Activité 1.3 - PARTIE DROIT...demande du laboratoire Galaxy Swiss Bourdin souhaitant gérer l'ensemble des visites. Mais, avant toutes choses, nous allons étudier certains éléments

PPE Contexte de travail GSB Activité 1.3 - PARTIE DROIT

2013-

2015

Victor CHANTELOUP/Anthony DUBOIS/ Jérémy GRONDIN /Jérémy LOPES BTS SIO Option SISR 1ère année

2013-2015

Victor CHANTELOUP Anthony DUBOIS Jérémy GRONDIN Jérémy LOPES

Après avoir équipés les visiteurs médicaux lors du contexte précédent,

nous allons à présent concevoir la nouvelle base de données suite à la

demande du laboratoire Galaxy Swiss Bourdin souhaitant gérer

l'ensemble des visites. Mais, avant toutes choses, nous allons étudier

certains éléments juridiques liés à la protection des données à caractère

personnel dans le cadre de la loi Informatique et Libertés du 6 janvier

1978, réformée par celle du 6 août 2004.

Sommaire

1) Qu'est ce qu'une donnée à caractère personnelle?...................................................... 1

1.1. Définition ..................................................................................................................... 1

1.2. Qui traite ses données? Comment sont-elles traités? .................................................. 1

1.3. Les données de la base ............................................................................................... 3

2) Qu'est ce que la CNIL? .................................................................................................... 4

1.1. Présentation ................................................................................................................. 4

1.2. Fonctionnement ........................................................................................................... 4

3) Quels sont les droits des personnes sur leurs données personnelles? ...................... 6

4) CNIL : Déclarations Normales ........................................................................................ 7

5) Quelles sont les formalités concernant les données des praticiens? ........................ 20

6) Annexes ......................................................................................................................... 21

1.1. Sources ...................................................................................................................... 21

1.2. Formulaire des visiteurs ............................................................................................. 22

1.3. Formulaire des praticiens ........................................................................................... 23

PPE - BTS SIO Option SISR 1ère année 1

1) Qu'est ce qu'une donnée à caractère personnel ?

1.1. Définition

La notion de données personnelles entre en jeu lorsque des données concernant des personnes physiques permettent de les identifier directement ou indirectement. Cette donnée peut être un numéro unique ou même des éléments de l’identité de l’individu tels que des caractères physiques, économiques et sociaux. Il ne s’agit pas uniquement de la vie privée de la personne mais aussi de sa vie professionnelle ou publique. (Référence à l'article 2 de la loi du 6 janvier 1978 modifiée, dite "Informatique et libertés").

Certaines données qui peuvent êtres considérées comme anonymes peuvent

constituer des données à caractère personnel si elles permettent d’identifier,

indirectement ou par vérification d’informations, une personne précise. Cela peut

s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui

permettent de l’identifier et de connaître ses habitudes ou ses goûts..

Les technologies de l’information et de la communication peuvent utiliser de

nombreuses données personnelles (un appel téléphonique, une connexion à Internet

) et aussi des “traces informatiques” facilement exploitables grâce aux progrès des

logiciels, notamment les moteurs de recherche.

Le traitement de ces données peut être justifié par la nécessité ou le consentement

de la personne concernée. Ces informations doivent être à jour.

1.2. Qui traite ses données ? Comment sont-elles traitées ?

Celui qui gère les traitements de données à caractère personnel est appelé responsable du

traitement. Selon la directive européeenne dans son article 2d, reprit pour le changement de

forme de la loi "Informatique et libertés" donne la définition suivante:

"personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui,

seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de

données à caractère personnel"

Sa mission est d’éviter les risques liés à la gestion et l’utilisation des données recueillies. La loi lui fixe donc des obligations. Pour pouvoir être traitées les données doivent avoir été recueillies selon un ensemble de principes qui garantissent la protection des personnes. La directive ne modifie pas ces conditions déjà présentes dans la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Le premier d’entre eux concerne l’obligation que la personne concernée ait donné son consentement ; sont également concernées la qualité des données et les finalités du traitement.


Le consentement est l'un des principes fondamentaux de tous les textes concernant les traitements de données. Ce consentement est défini de la manière suivante : "toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement."

Afin qu'il y est consentement, certaines informations doivent être fournies :

- l'identité du responsable du traitement et, le cas échéant, de son représentant.

