projet personnel encadre 1 - Weebly
Transcript of projet personnel encadre 1 - Weebly
0
PROJET PERSONNEL ENCADRE 1.3 Partie juridique
BELLAZAAR Rayane Corizzi Lucas
DU BOISHAMON Arnaud PICO Alexandre
Table des matières
INTRODUCTION ..................................................................................................................................................................... 1
PREMIERE PARTIE : LES DONNEES A CARACTERE PERSONNELLES ET LA CNIL .................................................................... 1 - 8
LES DONNEES A CARACTERE PERSONNELLES ..................................................................................................................................... 1 - 2
LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES (CNIL) ................................................................................................ 2
LE ROLE DE LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES (CNIL) .................................................................................2
LES DROITS DES PERSONNES SUR LEURS DONNEES PERSONNELLES ........................................................................................................ 3 - 8
SECONDE PARTIE : LA DECLARATION NORMALE DE LA CNIL ........................................................................................... 9 - 11
TROISIEME PARTIE : EVOLUTION DE LA BASE DE DONNEES ......................................................................................... 12 - 15
CONCLUSION ....................................................................................................................................................................... 16
GRILLE D'ANALYSE DES DOCUMENTS ........................................................................................................................... 17 – 19
ANNEXES (DECLARATIONS + AUTORISATION) ................................................................................................................... 20 - ?
1
Introduction
Afin de garantir une gestion optimale des visites réalisées par ses visiteurs médicaux, le
laboratoire Galaxy Swiss Bourdin a fait appel à nos services pour la mise en place de sa nouvelle
base de données. L’équipe juridique étant absente lors de la réalisation du projet, Galaxy Swiss
Bourdin nous a demandé de prendre en charge tous les éléments liés à la protection des données
qui sont inscrites dans la nouvelle base de données en se référant, à la loi Informatique et Libertés
du 6 Janvier 1978 ayant été réformé par la loi du 6 Août 2004.
C’est à travers un projet s’étendant sur une durée d’un mois que nous vous expliquerons chaque phases qui permettront la déclaration de la nouvelle base de données de GSB auprès de la Commission nationale de l'informatique et des libertés (CNIL).
I. Première partie : Les données à caractère personnel et la CNIL.
La loi informatique et libertés du 6 janvier 1978 (modifiée en août 2004) définit les principes à respecter lors de la collecte, du traitement et de la conservation des informations relatives à des personnes physiques.
a) Les données à caractère personnel.
D’après la loi du 6 janvier 1978 (relative à l’informatique, aux fichiers et aux libertés,) modifié par
la loi n°2004-801 du 6 août 2004 (relative à la protection des personnes physiques à l’égard des
traitements de données à caractère personnel), une « donnée à caractère personnel » est une
information relative à une personne identifiée, ou qui permet d’identifier une personne physique,
directement grâce à son nom ou à son prénom par exemple ou indirectement avec des informations
tel que le numéro de téléphone ou bien le numéro de plaque minéralogique.
Les données ayant un caractère personnel sont :
Toutes les informations dont le recoupement permet d’identifier une personne précise
(exemple: l’ADN).
Les technologies de l’information et de la communication qui génèrent de nombreuses
données personnelles (exemple: une connexion internet)
Les traces informatiques facilement exploitables (exemple : les moteurs de recherche).
Les divers identifiants (exemple: les identifiants créer par l’état pour l’identification des
citoyens).
2
Dans le cadre de notre projet, le laboratoire Galaxy Swiss Bourdin possèdent des données ayant un
caractère personnel. En effet dans la base de données nous auront accès aux noms, prénoms,
adresses, dates d’embauches et numéros de sécurités sociales des visiteurs médicaux. De plus, nous
aurons accès aux noms, adresses et diplômes des praticiens qui ne sont pas considéré comme des
salariés du laboratoire pharmaceutique.
b) Commission nationale de l'informatique et des libertés (CNIL).
Créée par la loi n°78-17 du 6 janvier 1978, Commission nationale de l'informatique et des
libertés (CNIL), est une autorité administrative indépendante composée de 17 membres :
4 parlementaires (2 députés, 2 sénateurs).
