docLes Données à Caractère Personnel
download 
Plainte Transcription
Les Données à Caractère Personnel
Les Données à Caractère Personnel Les 30 Ans De La Cnil 9 septembre 2008 F. COLLIN ‐ D. WALON WINLEX QUOI DE NEUF EN 30 ANS • 30 ans d’évolutions techniques 9 les traitements des données à caractère personnel ont explosés parallèlement au nombre d’applications issues de l’inventivité des entreprises 9 prestations de service sur Internet 9 techniques de géo localisation, technologies RFID et nanotechnologies, etc… • 30 ans d’évolutions économiques et comportementales 9 éclatement des frontières 9 mondialisation 9 avènement du web « social » • une problématique renouvelée de protection de la vie privée des individus PARTIE I HISTORIQUE ET EVOLUTIONS NOTRE ANCETRE GAULOIS : LA LOI DU 6 JANVIER 1978 Genèse de la loi et historique • Projet SAFARI • Loi du 6 janvier 1978 relative à « l'informatique, aux fichiers et aux libertés ». • directive communautaire (directive 95/46/CE du 24 octobre 1995) est venue harmoniser les lois nationales. • Loi du 6 aout 2004 AVEC LA RÉFORME DE 2004 • Des principes inchangés 9 La collecte des données doit être loyale et licite ; 9 La finalité du traitement doit être légitime et déterminée ; 9 Les données personnelles sont adéquates, pertinentes et non excessives au regard de la finalité du traitement ; 9 La durée de conservation des données est limitée en fonction de la finalité du traitement ; 9 Les destinataires doivent être précisément définis et limités ; 9 le traitement de données personnelles doit respecter le principe de proportionnalité concernant les interconnexions. AVEC LA RÉFORME DE 2004 • Des obligations inchangées 9 Notifier la mise en œuvre des traitements de données à caractère personnel à la CNIL, sauf cas de dispense prévus par la loi ou par la CNIL ; 9 Mettre les personnes concernées par ces traitements en mesure d’exercer leurs droits (principes d’information et de collecte loyale, droit d’accès, de rectification, droit à l’oubli) ; 9 Assurer la sécurité et la confidentialité des informations afin qu’elles ne soient pas déformées ou communiquées à des tiers non autorisés ; 9 Se soumettre aux contrôles et vérifications sur place de la CNIL et répondre à toute demande de renseignements qu’elle formule dans le cadre de ses missions. • mais une méthode ayant évolué 9 démarche d’auto évaluation + contrôle a postériori par la CNIL LE BRAS ARMÉ DE LA LOI : LA CNIL ET SES POUVOIRS Missions d’origine de la CNIL inchangées: 9 établissement de normes simplifiées ou de dispenses 9 traitement les déclarations et des demandes d'autorisation 9 instruction des plaintes, réclamations ou demandes d'avis 9 exercice du droit d’accès indirect aux fichiers intéressant la sûreté de l'État, la défense et la sécurité publique, notamment ceux des Renseignements généraux 9 mise à disposition du public du "fichier des fichiers" LE BRAS ARMÉ DE LA LOI : LA CNIL ET SES POUVOIRS • Pouvoirs renforcés par la loi du 6 août 2004, 9 pouvoir d’imposer des sanctions graduées : avertissement, mise en demeure, sanctions pécuniaires pouvant atteindre 300 000 €, injonction de cesser le traitement. 9 son Président peut – demander par référé à la juridiction compétente d'ordonner toute mesure de sécurité nécessaire – au nom de la Commission, dénoncer au Procureur de la République les violations de la loi. • Opposition à l'exercice de la mission de la CNIL pénalement sanctionné LES DONNÉES PROTÉGÉES, UN NOYAU DUR AUX FRONTIÈRES MOLES • Un centre de gravité modifié 9 de l’inquiétude originelle face aux « grands fichiers » 9 vers les préoccupations relatives à la gestion des « traces » (de navigation, de communication, de déplacement géographiques, de présence sur des images issues de la vidéo surveillances, 9 vers celles liées à l’exploitation commerciale des données personnelles (spamming, profiling, etc…) ; 9 de la méfiance envers les administrations vers une méfiance envers les opérateurs privés. • rendant nécessaire une nouvelle définition des « données à caractère personnel », « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres » ¾ sont donc concernés tous les systèmes automatisés tels que les moteurs de recherche, logiciels de reconnaissance d'adresses I.P., de reconnaissance vocale ou morphologique… ASSOUPLISSEMENT DU REGIME • Une banalisation des traitements entrainant un assouplissement des formalités 9 Des dispenses 9 Des exonérations 9 Des déclarations simplifiées • Mais de nouveaux domaines de sensibilité apparaissent 9 discussions avec les moteurs de recherche 9 discussions avec les opérateurs de réseaux sociaux LA BIOMETRIE ET LES DONNEES DE SANTE • La biométrie 9 premières demandes d’autorisation : refusées 9 27 avril 2006 trois autorisations uniques en matière de biométrie. Sont concernés les dispositifs suivants : ‐ le contour de la main pour le contrôle d’accès, la gestion des horaires et de la restauration sur les lieux de travail ; ‐ l’empreinte digitale exclusivement enregistrée sur un support individuel pour le contrôle de l’accès aux locaux sur les lieux de travail ; ‐ le contour de la main pour l’accès au restaurant scolaire distinguo selon que les systèmes laissent ou non des traces LA BIOMETRIE ET LES DONNEES DE SANTE • Les données