Loi informatique et libertés

32
Quels risques en cas de non-respect de la Loi Informatique et Libertés ? Quels risques en cas de non-respect de la loi informatique et libertés ? Selarl Garnier Roucoux et Associés http://beauvais.gesica.org/fr/ Quels risques en cas de non respect de la Loi Informatique et Libertés ?

description

 

Transcript of Loi informatique et libertés

Page 1: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

Quels risques en cas de non respect de la Loi

Informatique et Libertés ?

Page 2: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

Qu’est-ce que la Loi Informatique et Libertés ?

Quels sont les risques pour la collectivité en cas d’infraction à la LoiInformatique et Libertés ?

Comment de conformer à la Loi Informatique et Libertés ?

Page 3: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

q I – La CNIL, garante de la bonne gestion des données personnelles

A – Historique de la CNIL

B – Les différentes missions de la CNIL

C – Les mots clés de la Loi Informatique et Libertés

D – Que dit la Loi Informatique et Libertés ?

q II – Données personnelles et collectivités locales

A – Les 5 règles d’or de la protection des données personnelles

B – La collecte des données personnelles par une collectivité : les formalités à remplir

C – La sécurité des données personnelles

q III – Le Correspondant Informatique et Libertés, un facteur de sécurité juridique pour les collectivités

A – Les avantages de la désignation d’un CIL

B – Les avantages du CIL mutualisé

C – Exemple pratique d’un audit des fichiers réalisé en collectivité

Page 4: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

Partie 1 :

La CNIL,

Garante de la bonne utilisation des données personnelles

Page 5: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

I – La CNIL, garante de la bonne utilisation des données personnelles

A – Historique de la CNIL

Elément déclencheur : le projet « SAFARI » et la crainte d’un fichagegénéral de la population par l’administration

Deux conséquences directes :

- Le vote de la Loi Informatique et Libertés, destinée à règlementerl’utilisation des données personnelles par les entreprises, administrations,collectivités, etc. ;

- La création de la CNIL, 1ère AAI chargée de veiller à l’applicationde la Loi Info et Libertés et notamment à ce que l’informatique ne porteatteinte ni à l’identité humaine, ni à la vie privée, ni aux libertés individuelleset publiques

Page 6: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

I – La CNIL, garante de la bonne utilisation des données personnelles

B – La CNIL, composition et missions

- Une AAI composée de 17 membres (magistrats,parlementaires, hauts fonctionnaires, etc,) ;

- Dotée d’une présidente, Isabelle Falque-Pierrotin ;- Les membres de la CNIL ne reçoivent d’instruction d’aucune

autorité ;- Budget : 13 millions d’euros / an ;- Services : 160 personnes- Dotée de plusieurs missions : conseil au gouvernement,

mission de règlementation, de contrôle et de sanction

Page 7: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

I – La CNIL, garante de la bonne utilisation des données personnelles

B – La CNIL, composition et missions

Les chiffres clés de la CNIL en 2011 :

1969 délibérations adoptées ;93 avis sur des normes prises par le gouvernement ;151 contrôles relatifs à la vidéo protection ;65 mises en demeure ;13 avertissements ;5 sanctions financières ;2 relaxes.

Page 8: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

I – La CNIL, garante de la bonne utilisation des données personnelles

C – Les mots clés de la Loi Informatique et Libertés

v Donnée à caractère personnel :

q Toute information relative à une personne physique ;

q Identifiée ou susceptible de l’être, directement ou indirectement ;

q Par référence à un numéro d’identification ou non ;

q Exemples concrets : nom, adresse, mais aussi données de géo localisation,nombre de personnes au foyer, etc. ;

q Dans certains cas, même les adresses IP peuvent être considérées comme desdonnées personnelles ;

Page 9: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

I – La CNIL, garante de la bonne utilisation des données personnelles

C – Les mots clés de la Loi Informatique et Libertés

v Traitement :

q Toute opération de collecte, enregistrement, organisation, conservation,modification, extraction, consultation, utilisation, communication, rapprochement,interconnexion, etc. ;

v Fichier :

q Tout ensemble structuré et stable de données à caractère personnel accessiblesselon des critères déterminés

Page 10: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

I – La CNIL, garante de la bonne utilisation des données personnelles

C – Les mots clés de la Loi Informatique et Libertés

v Responsable de traitement :

q L’autorité, l’organisme, le service qui détermine les finalités du traitement et les moyens nécessaires à sa mise en œuvre ;

q C’est la personne morale représentée par le représentant légal de l’organisme : le président de l’EPCI, le maire de la commune, etc. ;

Page 11: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

I – La CNIL, garante de la bonne utilisation des données personnelles

D – Que dit la Loi Informatique et Libertés ?

q Le droit d’information ;

q Le droit d’opposition ;

q Le droit d’accès ;

q Le droit de rectification ;

