions suivantes :
Responsabilité pénale et loi informatique et liberté Code pénal Partie législative Art 226-16 et suivant Partie réglementaire Art R625-10 et suivants Loi Informatiques et Libertés Délits punis de 5 ans d'emprisonnement et 300 000 d'amende Non respect du cadre fixé par les normes simplifiées ou exonération de la CNIL Non respect de l'obligation de veiller à la sécurité des donénes Collecte de données par un moyen frauduleux, déloyal ou illicte Non respect de l'opposition exprimée par une personne Non respect de la durée de conservation des données prévus par la loi Non respect de la finalité du traitement Divulgation à un tiers n'ayant pas qualité à les recevoir Contraventions de 5ème punies de 1 500 d'amende Non respect des demandes d'information, d'accès et de rectification des personnes tendant à l'exercice de leur droit. Délit puni d'1 an d'emprisonnement et de 15 000 d'amende Entrave à l'action de la CNIL en s'opposant à l'exercice de ses missions
Merci de votre attention