View
104
Download
1
Category
Preview:
Citation preview
FormationInformatique et Libertés
Les principes de la protection des données à caractère personnel et de la vie privée
A destination des personnels A destination des personnels des établissements d’enseignement supérieur et de recherchedes établissements d’enseignement supérieur et de recherche
Licence Creative Commons BY-NC-SA
F o r m a t i o n
Formation Informatique et Libertés
2
Sommaire
1. La loi « Informatique et Libertés » en bref
2. Les grands principes de la protection des données
3. Le rôle du correspondant Informatique et Libertés (CIL)
F o r m a t i o n
Formation Informatique et Libertés
3
1. La loi « Informatique et Libertés »en bref
F o r m a t i o n
Formation Informatique et Libertés
4
La loi « Informatique et Libertés »
La loi du 6 janvier 1978 dite « informatique et libertés »porte création de la Commision Nationale de l’Informatique et des Libertés (CNIL)
Une refonte totale : loi du 6 août 2004transpose la directive européenneadapte la loi aux évolutions technologiques et aux nouveaux enjeux (ex : biométrie)dote la CNIL de nouveaux pouvoirs, avec notamment un pouvoir de sanctionintroduit la fonction de « correspondant à la protection des données à caractère personnel » (CIL)
1. La loi « Informatique et Libertés » en bref
F o r m a t i o n
Formation Informatique et Libertés
5
La CNIL
1. La loi « Informatique et Libertés » en bref
La CNIL dispose en 2009 de 132 postesLe budget global de 13 M€ a été augmenté de 100 % entre 2004 et 2009,
source rapport d'activité 2009
F o r m a t i o n
Formation Informatique et Libertés
6
Missions de la CNIL
Informer les personnes concernées de leurs droits et les responsables de traitements de leurs obligationsVeiller à ce que les traitements soient mis en oeuvre conformément à la loi “Informatique & Libertés”
Contrôler leur conformitéInstruire les plaintesVérifier “sur le terrain”Sanctionner en cas de non-respect de la loi
1. La loi « Informatique et Libertés » en bref
270 contrôles4 265 plaintes91 mises en demeure5 sanctions financières4 avertissements source rapport d'activité 2009
F o r m a t i o n
Formation Informatique et Libertés
7
Les mots-clés « informatique et libertés »
Donnée à caractère personnel
Fichier / traitement
Responsable du traitement
1. La loi « Informatique et Libertés » en bref
F o r m a t i o n
Formation Informatique et Libertés
8
Donnée à caractère personnel
Toute information relative à une personne physique identifiée ou susceptible de l’être, directement ou indirectement par référence à un numéro d’identification (ex: n° de sécurité sociale) ou à un ou plusieurs éléments qui lui sont propres (ex: biométrie…)
Cas de l’établissement de statistiques :Les données collectées sont nominativesLe résultat statistique est anonymeLes données nominatives doivent être supprimées dès obtention des résultats
1. La loi « Informatique et Libertés » en bref
F o r m a t i o n
Formation Informatique et Libertés
9
Fichier : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés
Traitement : toute opération de collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, verrouillage, effacement, destruction (ex: bases de données, applications cartes à puce, sites web transferts de fichiers sur internet…)
Fichier / traitement
1. La loi « Informatique et Libertés » en bref
F o r m a t i o n
Formation Informatique et Libertés
10
Qui ? L’autorité, l’organisme, le service qui détermine les finalités du traitement et les moyens (notamment informatiques) nécessaires à sa mise en œuvre
En pratique :Pour les établissements d’enseignement supérieur (Universités, Grandes Ecoles, Grands Etablissements,...) : Président, Directeur, Administrateur Général,...
