Formation Informatique et Libertés

FormationInformatique et Libertés

Les principes de la protection des données à caractère personnel et de la vie privée

A destination des personnels A destination des personnels des établissements d’enseignement supérieur et de recherchedes établissements d’enseignement supérieur et de recherche

Licence Creative Commons BY-NC-SA

F o r m a t i o n

Formation Informatique et Libertés

2

Sommaire

1. La loi « Informatique et Libertés » en bref

2. Les grands principes de la protection des données

3. Le rôle du correspondant Informatique et Libertés (CIL)

F o r m a t i o n


3

1. La loi « Informatique et Libertés »en bref

F o r m a t i o n


4

La loi « Informatique et Libertés »

La loi du 6 janvier 1978 dite « informatique et libertés »porte création de la Commision Nationale de l’Informatique et des Libertés (CNIL)

Une refonte totale : loi du 6 août 2004transpose la directive européenneadapte la loi aux évolutions technologiques et aux nouveaux enjeux (ex : biométrie)dote la CNIL de nouveaux pouvoirs, avec notamment un pouvoir de sanctionintroduit la fonction de « correspondant à la protection des données à caractère personnel » (CIL)


F o r m a t i o n


5

La CNIL


La CNIL dispose en 2009 de 132 postesLe budget global de 13 M€ a été augmenté de 100 % entre 2004 et 2009,

source rapport d'activité 2009

F o r m a t i o n


6

Missions de la CNIL

Informer les personnes concernées de leurs droits et les responsables de traitements de leurs obligationsVeiller à ce que les traitements soient mis en oeuvre conformément à la loi “Informatique & Libertés”

Contrôler leur conformitéInstruire les plaintesVérifier “sur le terrain”Sanctionner en cas de non-respect de la loi


270 contrôles4 265 plaintes91 mises en demeure5 sanctions financières4 avertissements source rapport d'activité 2009

F o r m a t i o n


7

Les mots-clés « informatique et libertés »

Donnée à caractère personnel

Fichier / traitement

Responsable du traitement


F o r m a t i o n


8

Donnée à caractère personnel

Toute information relative à une personne physique identifiée ou susceptible de l’être, directement ou indirectement par référence à un numéro d’identification (ex: n° de sécurité sociale) ou à un ou plusieurs éléments qui lui sont propres (ex: biométrie…)

Cas de l’établissement de statistiques :Les données collectées sont nominativesLe résultat statistique est anonymeLes données nominatives doivent être supprimées dès obtention des résultats


F o r m a t i o n


9

Fichier : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés

Traitement : toute opération de collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, verrouillage, effacement, destruction (ex: bases de données, applications cartes à puce, sites web transferts de fichiers sur internet…)

Fichier / traitement


F o r m a t i o n


10

Qui ? L’autorité, l’organisme, le service qui détermine les finalités du traitement et les moyens (notamment informatiques) nécessaires à sa mise en œuvre

En pratique :Pour les établissements d’enseignement supérieur (Universités, Grandes Ecoles, Grands Etablissements,...) : Président, Directeur, Administrateur Général,...

Pour les UMR : à déterminer dans le contrat quadriennal entre les différentes tutelles

Responsable du traitement


F o r m a t i o n


11


F o r m a t i o n


12

Les 5 grands principes

Finalité du traitement

Pertinence des données

Conservation limitée des données

Obligation de sécurité

Respect des droits des personnes


F o r m a t i o n


13

1) Finalité du traitement

Une finalité déterminée, explicite et légitime Exemples :

Gestion des étudiants (scolarité,…)

La CNIL a refusé que des fichiers de caisses de sécurité sociale soient utilisés pour envoyer de la publicité aux assurés

Pas d’utilisation des fichiers administratifs à des fins de prospection politique…


F o r m a t i o n


14

2) Pertinence des données

Données adéquates, pertinentes et non excessives au regard de la finalité poursuivie

Protection particulière pour les données sensibles :Données, faisant apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données relatives à la santé ou à la vie sexuelle Le principe est l’interdiction de collecte.

Numéro de sécurité sociale


F o r m a t i o n


15

3) Conservation limitée des données

Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques.

Une durée de conservation doit être établie en fonction de la finalité de chaque fichier.

Au-delà, elles doivent être archivées ou détruites, dans les conditions définies par l’instruction ministérielle concernant l’enseignement supérieur


F o r m a t i o n


16

4) Obligation de confidentialité et de sécurité

Les données ne peuvent être consultées que par les services habilités, dans le cadre de leurs fonctions

Le responsable du traitement doit prendre toutes mesures pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.

Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement.


F o r m a t i o n


17

5) Respect des droits des personnes

Le droit à l’information : la condition « sine qua non » pour l’exercice de tous les autres droits

Les personnes doivent être informées lors du recueil, de l’enregistrement ou de la première communication des données :

de la finalité du traitementdu caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse;de l’identité du responsable du traitement;des destinataires des données,de leurs droits (droit d’accès et de rectification, droit d’opposition)le cas échéant, des transferts de données vers des pays hors UE.