- les finalités du traitement auquelles les données sont destinées

- toute information supplémentaire telle que les destinataires ou catégories de

destinataires de données, l'existence d'un droit d'accès à la personne concernée,

concernant ses données.

Certaines données peuvent subir une anonymisation. Cela abouti à la suppression

de données qui ont recueilli auprès d'un individu ou d'un groupe permettant de

l'identifier. Celle-ci doit répondre à certaines conditions:

- La condition première est celle qu’il y ait un responsable ainsi qu’une ou plusieurs

finalités précises (cf. responsable du traitement)

- Les données transmises ne peuvent l’être que si elles sont destinées à des

membres du même milieu professionnel, soumis aux mêmes règles déontologiques.

Le plus souvent celui qui reçoit les données doit pouvoir travailler sur des données

anonymes.

- L’anonymat doit être irréversible et la CNIL est seule habilitée à autoriser la

fourniture de données non anonymisées après examen du projet scientifique. La

publication ou un autre mode d’exploitation des résultats ne peut donner lieu en

aucune manière à une possible identification des personnes.

- L’obligation d’obtenir un consentement préalable peut être levée si retrouver les

personnes concernées s’avère difficile. S’il n’a pas été recueilli de suite, le

consentement doit être obtenu avant le premier traitement. Les demandes de

dérogations sont du ressort exclusif de la CNIL.


1.3. Les données de la base

Dans notre base, les données faisant objet de données à caractère personnel sont :

- Le numéro de sécurité sociale : Il est composé de 15 chiffres. Il défini le sexe de l’individu, l'année de naissance, le mois de naissance, le département de naissance, les numéros d’ordre de la commune de naissance dans le département, les numéros d’ordre de l’acte de naissance dans le mois et la commune, la clé de contrôle. - Les noms: c'est la partie d'un nom de personne qui est transmise à un enfant par l'un de ses parents, ou les deux. - Les adresses : c'est où réside la personne concernée. - La date d’embauche : Le moment où celui-ci signe son contrat - Le numéro du praticien : C'est un identifiant. - Le coefficient de notoriété C'est le nombre de fois où on sollicite un praticien.


2) Qu'est ce que la CNIL?

1.1. Présentation

La CNIL, c’est la Commission Nationale de l’Informatique et des Libertés. Elle existe dans

l’unique but de faire en sorte que l’Informatique n’atteigne pas négativement l’utilisateur sur

son identité, sa vie privée, ses droits ou encore ses libertés.

Cette “autorité administrative indépendante” (une institution de l’Etat qui intervient en son

nom évitant ainsi à ce dernier d’intervenir directement) est qualifiée de telle par la loi

informatique et libertés. Il s’agit de la Loi 78-17 du 6 janvier 1978 modifiée en 2004.

Comme son nom l’indique, c’est une loi qui permet de faire respecter le droit en informatique,

élément essentiel de nos jours quand l’on voit la complexité de ce domaine qui ne cesse de

s’amplifier et d’occuper tous les milieux.

1.2. Fonctionnement :

- Une majorité de ses membres sont élus ou désignés par les juridictions ou assemblées

auxquelles ils appartiennent

- C’est la CNIL qui élit son Président, indépendamment de toute autorité externe

- Elle peut pratiquer en toute liberté, car elle n’a d’oppositions extérieures sur ses propres

actions

- Son budget dépend du budget de l’Etat

- Ses décisions peuvent faire l’objet de recours devant la juridiction administrative

- Le Président de la CNIL peut recruter comme il l’entend ses collaborateurs

Les membres de la CNIL se réunissent une fois par semaine sous l’autorité et l’initiative de

leur Président. Cela est consacré à l’examen de projets de loi et de décrets soumis par le

Gouvernement, pour avis.