Pour les UMR : à déterminer dans le contrat quadriennal entre les différentes tutelles
Responsable du traitement
1. La loi « Informatique et Libertés » en bref
F o r m a t i o n
Formation Informatique et Libertés
11
2. Les grands principes de la protection des données
F o r m a t i o n
Formation Informatique et Libertés
12
Les 5 grands principes
Finalité du traitement
Pertinence des données
Conservation limitée des données
Obligation de sécurité
Respect des droits des personnes
2. Les grands principes de la protection des données
F o r m a t i o n
Formation Informatique et Libertés
13
1) Finalité du traitement
Une finalité déterminée, explicite et légitime Exemples :
Gestion des étudiants (scolarité,…)
La CNIL a refusé que des fichiers de caisses de sécurité sociale soient utilisés pour envoyer de la publicité aux assurés
Pas d’utilisation des fichiers administratifs à des fins de prospection politique…
2. Les grands principes de la protection des données
F o r m a t i o n
Formation Informatique et Libertés
14
2) Pertinence des données
Données adéquates, pertinentes et non excessives au regard de la finalité poursuivie
Protection particulière pour les données sensibles :Données, faisant apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données relatives à la santé ou à la vie sexuelle Le principe est l’interdiction de collecte.
Numéro de sécurité sociale
2. Les grands principes de la protection des données
F o r m a t i o n
Formation Informatique et Libertés
15
3) Conservation limitée des données
Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques.
Une durée de conservation doit être établie en fonction de la finalité de chaque fichier.
Au-delà, elles doivent être archivées ou détruites, dans les conditions définies par l’instruction ministérielle concernant l’enseignement supérieur
2. Les grands principes de la protection des données
F o r m a t i o n
Formation Informatique et Libertés
16
4) Obligation de confidentialité et de sécurité
Les données ne peuvent être consultées que par les services habilités, dans le cadre de leurs fonctions
Le responsable du traitement doit prendre toutes mesures pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement.
2. Les grands principes de la protection des données
F o r m a t i o n
Formation Informatique et Libertés
17
5) Respect des droits des personnes
Le droit à l’information : la condition « sine qua non » pour l’exercice de tous les autres droits
Les personnes doivent être informées lors du recueil, de l’enregistrement ou de la première communication des données :
de la finalité du traitementdu caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse;de l’identité du responsable du traitement;des destinataires des données,de leurs droits (droit d’accès et de rectification, droit d’opposition)le cas échéant, des transferts de données vers des pays hors UE.
2. Les grands principes de la protection des données
F o r m a t i o n
Formation Informatique et Libertés
18
Exemple de mentions d’information :
“ Les informations recueillies font l’objet d’un traitement informatique destiné à ________ (préciser la finalité). Les destinataires des données sont : _________ (précisez).Conformément à la loi “Informatique et Libertés”, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser à __________ (préciser le service).”
2. Les grands principes de la protection des données
5) Respect des droits des personnes
F o r m a t i o n
Formation Informatique et Libertés
19
Le droit d’opposition
Droit de s’opposer, pour des motifs légitimes, au traitement de ses données sauf si le traitement répond à une obligation légale
Droit de s’opposer, sans frais, à l’utilisation de ses données à des fins de prospection commerciale : droit à la
« tranquillité »
2. Les grands principes de la protection des données
5) Respect des droits des personnes
F o r m a t i o n
Formation Informatique et Libertés
20
Le droit d’accès et de rectification
Toute personne justifiant son identité peut gratuitement, sur simple demande, avoir accès à l’intégralité des informations la concernant et les rectifier ou les compléter
Droit d’accès indirect : pour les fichiers intéressant la sûreté, défense ou sécurité publique
2. Les grands principes de la protection des données
5) Respect des droits des personnes
F o r m a t i o n
Formation Informatique et Libertés
21
3. Le rôle du CorrespondantInformatique et Libertés
