Autorités et Données personnelles Journée des Correspondants Autorités 2 octobre 2014

Autorités et

Données personnelles

Journée des Correspondants Autorités

2 octobre 2014

2

Cadre réglementaire

Journée des Correspondants Autorités – 2 octobre 2014

3


• La loi N° 78-17 du 6 janvier 1978, relative à l’informatique et aux libertés.

• Modifiée le 6 août 2004 : Renforcement des pouvoirs a posteriori de la

Commission Nationale Informatique et Libertés (CNIL).

Création de la fonction de Correspondant Informatique et Libertés (CIL) (décret 2005).


4


Les missions de la CNIL• Recenser les traitements déclarés.• Informer et conseiller les autorités, les professionnels et

le grand public (site internet, guides, permanence téléphonique, etc.).

• Réglementer (normes, dispenses, autorisations uniques, etc.).

• Contrôler l’application de la loi au sein des organismes.• Sanctionner en cas de non respect de la loi.• Garantir le droit d’accès indirect aux traitements

intéressant la sûreté de l’Etat, la défense et la sécurité publique.


5

Notions générales


6

Notions générales

Qu’est-ce qu’une donnée personnelle ?

(ou donnée à caractère personnel)

Toute donnée permettant d’identifier une personne physique, quel que soit le moyen utilisé, directement, indirectement ou par recoupement d’informations anonymes.


7

• Données directement identifiantesnom, prénom, nom et prénom, nom et prénom et date de naissance, photographie, e-mail nominatif.Þ Dépend de la taille et de la diversité de l’échantillon.

• Données indirectement identifiantesNIR (n° sécurité sociale), adresse IP, téléphone, plaque d’immatriculation, n° dossier client, RIB, n° carte bancaire, empreintes digitales.Þ Nécessite l’accès à un autre fichier pour faire le lien avec la

personne.

• Recoupement d’informations anonymesLe fils du notaire habitant au 11 bd Raspail à Paris.=> Prises séparément, les informations ne permettent pas de remonter

à une personne, leur combinaison oui.Journée des Correspondants Autorités – 2 octobre 2014

Notions générales

8

Notions générales

Qu’est-ce qu’un traitement ?

Toute opération portant sur des données à caractère personnel et répondant à des finalités précises.

Ex : Calames, IdRef, Star, Step, Sudoc, etc.


9

Notions générales

Qui est le responsable de traitement ?

La personne qui détermine la finalité et les moyens du traitement mis en œuvre,

en pratique et en général la personne morale incarnée par son représentant légal.

Ex : Le directeur de l’ABES dans le cadre de tous les traitements mis en œuvre par l’ABES.


10

Notions générales

Cas du sous-traitant

Le sous-traitant traite des données personnelles pour le compte et sous la responsabilité du responsable de traitement.

Ex : Via la convention qu’ils passent avec l’ABES, les établissements des réseaux pourraient être considérés comme des sous-traitants.


11

Notions générales

En résumé, en présence de :• Données à caractère personnel (DCP).• Traitements automatisés de DCP.• Traitements non automatisés de DCP contenues

dans des fichiers structurés selon des critères déterminés.

Þ Application de la loi Informatique et Libertés

(sans formalités préalables pour les fichiers papier).


12

Notions générales

Les 5 règles d’or pour la protection des données

1. Finalité du traitement.

2. Pertinence des données.

3. Conservation limitée des données.

4. Obligation de sécurité et de confidentialité.

5. Respect des droits des personnes :– Droit à l’information.– Droit d’accès, de rectification et d’opposition.


13

Données d’autorité

et Loi

Informatique & Libertés


14

Données d’autorité et Loi Informatique & Libertés

Quelles données personnelles dans les autorités ?Þ Nom et prénom, date de naissance.

Qui est le responsable du traitement des autorités ?Þ Le directeur de l’ABES.

Quelle est la finalité du traitement des autorités ?Þ Attribuer les bons documents aux bons auteurs.Þ Enrichir et normaliser l’indexation d’un document pour une meilleure visibilité.

Comment évaluer la pertinence des données collectées ?Þ Se baser sur la finalité définie (ex : date de naissance et homonymie).

Quelle durée de conservation pour les données d’autorité ?Þ Durée de vie des applications dans lesquelles ces autorités apparaissent.

Quelles obligations de sécurité et de confidentialité ?Þ Bases de données sécurisées par les équipes de l’ABES et du CINES.Þ Gestion rigoureuse des habilitations et droits d’accès.

Qui doit permettre l’exercice des droits des personnes ?Þ L’ABES ainsi que les correspondants dans les établissements.


15

Correspondant Autorités

et Loi

Informatique & Libertés


16

Correspondant Autorités et Loi Informatique & Libertés

Les deux règles à appliquer

• Obligation de sécurité et de confidentialité.

• Respect des droits des personnes :– Droit à l’information.– Droit d’accès, de rectification et

d’opposition.


17


Obligation de sécurité et de confidentialité

• Ne pas transmettre ses identifiants (login, mot de passe) à un tiers.

• Ne pas partager un identifiant entre plusieurs utilisateurs.

• Choisir un mot de passe comportant un minimum de caractères et combinant lettres, chiffres et caractères spéciaux.

• Modifier son mot de passe tous les 3 à 6 mois.• Verrouiller sa session de travail en quittant son poste.