2 membres du Conseil économique et social.
6 représentants des hautes juridictions (2 conseillers au Conseil d'État, 2 conseillers à la
Cour de cassation, 2 conseillers à la Cour des comptes)
5 personnalités qualifiées désignées par le Président de l’Assemblée nationale
(1 personnalité), par le Président du Sénat (1 personnalité), par le conseil des ministres (3
personnalités).
La CNIL élit son président parmi ses membres, elle ne reçoit d’instruction d’aucune autorité et
dispose de son propre budget.
c) Le rôle de la Commission nationale de l'informatique et des libertés (CNIL)
La Commission nationale de l'informatique et des libertés (CNIL), est chargée de veiller à ce
que l’informatique ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie
privée, ni aux libertés individuelles ou publiques.
Elle a pour principales missions, d’une part, de contrôler que la mise en œuvre de traitements
automatisés de données à caractère personnel s’effectue dans le respect des dispositions de la loi
informatique et libertés et d’autre part, d’informer les personnes des droits et obligations qui leur
sont reconnus par la même loi. La CNIL peut également sanctionner tout abus ou pratiques
irrégulière par un avertissement, une mise en demeure ou encore une sanction financière. Dans le
cadre d’un problème ayant un taux de gravité plus élevé, elle peut saisir le parquet.
3
d) Les droits des personnes sur leurs données personnelles.
Le droit des données personnelles se définie comme l'ensemble des règles qui permettent à une
personne physique d'exercer un contrôle sur l’utilisation des ses données personnelles par autrui.
La loi confère quatre types de droits aux personnes dont les données à caractère personnel sont
collectées et/ou traitées :
o Le droit à l'information :
En vertu de l'article 32 de la loi du 6 janvier 1978, toute personne a le droit de savoir si elle est
fichée et dans quel fichier elle est recensée.
Le responsable du traitement ou du fichier contenant des données à caractère personnel doit,
fournir aux personnes concernées les informations suivantes :
L'identité du responsable du traitement.
L'objectif de la collecte d'informations.
Le caractère obligatoire ou facultatif des réponses.
Les conséquences de l'absence de réponse.
Les destinataires des informations.
Les droits reconnus à la personne.
Les éventuels transferts de données vers un pays hors de l'Union européenne.
En cas de présence d’un réseau informatique, les personnes doivent être informées de l'emploi de
témoins de connexion (cookies, variables de session...) et de la récupération d'informations sur la
configuration de leurs ordinateurs (systèmes d'exploitation…).
4
Extrait de l’article 32 de la loi du 6 janvier 1978 :
Source : http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/
5
o Le droit d'opposition
Le droit d'opposition est prévu à l'article 38 de la loi du 6 janvier 1978. Il donne à toute personne la
possibilité, pour des motifs légitimes, de s'opposer à figurer dans un fichier quelconque.
Le droit d'opposition se manifeste de plusieurs manières :
le refus de répondre lors d'une collecte de données pour laquelle la réponse n'est pas
obligatoire.
Le refus de donner l'accord écrit obligatoire pour le traitement de données sensibles.
la faculté de demander la radiation des données contenues dans des fichiers commerciaux.
la possibilité d'interdire la cession ou la commercialisation des informations (généralement
en cochant la case correspondante dans les formulaires de collecte).
Le droit d'opposition peut donc être exercé au moment de la collecte des données en s'adressant
directement au responsable des fichiers collectés.
Extrait de l’article 38 de la loi du 6 janvier 1978 :
Source : http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/
6
o Le droit d'accès
Le droit d'accès est prévu aux articles 39, 41 et 42 de la loi du 6 janvier 1978.
Ce droit permet à toute personne justifiant de son identité d'interroger le responsable pour savoir
s'il détient des informations la concernant, et, le cas échéant, d'en obtenir communication.
La personne concernée peut s'informer sur divers points :
Les finalités du traitement.
Le type de données enregistrées.
L'origine des données.
Les destinataires des données.