6 000 organismes ont désigné un CIL.1 500 correspondants sont en activité source : 30ème rapport d'activité 2009
F o r m a t i o n
Formation Informatique et Libertés
22
Une possibilité introduite en 2004 à l’occasion de la
refonte de la loi du 6 janvier 1978 « Le Correspondant est « chargé d’assurer d’une manière indépendante, le respect des obligations prévues dans la présente loi »
La désignation est facultative et ouverte à tout responsable de traitement
Elle entraîne un allègement des formalités
Elle implique un engagement du responsable de traitement vers une meilleure application de la loi
La désignation du CIL
3. Le rôle du Correspondant Informatique et Libertés
F o r m a t i o n
Formation Informatique et Libertés
23
Rôle du CIL vis-à-vis des autres acteurs
CNIL
Responsable de traitements
Services chargésde la mise en oeuvre
Personnes fichées
------------------------------
Mise à jour du registre
Alerte si besoin
Consultation
Projet
Recommandations
Formalités(autorisations,avis)
Demande d’accès
Information
Rapport annuel
Contact privilégié
Aide
3. Le rôle du Correspondant Informatique et Libertés
F o r m a t i o n
Formation Informatique et Libertés
24
En amont des nouveaux traitements
Tout projet de traitement doit être soumis au CIL
Il faut définir :La finalité
Les personnes concernées
Les catégories de données traitées
Les destinataires
La durée de conservation des données
Le contact pour l’exercice du droit d’accès
Les modalités d’information
3. Le rôle du Correspondant Informatique et Libertés
F o r m a t i o n
Formation Informatique et Libertés
25
En amont (suite)
Le CIL évalue, avec les services concernés :La proportionnalité des caractéristiques du traitement par rapport à la finalité
Les besoins de sécurité
Les formalités adéquates
Le CIL émet des recommandations
Le CIL effectue les formalités nécessaires
3. Le rôle du Correspondant Informatique et Libertés
F o r m a t i o n
Formation Informatique et Libertés
26
Les différents types de formalités
Le régime applicable dépend de la sensibilité des données
Graduation : Dispense de formalités Déclaration / inscription sur le registre interne du CIL Demande d’autorisation Demandes d’avis
Attention au délai de traitement pour les demandes d’autorisation et d’avis !!
3. Le rôle du Correspondant Informatique et Libertés
F o r m a t i o n
Formation Informatique et Libertés
27
Le registre des traitements
Le CIL tient le registre interne des traitements
Accessible à tous (comme le « fichier des fichiers » de la CNIL)
Recense :Les traitements relevant du régime de déclaration (obligatoire)Les traitements soumis à avis ou autorisation de la CNIL (conseillé)Les traitements exonérés de formalités (conseillé)
3. Le rôle du Correspondant Informatique et Libertés
F o r m a t i o n
Formation Informatique et Libertés
28
Dans quels cas contacter le CIL ?
Les services gestionnaires peuvent s’adresser au CIL pour avoir des éclairages :
Sur la communication de données à des tiers
Sur la durée de conservation des données
Sur la réponse à donner aux personnes fichées (ex : exercice du droit d’accès des étudiants)
3. Le rôle du Correspondant Informatique et Libertés
F o r m a t i o n
Formation Informatique et Libertés
29
En cas de différend
Le CIL joue un rôle de médiateur
Si le problème subsiste, le CIL alerte le responsable de traitements
Pas de transfert de responsabilité sur le CIL
Recherche de solutions avec le responsable de traitements
Si besoin, le CIL peut saisir, seul ou conjointement avec le responsable de traitements, la CNIL des difficultés rencontrées
N.B. Le CIL n’est pas un délateur au service de la CNIL !!
3. Le rôle du Correspondant Informatique et Libertés
F o r m a t i o n
Formation Informatique et Libertés
30
Diffusion de la culture Informatique et Libertés
Mission d’information et de pédagogie : diffusion de la culture Informatique et Libertés
Le CIL informe l’ensemble des utilisateursInformation tous publics (mentions d’information lors de la collecte,...)
Formation continue des personnels
Formation des étudiants : le CIL peut être associé à la réflexion pédagogique sur le C2i
3. Le rôle du Correspondant Informatique et Libertés
F o r m a t i o n
Formation Informatique et Libertés
31
Conclusion
Un des droits fondamentaux de la personne
Capital “vie privée” à protéger
Acquérir des réflexes Informatique et LibertésEn tant que ficheur
En tant que personne fichée
Prise de conscience des impacts des évolutions technologiques
Merci de votre attention !
Recommended