Page 12: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

Partie 2 :

La gestion des données personnelles par l’entreprise, la collectivité ou l’association

Page 13: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles par l’entreprise

A – Les 5 règles d’or de la protection des données personnelles

q Finalité du traitement ;

q Pertinence des données ;

q Conservation limitée des données ;

q Obligation de sécurité ;

q Respect des droits des personnes à l’information ;

Page 14: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles

A – Les 5 règles d’or de la protection des données personnelles

v Finalité du traitement :

q Les données donnés sont collectées pour une finalité déterminée, explicite et légitime ;

qLa finalité ne doit pas être trop vague ;

qSi changement de finalité, alors obligation de re déclarer le traitement ;

qLe détournement de finalité est pénalement sanctionné ;

Page 15: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles

A – Les 5 règles d’or de la protection des données personnelles

v Pertinence des données :

q Interdiction de collecter les données sensibles qui font apparaitre,directement ou indirectement, les origines raciales ou ethniques,opinions politiques ou religieuses, l’appartenance syndicale ou la viesexuelle ;

q Interdiction de traiter les infractions, condamnations ou mesures desûreté, sauf exceptions ;

Page 16: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles

A – Les 5 règles d’or de la protection des données personnelles

vConservation limitée des données :

q Les données ne peuvent être conservées dans les fichiers au-delà de ladurée nécessaire à la réalisation de la finalité poursuivie ;

q A l’issue de cette durée, les données doivent être archivées, anonymiséesou effacées dans des conditions très précises ;

q L’archivage constitue un bon moyen de se conformer à la Loi Info et Libertés

Page 17: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles

A – Les 5 règles d’or de la protection des données personnelles

v Obligation de sécurité :

q Le responsable de traitement doit veiller au respect de l’intégrité et de laconfidentialité des données ;

q Les données ne peuvent qu’être communiquées qu’à des destinataires légitimeset précisément identifiées ainsi qu’aux personnes autorisées à en connaitre enapplication d’un texte législatif ou règlementaire ;

q Les mesures de sécurité physique et logique doivent être adaptées à la naturedes données et aux risques adaptés à la nature des données ;

q Une DSI, ainsi que le CIL, peuvent être des bons moyens pour se conformer à laLoi Info et Libertés ;

Page 18: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles

A – Les 5 règles d’or de la protection des données personnelles

v Respect des droits à l’information :

q Obligation d’informer l’administré ou le client, lors du recueil de l’information,des finalités du traitement, de leurs droits d’accès, d’opposition et derectification de leurs données personnelles ;

q Toute personne peut, directement auprès du responsable du traitement,avoir accès à l’ensemble des informations la concernant ;

q Délai de réponse de l’administration = 2 mois ;

Page 19: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles

B – La collecte des données personnelles : les formalités à remplir parl’entreprise ou la collectivité

1 – La collecte des données :

Plusieurs mentions obligatoires sur le formulaire de collectes de données,notamment :

- Le caractère obligatoire ou facultatif des réponses ;- Les droits d’accès, de rectification et d’opposition aux données

personnelles ;

A défaut d’une telle mention, possibilité de se voir infliger une amende (Art. 625-10 du code pénal).

Page 20: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles

B – La collecte des données personnelles : les formalités à remplir parla collectivité ou l’entreprise

1 – La collecte des données :

Dans l’idéal, mentionner une phrase type :

v « * : Champ facultatif

v Conformément à la Loi Informatique et Libertés, vous disposez d’un droit d’accès, de rectification et d’opposition au traitement de vos données personnelles. Vous pouvez exercer ce doit auprès du responsable du traitement en envoyant un courrier à la mairie ou un mail à l’adresse suivante : ----@----. »

Page 21: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles

B – La collecte des données personnelles : les formalités à remplir parla collectivité ou l’entreprise

2 – Les formalités préalables :

v Plusieurs types de formalités préalables en fonction de la nature et de la finalité du traitement :

q La déclaration de conformité, Article 9 Loi Info et Libertés ;

q La demande d’autorisation, Article 25 Loi Info et Libertés ;

q La demande d’avis, Article 27 Loi Info et Libertés ;

Page 22: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles par les collectivités

B – La collecte des données par une collectivité : les formalités à remplir

2 – Les formalités préalables :

En réalité, plusieurs solutions en fonction du fichier :

v Soit le fichier relève du régime de la déclaration normale, donc obligation de déclarerle fichier auprès de la CNIL ;

v Soit une norme a été prise pour exonérer certains fichiers de l’obligation dedéclaration : exemple, autorisation unique pour les fichiers de personnel ;

v Ou la collectivité a pris un CIL et celui-ci a réalisé son fichier des fichiers : exonérationde déclaration à la CNIL ;

v Soit le fichier comporte d’autres informations que celles mentionnées dansl’autorisation unique : demande d’avis ou situation illégale au regard d’autresdispositions et donc possible infraction;