Les services que la CNIL propose sont regroupés en 4 directions distinctes, qui sont :

- La direction des études, de l’innovation et de la prospective

- La direction des affaires juridiques, internationales et de l’expertise

- La direction des relations avec les usagers et du contrôle

- La direction des ressources humaines, financières, informatiques et logistiques

Tout traitement de données personnelles à caractère direct ou indirect doit être déclaré à la CNIL (s’il n’y a pas de correspondant informatique et libertés dans l’organisme de rattachement) . C’est la procédure si les données ne sont pas susceptibles de porter atteinte à la vie privée et aux libertés. S’il s’agit de données sensibles, la simple déclaration ne suffit plus et une autorisation doit être demandée à la CNIL. La législation relative aux traitements informatiques encadre plus spécifiquement

certaines données ou certains types de traitement. Ainsi, l’origine raciale ou


ethnique, les opinions politiques, les convictions religieuses ou philosophiques,

l’appartenance syndicales et les données génétiques sont a priori exclues de toute

collecte. Il est possible de faire une demande particulière auprès de la CNIL


3) Quels sont les droits des personnes sur leurs données personnelles?

Une personne peut obtenir des informations sur ses données traitées, tant qu’elle est

strictement identifiée comme étant référent à ces dernières. Elle peut aussi plus

exactement demander au responsable d’un fichier si celui-ci contient ses données

personnelles.

En suivant cette idée, afin que les choses soient claires : n’importe qui peut prendre

connaissance de la totalité des données le concernant, et en obtenir une copie. C’est

inscrit dans le droit communautaire.

Elle va cependant avoir accès à ces critères :

- La finalité du traitement

- Le type de données enregistrées

- L’origine et les destinataires des données

- D’éventuels transferts de ces informations vers des pays n’appartenant pas à

l’UE

On peut aussi noter qu’elle possède le droit de savoir avec quels procédés

informatiques ses données ont été classées.

Les données ainsi vérifiées peuvent êtres corrigées, voire effacées. Toutefois si la

demande est jugée abusive par le responsable, il est en droit d’en refuser la

modification. Un juge pourra être saisi pour juger si l’abus est bien réel.

Si les données ne sont pas à caractère privé et sont conservées en n'excédant pas

une durée nécessaire de conservation pour traitement, la personne ne peut y avoir

accès. Cela en est de même si ce droit porte atteinte au droit d’auteur.

8 rue de Vivienne - 75083 PARIS cedex 02T. 01 53 73 22 22 - F. 01 53 73 22 00www.cnil.fr

DÉCLARATION NORMALE(Article 23 de la loi n° 78-17 du 6 janvier 1978 modifiée en 2004)

CNIL - FORMULAIRE décLARAtIOn nORMALE PAGE 1/6

Déclarant1

Vous êtes un organisme (personne morale) Vous êtes une personne physique * Champs obligatoires

Personne à contacter au sein de l’organisme déclarant si un complément d’information doit être demandé et destinataire du récépissé :

Nom et prénom ou raison sociale* __________________________________________________________

_________________________________________________________________________________________________________________

Service ____________________________________________________________________________________________________

Adresse* __________________________________________________________________________________________________

_________________________________________________________________________________________________________________

Code postal* Ville* ___________________________________________________

Adresse électronique* ______________________________________________________________________________

Sigle (facultatif) ___________________________________________

N° SIRET*

Code APE*

Téléphone*

Fax

n° SIREn cOdE étABLISSEMEnt

Nom et prénom* ____________________________________________________________________________________________________________________________________________________________

Adresse électronique* ____________________________________________________________________________________________________________________________________________________

Service chargé de la mise en œuvre du traitement (lieu d’implantation)2


_________________________________________________________________________________________________________________

Service ____________________________________________________________________________________________________

Adresse* __________________________________________________________________________________________________

_________________________________________________________________________________________________________________




N° SIRET*

Code APE*

Téléphone*

Fax


(Veuillez préciser quel est le service ou l’organisme qui effectue, en pratique, le traitement)

Il s’agit du déclarant lui-même Le traitement est assuré par un tiers (prestataires, sous-traitant) ou un service différent du déclarant, veuillez compléter le

tableau ci-dessous :

Cadre réservé à la CNIL

n° d’enregistrement

N° CERFA 13809*02


DÉCLARATION NORMALE

N° CERFA 13809*02 CNIL - FORMULAIRE décLARAtIOn nORMALE PAGE 2/6

Finalité du traitement*3Quelle est la finalité ou l’objectif de votre traitement (exemple : gestion du recrutement) ?________________________________________________________________________________________________________________________________________________________________________________________________

________________________________________________________________________________________________________________________________________________________________________________________________

________________________________________________________________________________________________________________________________________________________________________________________________