18


Droit à l’information

• Toute collecte de données personnelles doit s’accompagner d’une information claire et précise, par tout moyen approprié, à l’intention de la personne concernée.

• Tous les points suivants doivent être précisés.


19


Droit à l’information

• La finalité du traitementÞ Attribuer les bons documents aux bons auteurs.Þ Enrichir et normaliser l’indexation d’un document pour une meilleure visibilité.

• L’identité du responsable de traitementÞ Le directeur de l’ABES.

• Les destinataires des donnéesÞ Organismes extérieurs (Les personnes traitant des données personnelles dans le cadre

de leurs fonctions ne sont pas considérées comme des destinataires).

• Les droits (accès, rectification, opposition)Þ Services ou personnes auprès de qui ces droits doivent s’exercer.

• Le cas échéant, les transferts de données hors Union Européenne.

Þ Perspective d’un hébergement des données dans un Cloud hors Union Européenne par exemple.


20



21


Droit d’accès• Toute personne peut, directement auprès de

l’ABES ou des établissements, avoir accès à l’ensemble des informations le concernant et en obtenir la copie.

• Deux formes pour la demande : Par écrit (courrier ou courriel) Sur place

• Pas besoin de motiver sa demande.• Nécessité de justifier de son identité.• Délai de 2 mois pour répondre à la demande.


22


Droit de rectification• Lorsque les données personnelles d’une personne

sont inexactes, incomplètes, périmées, cette personne a le droit d’exiger que ces données soient rectifiées, complétées, mises à jour.


• Pas besoin de motiver sa demande.• Nécessité de justifier de son identité.• Nécessité de justifier de la nouvelle valeur.• Délai de 2 mois pour répondre à la demande.


23


Droit d’opposition• Toute personne a le droit de s’opposer, pour des motifs

légitimes, au traitement de ses données, sauf si le traitement répond à une obligation légale (Ex : Star).


• Nécessité de motiver sa demande.• Contestation possible de la légitimité du motif par

l’ABES ou les établissements.• Nécessité de justifier de son identité.• Délai de 2 mois pour répondre à la demande.


24


Préconisations ABES et droit d’opposition• Nom et prénom

Difficile de justifier leur suppression dans le cadre d’un catalogue bibliographique dont la qualité dépend aussi de la qualité des autorités.

Þ Refuser d’accéder à cette demande en expliquant la raison.• Date de naissance

Sa présence permet de gérer les problèmes d’homonymie et donc d’améliorer la qualité du catalogue.

Þ Dans un 1er temps, refuser d’accéder à cette demande en expliquant la raison.

Þ Dans un 2nd temps, si la personne insiste, masquer la date de naissance tout en la conservant dans le catalogue, mais en informer clairement la personne.


25


Préconisations ABES et zones de texte libre• Ne pas inscrire de commentaires sensibles dans

les zones de texte libre.• Ne pas utiliser les zones de texte libre pour y noter

des données personnelles telles que nom, prénom et date de naissance.


26


En résumé, pour le traitement des demandes :• Demander la pièce d’identité officielle (carte d’identité ou

passeport).• Si droit de rectification, demander le justificatif de la nouvelle

valeur.• Si droit d’opposition, faire préciser le motif de la demande.• Traiter la demande à l’aide de messages et formules types fournis

par l’ABES (formations à distance, documents disponibles)

En cas de problème, ne pas hésiter à s’adresser au CIL ABES.• Respecter le délai de traitement de 2 mois, à compter de la

réception de toutes les informations nécessaires.• Après traitement de la demande :

– Supprimer tous les justificatifs.– Informer le CIL ABES de la nature de la demande, du traitement

effectué ainsi que du délai, selon une procédure à venir (début 2015).

Coordonnées du CIL ABES : [email protected]ée des Correspondants Autorités – 2 octobre 2014

27

Démarche de l’ABES auprès de la CNIL


28


Objectif : obtenir une position de principe de la CNIL

• Diffusion de l’Information Scientifique et Technique

L’ABES pourrait-elle appliquer pour ses catalogues le même principe que pour les thèses qui bénéficient d’une obligation légale de signalement ?

Þ Permettrait de refuser systématiquement la suppression d’une notice bibliographique.

• Qualité des catalogues

L’ABES pourrait-elle systématiquement refuser la suppression de la date de naissance dans les notices d’autorité ?

Þ Permettrait de s’en tenir à la 1ère solution évoquée précédemment et d’avoir une cohérence dans les notices d’autorité.

• Licence Etalab et réutilisation des données publiques

Les données personnelles telles que nom, prénom et date de naissance des auteurs ne pourraient-elles pas être considérées comme des données « dites » publiques ?

Þ Permettrait de ne pas avoir à demander le consentement systématique des personnes concernées.Journée des Correspondants Autorités – 2 octobre 2014

29


La licence ETALAB

«…Ne sont également pas des informations publiques susceptibles d’être réutilisées celles qui contiennent des données à caractère personnel, sauf lorsque les personnes intéressées y ont consenti, ou lorsqu’elles ont fait l’objet d’une anonymisation par l’administration, ou lorsqu’une disposition légale ou réglementaire le permet (dans ces trois cas, la réutilisation est subordonnée au respect de la loi n°78-17 du 6 janvier 1978). »


30

Merci

de votre attention !


Documents

Autorités et Données personnelles Journée des Correspondants Autorités 2 octobre 2014