Page 23: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles

B – La collecte des données par l’entreprise : les formalités à remplir2 – Les formalités préalables :

v Un exemple : les fichiers relatifs aux agents :

q On va présumer une obligation de déclaration du fichier relatif aux agents ;q Application de l’article 8 de la Loi Info et Libertés ;q Application de la délibération du 9 décembre 2004 décident la dispense de

déclaration des traitements de gestion des rémunérations mis en œuvre parl’Etat, les collectivités locales, etc. et absence d’obligation de déclaration duditfichier ;

q Cette norme énumère la liste des données personnelles pouvant être recueilliess’agissant d’un fichier relatif aux agents de la collectivité ;

q En cas de recueil de données personnelles supplémentaires, illégalité du fichieret/ou nécessité de demander l’autorisation de la CNIL ;

Page 24: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles

B – La collecte des données par l’entreprise : les formalités à remplir

2 – Les formalités préalables :

v D’autres exemples possibles :

q Mise en place de téleservices ;q Vidéo surveillance ;q Vidéo protection ;q Fichiers relatifs aux attestations d’accueil ;q Fichiers relatifs aux missions de police administrative de la police municipale ;q Fichiers relatifs aux missions de police judiciaire de la police municipale ;q VisDGI ;q Etc.

Page 25: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles

v C – La sécurité des données personnelles

q Article 34 Loi Info et Libertés :

« Le responsable du traitement est tenu de prendre toutes précautionsutiles, au regard de la nature des données et des risques présentés parle traitement, pour préserver la sécurité des données et, notamment,empêcher qu'elles soient déformées, endommagées, ou que des tiersnon autorisés y aient accès.

Des décrets, pris après avis de la Commission nationale del'informatique et des libertés, peuvent fixer les prescriptions techniquesauxquelles doivent se conformer les traitements mentionnés au 2° et au6° du II de l'article 8. »

Page 26: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

v C – La sécurité des données personnelles

q Article 35 Loi Info et Libertés :

« Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la partd'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle dusous-traitant, que sur instruction du responsable du traitement.

Toute personne traitant des données à caractère personnel pour le compte du responsable dutraitement est considérée comme un sous-traitant au sens de la présente loi.

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesuresde sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas leresponsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligationsincombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des donnéeset prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

Page 27: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

II – La gestion des données personnelles

v C – La sécurité des données personnelles

C’est une obligation de moyens : le responsable de traitement est tenu de mettre enplace des mesures nécessaires à la sauvegarde des informations détenues par lacollectivité, comme :

q Anonymiser certaines données à caractère personnelles ;q Supprimer certaines informations ou données :q Mettre en place un algorithme ;q Mettre en place des mots de passe renouvelés régulièrement ;q Mettre à jour les anti virus ;q Mettre en place des campagnes de sensibilisation des agents ;q Infos stockées sur un serveur externe ;q Fermer les armoires à clef ;q Etc.

Page 28: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

Partie 3 :

Le Correspondant Informatique et Libertés,

Un facteur de sécurité juridique

Page 29: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

III – Le CIL, un facteur de sécurité juridique

v A –Les avantages à désigner un CIL :

q Le CIL est un intermédiaire entre la CNIL et la collectivité ou l’entreprise ;

q Il dispose de compétences juridiques et informatiques ;

q Il peut être désigné en interne ou être mutualisé

Page 30: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

III – Le CIL, un facteur de sécurité

v A –Les avantages à désigner un CIL :

q Un vecteur de sécurité juridique : il fait bénéficier la structure d’une présomptionde légalité ;

q Un accès personnalisé aux services de la CNIL ;

q Une source de sécurité informatique ;

q La preuve d’un engagement éthique et citoyen ;

q Un facteur de simplification des formalités administratives ;

q Un outil de valorisation du patrimoine informationnel ;

Page 31: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

III – Le CIL, un facteur de sécurité

v B – Les avantages à désigner un CIL mutualisé :

q Vous bénéficiez de l’appui d’un expert au sein de votre collectivité ;

q C’est un facteur de réduction des coûts ;

q Vous bénéficiez d’un interlocuteur privilégié pour toutes vos problématiques quotidiennes ;

q Le CIL mutualisé dispose d’une expérience très riche en se rendant dans plusieurs structures professionnelles

Page 32: Loi informatique et libertés

Quels risques en cas de non-respect de la Loi Informatique et Libertés ?

Le management des risques : Une organisation préparée en vaut deuxQuels risques en cas de non-respect de la loi informatique et libertés ?

Selarl Garnier Roucoux et Associéshttp://beauvais.gesica.org/fr/

MERCI POUR VOTRE ATTENTION

Je reste disponible pour toute question :

Jonathan PORCHER03.44.06.25.90

[email protected]