Quelles sont les personnes concernées par le traitement ?* Salariés Usagers Adhérents Clients (actuels ou potentiels) Visiteurs Autres (veuillez préciser) :

________________________________________________________________________________________________________________________________________________________________________________________________

Si vous utilisez une technologie particulière, merci de préciser laquelle (facultatif) : Dispositif sans contact (ex. : RFID, NFC) Mécanisme d’anonymisation Carte à puce Géo localisation (ex.: GPS couplé avec GSM/GPRS)

Vidéoprotection Nanotechnologie Autres (précisez) :

________________________________________________________________________________________________________________________________________________________________________________________________

Données traitées4

Catégories de donnéesOrigine

(comment avez vous collecté ces données ?)

Durée de conservation(combien de temps

conserverez-vous les données sur support informatique ?)

Destinataires (veuillez indiquer les organismes

auxquels vous transmettez les données)

E tat-civil, Identité, Données d’identification

D irectement auprès de la personne concernée

D e manière indirecte,précisez :

1 mois 3 mois 1 an P endant la durée de

la relation contractuelle A utre, précisez :

Destinataires :

V ie personnelle(habitudes de vie, situation familiale, etc.)





Destinataires :










Vie professionnelle(CV, scolarité, formation professionnelle, distinctions, etc.)

Directement auprès de la personne concernée

De manière indirecte,précisez :

1 mois 3 mois 1 an Pendant la durée de

la relation contractuelle Autre, précisez :

Destinataires :

Informations d’ordre économique et financier(revenus, situation financière, situation fiscale, etc.)





Destinataires :

Données de connexion(adresse IP, logs, etc.)





Destinataires :

Données de localisation(déplacements, données GPS, GSM, etc.)





Destinataires :

(4 - Données traitées - suite)










N° de sécurité sociale(NIR)


De manière indirecte, Précisez :



Destinataires :

Infractions, condamnations, mesures de sûreté(réservé aux auxiliaires de justice)





Destinataires :

Opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciale ou ethnique





Destinataires :

Données sensibles5

Echanges de données/interconnexions*6

Procédez-vous à des échanges de données ? Non Oui, avec d’autres services au sein de l’organisme déclarant Oui, avec des organismes extérieurs au déclarant

Sécurité/Confidentialité*7Veuillez cocher les cases correspondant aux mesures de sécurité que vous prenez :

L’accès physique au traitement est protégé (bâtiment ou local sécurisé)

Un procédé d’authentification des utilisateurs est mis en œuvre (ex. : mot de passe individuel, carte à puce, certificat, signature…)

Une journalisation des connexions est effectuée Le traitement est réalisé sur un réseau interne dédié (non relié à internet)

Si des données sont échangées en réseau, le canal de transport ou les données sont chiffrés

En grisé apparaissent les données « sensibles », dont le traitement est particulièrement encadré par la loi : ces données ne peuvent être enregistrées dans un traitement que si elles sont absolument nécessaires à sa réalisation.!




Transferts de données hors de l’Union européenne*8Veuillez cocher la case correspondant à votre situation :

Vous ne transmettez pas les données (le fichier) vers un pays situé hors de l’Union européenne (Passez à la rubrique 9). Vous transmettez tout ou partie des données traitées vers un pays assurant un niveau de protection suffisant (cf. liste à

jour de ces pays sur la carte interactive du site internet de la CNIL, www.cnil.fr), ou vers une société américaine adhérant au safe harbor. Complétez les sous-rubriques 1 à 5.

Vous transmettez tout ou partie des données traitées vers un pays n’assurant pas un niveau de protection suffisant. Complétez toutes les sous-rubriques (1 à 6).

1) Pays destinataire(s) : _____________________________________________________________________________________________________________________________________________________________________________________

N. B. : Si vous transmettez des données vers plusieurs pays, veuillez remplir autant de fois la présente rubrique que de pays

Coordonnées de l’organisme destinataire des données transférées :

Type de destinataire : maison mère filiale sous-traitant partenaire commercial autre (précisez) : _______________________________________________________________________________________________________________

2) Quelle est la finalité du transfert (exemple : centrale d’appel, assistance clientèle, saisie des données, ...) ? _____________________________________________________________________________________________________________________________________________________________________________________

_____________________________________________________________________________________________________________________________________________________________________________________