Les éventuels transferts vers des pays n'appartenant pas à l'Union européenne.
L'exercice du droit d'accès permet le contrôle de l'exactitude des données. Il peut être limité dans
les cas suivants :
En cas de demande manifestement abusive (en cas de contentieux, le responsable du
traitement devra apporter la preuve du caractère abusif) ;
Lorsque les données sont conservées sous une forme ne présentant aucun risque d'atteinte à
la vie privée et pendant une durée n'excédant pas celle nécessaire à l'établissement de
statistiques ou à la recherche scientifique ou historique ;
En cas d'atteinte au droit d'auteur, le droit d'accès est exercé directement auprès de l'entité
qui détient les informations.
7
Extrait de l’article 39 de la loi du 6 janvier 1978 :
Extrait de l’article 41 de la loi du 6 janvier 1978 :
Extrait de l’article 41 de la loi du 6 janvier 1978 :
8
o Le droit d’accès indirect
Le droit d’accès indirect est une procédure spécifique qui concerne :
Les fichiers intéressant la sûreté de l’Etat, la défense et la sécurité publique Le fichier des comptes bancaires FICOBA détenu par l'administration fiscale.
o Le droit de rectification
Prévu par l'article 40 de la loi du 6 janvier 1978 modifiée, le droit de rectification permet à toute
personne de :
Rectifier
Compléter
Actualiser
Verrouiller
Effacer
Les informations la concernant lorsque des erreurs ou des inexactitudes ont été décelées ou que la collecte, l'utilisation, la communication ou la conservation de ces données est interdite. Pour exercer ce droit, il faut écrire à l'organisme qui détient les informations. Celui-ci doit prouver qu'il a bien effectué les rectifications demandées et notifier ces dernières aux tiers à qui les données erronées auraient été transmises. La personne qui exerce son droit de rectification peut obtenir gratuitement une copie de l'enregistrement modifié. Afin de permettre à la personne dont les données sont collectées d'exercer ses droits, il est nécessaire de mettre en place, au sein de l'entreprise, un service d'accès à l'information.
Le non-respect de ces droits est pénalement sanctionné au titre des articles 226-16 et suivants du Code pénal. Les infractions prévues à ces articles sont constitutives de délits (jusqu'à cinq ans d'emprisonnement et 300 000 euros d'amende).
9
II. Seconde partie : La déclaration normale de la CNIL.
Définition : La Déclaration normale est la procédure la plus courante, applicable à la majorité des traitements qui ne soulèvent pas de difficultés au regard de la protection des libertés fondamentales. Qui est le responsable du traitement ?
Le responsable du traitement, est la personne ou l’organisme qui décide de déclarer une base de données
auprès de la CNIL qui fera l'objet d'un traitement informatisé.
Au moment de remplir la déclaration normale de la CNIL, il faudra renseigner les informations suivantes :
L’identification du déclarant Le service ou la personne chargée du traitement La finalité du traitement Les personnes concernées par le traitement Les technologies utilisées pour le traitement Le type d’informations personnelles collectées :
Les données classiques : état civil, identité, vie personnelle, vie professionnelle,
informations financières, données de connexion informatique, données de localisation
Les données sensibles : numéro de sécurité sociale, opinions, vie sexuelle, origine raciale ou ethnique etc.
Comment les données sont collectées La durée de conservation des données Le ou les destinataires des données Les échanges et interconnexions de données La sécurité et confidentialité des données Les transferts de données hors de l’Union européenne Les informations sur les droits des personnes (accès, opposition, rectification)
Dans notre cas, il faudra remplir deux déclarations différentes, une pour les visiteurs médicaux qui sont considéré comme des salariés du laboratoire pharmaceutique et une seconde pour les praticiens qui sont des partenaires externes à l’entreprise (cf annexes 1 et 2). Une fois les déclarations faites, on pourra procéder à la collecte des informations auprès des personnes concernées qui au préalable ont été prévenu par courrier ou bien par mail. Remarque : Il existe également d'autres types de déclarations : Nous avons la déclaration simplifiée, la demande d'autorisation et la demande d'avis.
