Loi Informatique et libertés Cadre réglementaire · Loi Informatique et libertés Cadre réglementaire 1 – Loi Informatique et Libertés La loi Informatique et Libertés du 6

CIL - Réunion d'information - Octobre 2012 1

Loi Informatique et libertésCadre réglementaire

1 – Loi Informatique et Libertés

La loi Informatique et Libertés du 6 janvier 1978 modifiée par la loi du 6 août 2004 définit les principes à respecter lors de la collecte , du traitement et de la conservation des données personnelles.

Elle renforce le droit des personnes sur leurs données et prévoit une simplification des formalités administratives déclaratives etprécise les pouvoirs de contrôle et de sanction de la CNIL.

2

La CNIL

La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Elle exerce ses missions conformément à la Loi Informatique et Libertés qui la qualifie d’autorité administrative indépendante.

- Le contrôle de la conformité à la Loi des projets de fichiers et traitements

- Le rôle de conseil et d’information

- L’instruction des plaintes

- Le pouvoir de vérification sur place

- Le pouvoir de sanction.

CIL - Réunion d'information - Octobre 2012

3

Définitions

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »« La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement. »

1 – Données personnelles (Art.2 de la Loi Informatique et Libertés)

2 – Traitement

C’est un traitement automatisé ou un fichier manuel de données à caractère personnel dont le responsable est établi sur le territoire français ou qui recourt à des moyens de traitement situés sur ces territoires qui sont régis par la Loi Informatique et Libertés.

Attention : les dispositions de la Loi Informatique et Libertés s’appliquent dès la phase de collecte des données et non pas dès leur mise su r informatique.


4

Qu’est-ce qu’une donnée sensible ?

Les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sontrelatives à la santé ou à la vie sexuelle de celles-ci.

Par principe, la collecte et le traitement de ces d onnées sont interdites.

Cependant, dans la mesure où la finalité du traitement l’exige, ne sont pas soumisà cette interdiction :

- les traitements pour lesquels la personne concernée a donné son consentement exprès

- les traitements justifiés par un intérêt public après autorisation de la CNIL ou décret en Conseil d’Etat.


5

Qu’est-ce qu’une donnée sensible ? (suite)

Autres données à risque :

- Données génétiques

- Données relatives aux infractions pénales, aux condamnations…

- Données comportant des appréciations sur les difficultés sociales des personnes

- Données biométriques

- Données comportant le NIR.


6

Fonctions du CIL

Le Correspondant Informatique et Libertés (CIL) est aussi appelé « Correspondant à la protection des données personnelles (CPDP) »

Le CIL se positionne en intermédiaire entre le responsable des traitements des données concernées et la CNIL. Il est responsable :

- de la création et de la mise à jour d’une liste des traitements effectués

- de la publicité de cette liste

- d’une fonction d’information, de conseil et de recommandation auprès des responsablesdes traitements

- de l’intermédiation CNIL/CNRS

- d’une fonction d’alerte

- de veiller au respect des principes de la protection des données personnelles ; d’informerles personnes au sujet de l’existence de leurs droits d’accès, de rectification et d’opposition. Il reçoit les demandes et réclamations des personnes concernées et les transmet aux services intéressés.

Loi Informatique et libertés - Cadre réglementaire


7

Loi Informatique et libertés - Cadre réglementaire (suite)

Les missions complémentaires du CIL :

• Mener des actions pédagogiques

• Organiser des missions d’audits

• Mener ou faire mener des études de risque

• Elaborer de codes de conduites

• Appliquer


8

Les règles d’or de la protection des données

1 – Le principe de finalité

Les données à caractère personnel ne peuvent être recueillies et traitéesque pour un usage déterminé, explicite et légitime , correspondant aux missions de l’établissement, responsable du traitement.Tout détournement de finalité est passible de sanct ions pénales .

2 – Le principe de proportionnalité

Seules doivent être enregistrées les informations pertinentes et nécessaires pour leur finalité .


9

3 – Le principe de pertinence des données

• Les données personnelles doivent être adéquates , pertinentes et nonexcessives au regard des objectifs poursuivis.

• Interdiction de collecter les données sensibles :. Sauf exceptions (consentements, intérêt public…)

• Interdiction de traiter les infractions, condamnati ons, mesures de sûreté :. Sauf exceptions (juridictions, auxiliaires de justice, etc.)

4 – Le principe de durée limitée de conservation de données

Les informations ne peuvent pas être conservées de façon indéfinie dansles fichiers informatiques.Une durée de conservation doit être établie en fonc tion de la finalité de chaque fichier .

Au-delà les données peuvent être archivées sur un support distinct.

Les règles d’or de la protection des données (suite)


10

5 – Le principe de sécurité et de confidentialité

Le responsable de traitement est astreint à une obligation de sécurité.Il doit faire prendre les mesures nécessaires pour garantir l’intégrité la confidentialité des données et éviter leur divulgation.

6 – Le principe de transparence – Droit à l’informati on

Les personnes doivent être informées, lors du recueil, de l’enregistrement ou de lapremière communication des données :- de la finalité du traitement ;- du caractère obligatoire ou facultatif des réponses et des conséquences d’un

défaut de réponse ;- de l’identité du responsable de traitement ;- des destinataires des données ;- de leurs droits (droit d’accès et de rectification, droit d’opposition)- le cas échéant, des transferts de données vers des pays hors U.E.