3) Quelles sont les catégories des personnes concernées par le transfert ? Salariés Usagers Adhérents Patients Etudiants/Elèves _________________ Clients (actuels ou potentiels) Visiteurs Autre. Veuillez préciser _________________________________________________

4) Quelle est la nature des traitements opérés par les destinataires des données (exemple : lecture seule, saisie, ...) ? _____________________________________________________________________________________________________________________________________________________________________________________

_____________________________________________________________________________________________________________________________________________________________________________________

5) Quelles sont les catégories de données transférées ? Etat-civil/identité/données d’identification Vie personnelle Vie professionnelle Informations d’ordre économique et financier Données de connexion Données de localisation N° de sécurité sociale Infractions, condamnations, mesures de sûreté Origines raciales ou ethniques, opinions politiques, philosophiques, religieuses, appartenance syndicale, vie sexuelle

Nom ou raison sociale ____________________________________________

Service ____________________________________________________________________

Adresse ___________________________________________________________________

Code postal

Ville _________________________________________________________________________

Téléphone ____________________________________________________________________

Fax _______________________________________________________________________________

Adresse électronique ____________________________________________________




6) Si le transfert s’effectue vers un pays n’assurant pas un niveau de protection suffisant, sélectionnez les garanties mises en œuvre pour permettre le transfert (cf. liste à jour de ces pays sur la carte interactive du site internet) :

Contrat de responsable de traitement à responsable de traitement (clauses contractuelles types de la commission européenne)

Contrat de responsable de traitement à sous-traitant (clauses contractuelles types de la commission européenne)

Certification « safe harbour » (concerne uniquement les Etats-Unis)

Règles internes (ou « BCR – Binding Corporate Rules »)

Un des cas suivants, prévus par l’article 69 de la loi du 6 janvier 1978 modifiée : La sauvegarde de la vie de la personne La sauvegarde de l’intérêt public Le respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice La consultation d’un registre public L’exécution d’un contrat entre le responsable du traitement et l’intéressé La conclusion ou l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et un tiers

Le consentement de la personne

Le droit d’accès des personnes fichées9Le droit d’accès est le droit reconnu à toute personne d’interroger le responsable d’un traitement pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication. Cf. article 32 de la loi + modèles de mentions dans la notice

Comment informez-vous les personnes concernées par votre traitement de leur droit d’accès ?* Mentions légales sur formulaire Affichage Mentions sur site internet Envoi d’un courrier personnalisé Autres mesures : précisez _____________________________________________________________________________

Veuillez indiquer les coordonnées du service chargé de répondre aux demandes de droit d’accès : Il s’agit du déclarant lui-même Le traitement est assuré par un tiers (prestataires, sous-traitant) ou un service différent du déclarant, veuillez compléter le



_________________________________________________________________________________________________________________

Service ____________________________________________________________________________________________________

Adresse* __________________________________________________________________________________________________

_________________________________________________________________________________________________________________




N° SIRET*

Code APE*

Téléphone*

Fax


Signature du responsable10Je m’engage à ce que le traitement décrit par cette déclaration respecte les exigences de la loi du 6 janvier 1978 modifiée.

Personne responsable de l’organisme déclarant :

Nom et prénom* ______________________________________________________________________________________

Fonction __________________________________________________________________________________________________

Adresse électronique pour l’envoi du récépissé de la déclaration*

_________________________________________________________________________________________________________________

Date* ________ / ________ / ________________

Signature

Les informations recueillies font l’objet d’un traitement informatique destiné à permettre à la CNIL l’instruction des déclarations qu’elle reçoit. Elles sont destinées aux membres et services de la CNIL. Certaines données figurant dans ce formulaire sont mises à disposition du public en application de l’article 31 de la loi du 6 janvier 1978 modifiée. Vous pouvez exercer votre droit d’accès et de rectification aux informations qui vous concernent en vous adressant à la CNIL : 8 rue Vivienne - CS 30223 - 75083 Paris cedex 02.