10
Exemple de mail et de formulaire à envoyer aux salariés : Bonjour,
Dans le cadre d'un traitement obligatoire informatisé destiné à optimiser la gestion des visites
réalisées auprès des professionnels de santé, merci de bien vouloir remplir le formulaire ci-joint au
mail et de nous le faire parvenir dans les meilleurs délais.
Nous restons à votre disposition pour tout renseignement complémentaire.
Dans l'attente de votre retour,
Cordialement
--
Service Juridique
Laboratoire Galaxy Swiss Bourdin
Formulaire d’informations personnelles pour le traitement informatisé
Veuillez remplir ce formulaire de demande avec toutes les informations nécessaires.
1. Informations personnelles
Données personnelles du visiteur médicale
Nom :
Prénom :
Adresse (n° et la rue) :
Code postal :
Ville :
Date d’embauche :
N º de sécurité social :
Les informations portées sur ce formulaire sont obligatoires. Elles font l’objet d’un traitement informatisé destiné à la gestion des visites médicales réalisées auprès des professionnels de santé. Les destinataires des données sont le service juridique et la direction des ressources humaines.
Conformément à la loi "informatique et libertés" du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser au responsable du service juridique.
11
Remarque : Le laboratoire Galaxy Swiss Bourdin a collecté le numéro de sécurité sociale de tous les visiteurs médicaux. Ces numéros, sont considérés comme des données sensibles par la Commission nationale de l'informatique et des Libertés (CNIL). Pour pouvoir collecter un numéro de sécurité sociale, il faut demander l'autorisation à la CNIL par le biais d’un formulaire ainsi qu'a la personne concernée (cf annexe 3).
Déclaration pour les visiteurs médicaux :
Pour informer les personnes concernées par le traitement de leur droit d'accès, nous avons choisit
de mettre en place un affichage qui sera ajouter au règlement intérieur du laboratoire
pharmaceutique.
AFFICHAGE :
Le service DRH dispose de moyens informatiques destinés à gérer plus facilement l’ensemble des visites médicales réalisées par les visiteurs médicaux.
Les informations enregistrées sont réservées à l’usage de la DRH et du service juridique et ne peuvent être communiquées qu’aux destinataires suivants : les responsables RH et la directrice du service juridique. Conformément aux articles 39 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés, toute personne peut obtenir communication et, le cas échéant, rectification ou suppression des informations la concernant, en s’adressant au service juridique avec copie à [email protected].
Toute personne peut également, pour des motifs légitimes, s’opposer au traitement des données la concernant.
Déclaration pour les praticiens :
Généralement, les praticiens savent déjà que leur données personnels du type nom et adresse sont
collecté par GSB. De ce fait, pour informer les personnes concernées par le traitement de leur droit
d'accès, nous avons choisit de mettre en place une mention légale.
Exemple de mention légale :
Le service juridique
« Les informations recueillies font l’objet d’un traitement informatique destiné à optimiser la gestion des
visites réalisées par les visiteurs médicaux. Les destinataires des données sont, la direction des ressources
humaines ainsi que le service juridique.
Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez
d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en
vous adressant au service juridique du laboratoire Galaxy Swiss Bourdin à Paris.
Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous
concernant.
12
III. Troisième partie : Evolution de la base de données.
Dans le cadre de notre projet nous avons procédé à une évolution de la base de données en y
intégrant les diplômes des praticiens. En cas d’ajout ou de modification d’une base de données il est
impératif de prévenir la CNIL pour procéder aux divers changements.
Quelles sont les formalités à réalisé dans le cadre d’une modification de la base de données ?
Si on souhaite modifier la base de données en y ajoutant des données supplémentaires qui
répondent à la finalité mentionné auparavant, il faudra adresser un courrier à la Commission
nationale de l'informatique et des libertés (CNIL).
En revanche, si les nouvelles données conduisent à une modification de la finalité de départ, il faudra adresser un courrier à la CNIL et remplir une nouvelle déclaration normale en ligne ou sur support papier. Source de ces informations : Conversation téléphonique avec une conseillère de la CNIL Attention : La conseillère de la CNIL, nous a affirmé que l'ajout des diplômes à la nouvelle base de données n'est pas une solution pertinente et qu'il y'a aucune cohérence avec la finalité énoncé dans la déclaration.