Exemple :« les informations recueillies font l’objet d’un traitement informatique destiné à (veuillez préciser la finalité). Les destinataires des données sont…. Conformément à la loi Informatique et Libertés du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à… (préciser le service et l’adresse) »


11


7 - Respect des droits des personnes : droit d’oppo sition

� Toute personne a le droit de s’opposer, pour des motifs légitimes , au traitement de ses données sauf si le traitement répond à une obligation légale (ex : fichiers des impôts) ;

� Tempérament : toute personne a le droit de s’opposer, sans frais et sans motif légitime, à l’utilisation de ses données à des fins de prospection commerciale : droit à la « tranquillité » .

8 - Respect des droits des personnes : droit d’accès et de rectification

� Toute personne peut, directement auprès du responsable des traitements, avoir accès à l’ensemble des informations la concernant, en obtenir la copie et exiger qu’elles soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées


12

Comment réaliser une « collecte licite et loyale » ?

Finalité Déterminée

ExpliciteLégitime

(1)

?

Données- Adéquates- Pertinentes

- Non excessives au regard des finalités

(2)

Durée de conservationlimitée

(3)

Sécurité(4)

Destinataires limités(5)

Respect des droits despersonnes

(6)


13

Qui ? L’autorité, l’organisme, le service qui détermine les finalités du traitement et les moyens (notamment informatiques, financiers, humains) nécessaires à sa mise en œuvre.

Où ? Etabli sur le territoire français (installation stable, quelle que soit sa forme juridique, filiale, succursale…) ou recourt à des moyens de traitement situés sur le territoire français


14

Obligations du responsable de traitement

1. Recueillir le consentement de la personne

2. Respecter les objectifs du fichier (sa finalité)

3. Protéger le fichier

4. Ne pas divulguer les informations

5. Agir dans la transparence – Informer

6. Déclarer les fichiers


15

Dans quels cas s’applique la loi ?

Suis-je en présence

de données à

caractère personnel ?

(art. 2 al. 1er de la loi)

Il ne s’agit pas d’un

traitement mis en œuvre

dans le cadre d’activités

exclusivementpersonnelles

ou à des fins de

copiestemporaires ?

(art. 2 et 4 )

Le responsable du

Traitement estsur le territoirefrançais ou les

moyens de traitements sont

situés sur le territoire français

(art. 5)

Non

Traitement non soumis à la loi « Informatique et Libertés »

Non

T

R

A

I

T

E

M

E

N

T

S

O

U

M

I

S

A

L

A

L

O

I

Un Traitement

de données

est-il mis

en œuvre ?

(art. 2)

OuiOui OuiOui

NonNon


16

Procédure

1. Qui déclare ?

Le responsable de traitement, celui qui met en œuvre le traitement

2. Que déclarer ?

Tout traitement de données à caractère personnel

3. Exceptions :

Certains types de traitement sont dispensés de déclaration (à titre

de communication et d’information par exemple) – si un CIL est

désigné

4. Déclaration simplifiées : par exemple gestion du personnel


17

Différents types de formalités préalables

Déclaration : données à caractère personnel

Autorisation : données sensibles, transfert hors UE, santé,

génétique, infractions, condamnation, recherche en matière

de santé, évaluation des soins…

Demande d’avis : Activités régaliennes de l’Etat (défense,

sureté, sécurité publique, utilisation du NIR)


18

DECLARATION

DECLARATION ORDINAIREDECLARATION SIMPLIFIEE

(si norme simplifiée)

CIL

DEMANDE DE COMPLEMENTS

CIL

TRAITEMENT ENREGISTRE

DEMANDE DE COMPLEMENTS


19

Demande d’autorisation

REFUS AUTORISATION

MISE EN OEUVRE

CNIL

DEMANDE D’AUTORISATION

Silence de 2 mois(ou 4 mois)

RECOURS JURIDICTIONNEL

Demande d’autorisation établie par le CIL

REFUS AUTORISATION

CNIL



20

SECTEUR PUBLIC ET DEMANDE D’AVIS depuis 2004

DEMANDE D’AVIS+ PROJET D’ACTE REGLEMENTAIRE établis par le CIL

CNILSilence de 2 mois

(ou 4 mois)

AVIS FAVORABLE AVIS DEFAVORABLE

ACTE REGLEMENTAIREACTE REGLEMENTAIRE


21

DEMANDE établie par le CIL

COMITECCTIRS

AVIS REFUS

RECOURS JURIDICTIONNEL

CNIL


RECHERCHE / SANTE

Silence d’un mois

AUTORISATION EXPRESSE


22

Quelques exemples de traitements de données à caractère personnel

• Fichiers de paie, RH, fournisseurs …

• Colloques…

• Autocommutateurs téléphoniques, badges, cartes à mémoire, GPS (géolocalisation), reconnaissance biométrique...

• Sites intranet, extranet...

• Annuaires, trombinoscopes, listes d ’adresses…


23CIL - Réunion d'information - Octobre 2012

24CIL - Réunion d'information - Octobre 2012

25

FAQ

Le laboratoire souhaite installer un système de caméras de vidéosurveillance. Quelles sont les démarches à effectuer ?

Qu’elles sont les formalités à effectuer dans le cas de données contenant des photos de personnes ?

En tant que CSSI du laboratoire , je dois déclarer un fichier Excel qui contient IP/MAc adresse et Noms des Personnes du laboratoire pour la PSSI de notre laboratoire. Comment faire ?

Les annuaires de laboratoire et les pages personnelles diffusées sur les sites Web des laboratoires entrent-elles dans la liste des traitements à recenser ?


Documents

Loi Informatique et libertés Cadre réglementaire · Loi Informatique et libertés Cadre réglementaire 1 – Loi Informatique et Libertés La loi Informatique et Libertés du 6