F o r m a t i o n


18

Exemple de mentions d’information :

“ Les informations recueillies font l’objet d’un traitement informatique destiné à ________ (préciser la finalité). Les destinataires des données sont : _________ (précisez).Conformément à la loi “Informatique et Libertés”, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser à __________ (préciser le service).”



F o r m a t i o n


19

Le droit d’opposition

Droit de s’opposer, pour des motifs légitimes, au traitement de ses données sauf si le traitement répond à une obligation légale

Droit de s’opposer, sans frais, à l’utilisation de ses données à des fins de prospection commerciale : droit à la

« tranquillité »



F o r m a t i o n


20

Le droit d’accès et de rectification

Toute personne justifiant son identité peut gratuitement, sur simple demande, avoir accès à l’intégralité des informations la concernant et les rectifier ou les compléter

Droit d’accès indirect : pour les fichiers intéressant la sûreté, défense ou sécurité publique



F o r m a t i o n


21

3. Le rôle du CorrespondantInformatique et Libertés

6 000 organismes ont désigné un CIL.1 500 correspondants sont en activité source : 30ème rapport d'activité 2009

F o r m a t i o n


22

Une possibilité introduite en 2004 à l’occasion de la

refonte de la loi du 6 janvier 1978 « Le Correspondant est « chargé d’assurer d’une manière indépendante, le respect des obligations prévues dans la présente loi »

La désignation est facultative et ouverte à tout responsable de traitement

Elle entraîne un allègement des formalités

Elle implique un engagement du responsable de traitement vers une meilleure application de la loi

La désignation du CIL

3. Le rôle du Correspondant Informatique et Libertés

F o r m a t i o n


23

Rôle du CIL vis-à-vis des autres acteurs

CNIL

Responsable de traitements

Services chargésde la mise en oeuvre

Personnes fichées

------------------------------

Mise à jour du registre

Alerte si besoin

Consultation

Projet

Recommandations

Formalités(autorisations,avis)

Demande d’accès

Information

Rapport annuel

Contact privilégié

Aide


F o r m a t i o n


24

En amont des nouveaux traitements

Tout projet de traitement doit être soumis au CIL

Il faut définir :La finalité

Les personnes concernées

Les catégories de données traitées

Les destinataires

La durée de conservation des données

Le contact pour l’exercice du droit d’accès

Les modalités d’information


F o r m a t i o n


25

En amont (suite)

Le CIL évalue, avec les services concernés :La proportionnalité des caractéristiques du traitement par rapport à la finalité

Les besoins de sécurité

Les formalités adéquates

Le CIL émet des recommandations

Le CIL effectue les formalités nécessaires


F o r m a t i o n


26

Les différents types de formalités

Le régime applicable dépend de la sensibilité des données

Graduation : Dispense de formalités Déclaration / inscription sur le registre interne du CIL Demande d’autorisation Demandes d’avis

Attention au délai de traitement pour les demandes d’autorisation et d’avis !!


F o r m a t i o n


27

Le registre des traitements

Le CIL tient le registre interne des traitements

Accessible à tous (comme le « fichier des fichiers » de la CNIL)

Recense :Les traitements relevant du régime de déclaration (obligatoire)Les traitements soumis à avis ou autorisation de la CNIL (conseillé)Les traitements exonérés de formalités (conseillé)


F o r m a t i o n


28

Dans quels cas contacter le CIL ?

Les services gestionnaires peuvent s’adresser au CIL pour avoir des éclairages :

Sur la communication de données à des tiers

Sur la durée de conservation des données

Sur la réponse à donner aux personnes fichées (ex : exercice du droit d’accès des étudiants)


F o r m a t i o n


29

En cas de différend

Le CIL joue un rôle de médiateur

Si le problème subsiste, le CIL alerte le responsable de traitements

Pas de transfert de responsabilité sur le CIL

Recherche de solutions avec le responsable de traitements

Si besoin, le CIL peut saisir, seul ou conjointement avec le responsable de traitements, la CNIL des difficultés rencontrées

N.B. Le CIL n’est pas un délateur au service de la CNIL !!


F o r m a t i o n


30

Diffusion de la culture Informatique et Libertés

Mission d’information et de pédagogie : diffusion de la culture Informatique et Libertés

Le CIL informe l’ensemble des utilisateursInformation tous publics (mentions d’information lors de la collecte,...)

Formation continue des personnels

Formation des étudiants : le CIL peut être associé à la réflexion pédagogique sur le C2i


F o r m a t i o n


31

Conclusion

Un des droits fondamentaux de la personne

Capital “vie privée” à protéger

Acquérir des réflexes Informatique et LibertésEn tant que ficheur

En tant que personne fichée

Prise de conscience des impacts des évolutions technologiques

Merci de votre attention !

Formation Informatique et Libertés

Documents

Transcript of Formation Informatique et Libertés