DÉCLARATION NORMALE(Article 23 de la loi n° 78-17 du 6 janvier 1978 modifiée en 2004)

CNIL - FORMULAIRE décLARAtIOn nORMALE PAGE 1/6

Déclarant1

Vous êtes un organisme (personne morale) Vous êtes une personne physique * Champs obligatoires

Personne à contacter au sein de l’organisme déclarant si un complément d’information doit être demandé et destinataire du récépissé :


_________________________________________________________________________________________________________________

Service ____________________________________________________________________________________________________

Adresse* __________________________________________________________________________________________________

_________________________________________________________________________________________________________________




N° SIRET*

Code APE*

Téléphone*

Fax


Nom et prénom* ____________________________________________________________________________________________________________________________________________________________

Adresse électronique* ____________________________________________________________________________________________________________________________________________________

Service chargé de la mise en œuvre du traitement (lieu d’implantation)2


_________________________________________________________________________________________________________________

Service ____________________________________________________________________________________________________

Adresse* __________________________________________________________________________________________________

_________________________________________________________________________________________________________________




N° SIRET*

Code APE*

Téléphone*

Fax


(Veuillez préciser quel est le service ou l’organisme qui effectue, en pratique, le traitement)

Il s’agit du déclarant lui-même Le traitement est assuré par un tiers (prestataires, sous-traitant) ou un service différent du déclarant, veuillez compléter le


Cadre réservé à la CNIL

n° d’enregistrement

N° CERFA 13809*02




Finalité du traitement*3Quelle est la finalité ou l’objectif de votre traitement (exemple : gestion du recrutement) ?________________________________________________________________________________________________________________________________________________________________________________________________

________________________________________________________________________________________________________________________________________________________________________________________________

________________________________________________________________________________________________________________________________________________________________________________________________

Quelles sont les personnes concernées par le traitement ?* Salariés Usagers Adhérents Clients (actuels ou potentiels) Visiteurs Autres (veuillez préciser) :

________________________________________________________________________________________________________________________________________________________________________________________________

Si vous utilisez une technologie particulière, merci de préciser laquelle (facultatif) : Dispositif sans contact (ex. : RFID, NFC) Mécanisme d’anonymisation Carte à puce Géo localisation (ex.: GPS couplé avec GSM/GPRS)

Vidéoprotection Nanotechnologie Autres (précisez) :

________________________________________________________________________________________________________________________________________________________________________________________________

Données traitées4







E tat-civil, Identité, Données d’identification





Destinataires :

V ie personnelle(habitudes de vie, situation familiale, etc.)





Destinataires :










Vie professionnelle(CV, scolarité, formation professionnelle, distinctions, etc.)





Destinataires :

Informations d’ordre économique et financier(revenus, situation financière, situation fiscale, etc.)





Destinataires :

Données de connexion(adresse IP, logs, etc.)





Destinataires :

Données de localisation(déplacements, données GPS, GSM, etc.)





Destinataires :

(4 - Données traitées - suite)










N° de sécurité sociale(NIR)





Destinataires :

Infractions, condamnations, mesures de sûreté(réservé aux auxiliaires de justice)





Destinataires :

Opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciale ou ethnique





Destinataires :

Données sensibles5

Echanges de données/interconnexions*6

Procédez-vous à des échanges de données ? Non Oui, avec d’autres services au sein de l’organisme déclarant Oui, avec des organismes extérieurs au déclarant

Sécurité/Confidentialité*7Veuillez cocher les cases correspondant aux mesures de sécurité que vous prenez :

L’accès physique au traitement est protégé (bâtiment ou local sécurisé)

Un procédé d’authentification des utilisateurs est mis en œuvre (ex. : mot de passe individuel, carte à puce, certificat, signature…)

Une journalisation des connexions est effectuée Le traitement est réalisé sur un réseau interne dédié (non relié à internet)

Si des données sont échangées en réseau, le canal de transport ou les données sont chiffrés

En grisé apparaissent les données « sensibles », dont le traitement est particulièrement encadré par la loi : ces données ne peuvent être enregistrées dans un traitement que si elles sont absolument nécessaires à sa réalisation.!




Transferts de données hors de l’Union européenne*8Veuillez cocher la case correspondant à votre situation :

Vous ne transmettez pas les données (le fichier) vers un pays situé hors de l’Union européenne (Passez à la rubrique 9). Vous transmettez tout ou partie des données traitées vers un pays assurant un niveau de protection suffisant (cf. liste à

jour de ces pays sur la carte interactive du site internet de la CNIL, www.cnil.fr), ou vers une société américaine adhérant au safe harbor. Complétez les sous-rubriques 1 à 5.