13
COURRIER A ADRESSER A LA CNIL :
Laboratoire Galaxy Swiss Bourdin CNIL N° SIREN 8 rue Vivienne – CS 30223 Adresse 75083 PARIS Cedex 02 Tél Fax Email : [email protected]
Paris, le Mercredi 22 janvier 2014
Objet : Modification de la déclaration normale
N° de la déclaration :
Madame, Monsieur, Par la présente, je souhaite vous faire part de la modification de la déclaration référencée ci-dessus. L’objet de cette modification concerne les praticiens ou suite à une évolution de la base de données nous souhaiterions rajouter les diplômes que possèdent ces derniers. Cette modification concerne la nature des données enregistrées dans le traitement : nous aimerions de ce fait ajouter des données concernant les qualifications des praticiens qui reçoivent des visites de la part des visiteurs médicaux étant considérés comme des acteurs internes au laboratoire pharmaceutique. L’ajout de ces nouvelles données réponde à la même finalité que celle mentionné dans la déclaration normale qui est la gestion des visites médicales. Veuillez agréer, Madame, Monsieur, l’expression de mes salutations distinguées.
Signature.
14
Une fois la modification de la déclaration normale faite, nous pouvons commencer à collecter les
informations de qualification concernant les praticiens en leur envoyant une lettre suivi d'un
formulaire.
COURRIER A ADRESSER AUX PRATICIENS : Laboratoire Galaxy Swiss Bourdin Nom du praticien N° SIREN Adresse du praticien Adresse CP et Ville du praticien Tél Fax Email : [email protected]
Paris, le Mercredi 22 janvier 2014
Objet : Collecte des informations de qualifications. Madame, Monsieur, Dans le cadre d'une évolution de notre base de données, qui fera l'objet d'un nouveau traitement informatisé destiné à optimiser la gestion des visites médicales. Merci de bien vouloir remplir le formulaire fournit en annexe puis, de nous le retourner par courrier dans les meilleurs délais. Nous vous rappelons que les données collectées seront utilisé uniquement à des fins professionnelles et que vous possédez des droits sur ces données qui sont clairement définis dans la mention légale qui vous à été fournit auparavant. Dans l'attente de votre retour, je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées.
Le service Juridique Laboratoire Galaxy Swiss Bourdin
15
Formulaire d’informations personnelles pour le traitement informatisé
Veuillez remplir ce formulaire de demande avec toutes les informations nécessaires.
1. Informations personnelles
Données de qualification du praticien
Nom :
Prénom :
Rappel de vos droits :
Les informations portées sur ce formulaire sont obligatoires. Elles font l’objet d’un traitement informatisé destiné à la gestion des visites médicales réalisées auprès des professionnels de santé. Les destinataires des données sont le service juridique et la direction des ressources humaines.
Conformément à la loi "informatique et libertés" du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser au responsable du service juridique.
Intitulé du diplôme Spécialité
Diplômes n° 1
Diplômes n° 2
Diplômes n° 3
Diplômes n° 4
Diplômes n° 5
16
IV. Conclusion
Lorsque une entreprise prend la décision de créer une base de données dans laquelle ont y
retrouvera des données ayant un caractère personnel, il faudra impérativement en faire part à la
Commission nationale de l'informatique et des Libertés (CNIL) par le biais d'une déclaration qui
peut être réalisé en ligne ou par écrit.
La loi Informatique et Libertés du 6 janvier 1978, attribue des droits aux salariés sur leurs données
personnelles afin qu'ils puissent garder un contrôle sur celles-ci.
Si une entreprise collecte des données considéré comme sensibles par la CNIL et la loi du 6 janvier
1978 elle à pour obligation de demander l'autorisation des personnes propriétaires de ces données.
Enfin, toutes les formalités permettant de déclarer une base de données devront répondre à des
objectifs cohérents et précis.