Vous transmettez tout ou partie des données traitées vers un pays n’assurant pas un niveau de protection suffisant. Complétez toutes les sous-rubriques (1 à 6).

1) Pays destinataire(s) : _____________________________________________________________________________________________________________________________________________________________________________________

N. B. : Si vous transmettez des données vers plusieurs pays, veuillez remplir autant de fois la présente rubrique que de pays

Coordonnées de l’organisme destinataire des données transférées :

Type de destinataire : maison mère filiale sous-traitant partenaire commercial autre (précisez) : _______________________________________________________________________________________________________________

2) Quelle est la finalité du transfert (exemple : centrale d’appel, assistance clientèle, saisie des données, ...) ? _____________________________________________________________________________________________________________________________________________________________________________________

_____________________________________________________________________________________________________________________________________________________________________________________

3) Quelles sont les catégories des personnes concernées par le transfert ? Salariés Usagers Adhérents Patients Etudiants/Elèves _________________ Clients (actuels ou potentiels) Visiteurs Autre. Veuillez préciser _________________________________________________

4) Quelle est la nature des traitements opérés par les destinataires des données (exemple : lecture seule, saisie, ...) ? _____________________________________________________________________________________________________________________________________________________________________________________

_____________________________________________________________________________________________________________________________________________________________________________________

5) Quelles sont les catégories de données transférées ? Etat-civil/identité/données d’identification Vie personnelle Vie professionnelle Informations d’ordre économique et financier Données de connexion Données de localisation N° de sécurité sociale Infractions, condamnations, mesures de sûreté Origines raciales ou ethniques, opinions politiques, philosophiques, religieuses, appartenance syndicale, vie sexuelle

Nom ou raison sociale ____________________________________________

Service ____________________________________________________________________

Adresse ___________________________________________________________________

Code postal

Ville _________________________________________________________________________

Téléphone ____________________________________________________________________

Fax _______________________________________________________________________________

Adresse électronique ____________________________________________________




6) Si le transfert s’effectue vers un pays n’assurant pas un niveau de protection suffisant, sélectionnez les garanties mises en œuvre pour permettre le transfert (cf. liste à jour de ces pays sur la carte interactive du site internet) :

Contrat de responsable de traitement à responsable de traitement (clauses contractuelles types de la commission européenne)

Contrat de responsable de traitement à sous-traitant (clauses contractuelles types de la commission européenne)

Certification « safe harbour » (concerne uniquement les Etats-Unis)

Règles internes (ou « BCR – Binding Corporate Rules »)

Un des cas suivants, prévus par l’article 69 de la loi du 6 janvier 1978 modifiée : La sauvegarde de la vie de la personne La sauvegarde de l’intérêt public Le respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice La consultation d’un registre public L’exécution d’un contrat entre le responsable du traitement et l’intéressé La conclusion ou l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et un tiers

Le consentement de la personne

Le droit d’accès des personnes fichées9Le droit d’accès est le droit reconnu à toute personne d’interroger le responsable d’un traitement pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication. Cf. article 32 de la loi + modèles de mentions dans la notice

Comment informez-vous les personnes concernées par votre traitement de leur droit d’accès ?* Mentions légales sur formulaire Affichage Mentions sur site internet Envoi d’un courrier personnalisé Autres mesures : précisez _____________________________________________________________________________

Veuillez indiquer les coordonnées du service chargé de répondre aux demandes de droit d’accès : Il s’agit du déclarant lui-même Le traitement est assuré par un tiers (prestataires, sous-traitant) ou un service différent du déclarant, veuillez compléter le



_________________________________________________________________________________________________________________

Service ____________________________________________________________________________________________________

Adresse* __________________________________________________________________________________________________

_________________________________________________________________________________________________________________




N° SIRET*

Code APE*

Téléphone*

Fax


Signature du responsable10Je m’engage à ce que le traitement décrit par cette déclaration respecte les exigences de la loi du 6 janvier 1978 modifiée.

Personne responsable de l’organisme déclarant :

Nom et prénom* ______________________________________________________________________________________

Fonction __________________________________________________________________________________________________

Adresse électronique pour l’envoi du récépissé de la déclaration*

_________________________________________________________________________________________________________________

Date* ________ / ________ / ________________

Signature

Les informations recueillies font l’objet d’un traitement informatique destiné à permettre à la CNIL l’instruction des déclarations qu’elle reçoit. Elles sont destinées aux membres et services de la CNIL. Certaines données figurant dans ce formulaire sont mises à disposition du public en application de l’article 31 de la loi du 6 janvier 1978 modifiée. Vous pouvez exercer votre droit d’accès et de rectification aux informations qui vous concernent en vous adressant à la CNIL : 8 rue Vivienne - CS 30223 - 75083 Paris cedex 02.


5) Quelles sont les formalités concernant les données des praticiens?

Comme cela a déjà été annoncé avant, les praticiens disposent de droits sur leurs

données personnelles. En effet, nous avons ajouté leurs noms et prénoms dans la

nouvelle base de données.

S’agissant d’informations nominatives, elles permettent clairement d’identifier tel ou

tel praticien.

Ces notions de “données à caractère personnel” sont énoncées dans l’article 2 de la

Loi n° 78-17 du 6 janvier 1978 modifiée en 2004.

Concernant l’accès à ces fichiers, ils sont donc dans le même cas que n’importe

quelle personne physique dont certaines informations nominatives sont injectées

dans une base de données.

Elles sont présentées dans les articles 22 à 31 de la Loi n°78-17 du 6 janvier 1978

modifiée en 2004.

Parmi celles-ci, il est impératif de noter que nous devons déclarer auprès de la CNIL

pour être en mesure d’utiliser cette base de données.

Il existe un grand nombre de règles qui sont regroupées en 3 directives : la

déclaration, l’autorisation et les dispositions communes.


6) Annexes

1.1 Sources

Adresse URL Très bien Bien Assez Bien

http://www.cil.cnrs.fr/CIL/spip.php?article1646 X http://www.donneespersonnelles.fr/qu-est-ce-

qu-une-donnee-personnelle x

http://www.privacycommission.be/fr/lexique/donnee-a-caractere-personnel

x

http://www.defenseurdesdroits.fr/sites/default/files/upload/promotion_de_%20legalite/progress/fi

ches/cnil_fiche_n2.pdf x

http://www.legal-asso.com/donnees,caractere,personnel.php x

Loi 78-17 du 06 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés x

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés |

Legifrance x

Quelques repères juridiques pour les données à caractère personnel dans les banques de données de langue parlée en interaction - Correspondant

Informatique et libertés du CNRS

x

http://www.cil.cnrs.fr/CIL/spip.php?article1646

http://www.donneespersonnelles.fr/qu-est-ce-qu-une-donnee-personnelle

http://www.donneespersonnelles.fr/qu-est-ce-qu-une-donnee-personnelle

http://www.defenseurdesdroits.fr/sites/default/files/upload/promotion_de_%20legalite/progress/fiches/cnil_fiche_n2.pdf



http://www.legal-asso.com/donnees,caractere,personnel.php

http://www.legal-asso.com/donnees,caractere,personnel.php

http://www.marche-public.fr/Marches-publics/Textes/Lois/loi-78-17-CNIL.htm

http://www.marche-public.fr/Marches-publics/Textes/Lois/loi-78-17-CNIL.htm

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624&dateTexte=20080609








Visiteurs médicaux

Formulaire de renseignements

Veuillez saisir ces informations (elles sont obligatoires).

Numéro de sécurité sociale* :

Laboratoire* :

Nom* :

Prénom* :

Adresse* :

Code postal* :

Ville* :

Date d’embauche* :

*Ces informations seront utilisées et répertoriées dans une base de données. Vous êtes en droit de demander des informations auprès du

responsable de cette dernière, d’après les obligations de la CNIL et conformément à l’article 32 de la loi du 6 janvier 1978 modifiée.


Praticiens

Formulaire de renseignements

Veuillez saisir ces informations (elles sont obligatoires).

Nom* :

Prénom* :

Adresse* :

Code postal* :

Ville* :

*Ces informations seront utilisées et répertoriées dans une base de données. Vous êtes en droit de demander des informations auprès du

responsable de cette dernière, d’après les obligations de la CNIL et conformément à l’article 32 de la loi du 6 janvier 1978 modifiée.

Documents

Activité 1.3 - PARTIE DROIT...demande du laboratoire Galaxy Swiss Bourdin souhaitant gérer l'ensemble des visites. Mais, avant toutes choses, nous allons étudier certains éléments