de santé – données sensibles par excellence – DMP – à l’étranger GOOGLE HEALTH, MICROSOFT HEALTH VAULT – France Telecom et Mutuelle Générale : e‐carnet de vaccination Et demain? Partie II LA CONCEPTION MONDIALE : VASE CLOS ET FLUX DE DONNEES LA PROBLÉMATIQUE DU TRANSFERT DE DONNÉES ∫ Des sociétés multinationales ∫ Des délocalisations d’activités et des systèmes d’information ∫ Un flux de données vers des pays aux législations diversifiées ∫ Un critère : « un niveau de protection jugé adéquat » L’EUROPE OU LA CONSÉCRATION D’UNE POLITIQUE À LA FRANÇAISE Des normes européennes inspirées Les 27 pays de l’Union Européennes ont transposés la directive 95/46/CE du 24 octobre 1995 dans leur loi locale; L’Islande, le Liechtenstein et la Norvège, lors de la signature de l’accord sur l’EEE, ont également repris les dispositions de cette directive. 30 pays ont donc des législations harmonisées, conforment aux règles françaises. Ils sont dotés d’une autorité indépendante similaire à la CNIL. Le club fermé des pays à sécurité adéquat « Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées ». • (Article 25 de la directive 95/46/CE) 7 décisions d’adéquation ont été rendues par la CNIL ‐ 2000 Les Etats‐Unis ( Safe Harbor uniquement) La Suisse ‐ 2002 Le Canada (au niveau fédéral) ‐ 2003 L’Argentine Guernesey • ‐2004 L'île de Man ‐ 2008 Jersey QUELLES CONSÉQUENCES EN MATIÈRE DE TRANSFERT DE DONNÉES ? Le transfert de données à caractère personnel n’a pas à faire l’objet d’une autorisation expresse de la CNIL, Le transfert doit être déclaré à la CNIL. Si le traitement, objet du transfert, fait l’objet d’une déclaration simplifiée, le transfert lui n’y est pas soumis, sauf si la norme CNIL le prévoit. Le transfert doit satisfaire les mêmes conditions légales que tout traitement de données à caractère personnel ‐ information des personnes concernées, ‐ droit d’accès, de rectification et d’opposition, ‐ les données transférées doivent être adéquates, pertinentes et non excessives, ‐ la finalité du transfert doit être déterminée, explicite et légitime, ‐ le traitement issu du transfert doit respecter la finalité du transfert, ‐ la durée de conservation de données doit être proportionnelle au but poursuivi LE RESTE DU MONDE Le cas particulier des Etats Unis : Le safe harbor Une législation peu protectrice de la vie privée : ‐ un principe non constitutionnel ‐ un impératif supérieur : la lutte contre le terrorisme depuis le 11 septembre 2001 Un exemple d’actualité le Passanger Name Record Le safe harbor et la niveau de protection adéquat HIGHLIGHT SUR LES HOTSPOT : LES PAYS DE L’OFF‐SHORING DE DONNÉES Des pays aux législations non adéquates : L’Afrique du Sud, l’Albanie, l’Australie, le Brésil, le Burkina Faso, le Chili, la Corée du Sud, la Croatie, HongKong, l’Inde, Israël, le Japon, le Mexique, Monaco, la Nouvelle‐Zélande, la Russie, Taiwan, la Tunisie, La Thaïlande, l’Uruguay et le Paraguay, la République de Macédoine. Des pays sans législation en matière de données à caractère personnel : Le Maroc, l’Algérie, l’Egypte, la Libye Cas particulier du Maroc : la pression française QUELLES CONSÉQUENCES EN MATIÈRE DE TRANSFERT DE DONNÉES ? Le transfert de données à caractère personnel doit faire l’objet d’une autorisation expresse de la CNIL. La CNIL peut autoriser ce transfert au regard : (i) du contrat signé entre les sociétés concernées (ii) des normes internes adoptés par la société réceptrice Le transfert doit satisfaire les mêmes conditions légales que tout traitement de données à caractère personnel. Si le traitement, objet du transfert est exonéré de déclaration, le transfert ne l’est pas. Une demande d’autorisation présentée par un correspondant CNIL sera examinée en priorité. PARTIE III LA CNIL PRATIQUE DES CAS PARTICULIERS PAS SI PARTICULIERS Le Correspondant Informatique et liberté Le CIL a été institué par la loi d’Août 2004 ayant modifié loi originelle informatique, fichiers et libertés Le contour de son statut et de sa mission a été précisé par le Décret n° 2005‐1309 du 20 octobre 2005. LE CORRESPONDANT INFORMATIQUE ET LIBERTÉ Sa mission : ‐ ‐ être le spécialiste des questions informatique et liberté au sein de l’entreprise, être l’interlocuteur de la CNIL pour toute les formalités obligatoires. Ses avantages : ‐ être exonéré de déclaration des traitements courants, ‐ Seuls les traitements qualifiés de sensibles dans la loi (numéro INSEE‐ NIR‐ race, religion, santé..), ou les transferts vers des pays non membres de l’Union Européenne devront continuer à être déclarés . LE CORRESPONDANT INFORMATIQUE ET LIBERTÉ Qui est‐il ? ‐ ‐ ‐ ‐ un salarié de l’entreprise, à l’exception du représentant légal, un conseil extérieur (avocat, conseil..) une personne morale autre que l’entreprise elle‐même. Il est toujours impartial. Comment est‐il désigné? ‐ une notification formelle au représentant du personnel doit être effectuée, ‐ une notification à la CNIL doit être faite, ‐ Sa prise de fonction est effective un mois après la réception par la CNIL de la notification. LE CORRESPONDANT INFORMATIQUE ET LIBERTÉ Quelles sont ses tâches? ‐ ‐ ‐ Dans les trois mois de sa nomination il doit avoir audité l’entreprise et dressé une liste de l’ensemble des traitements de données nominatives effectuées, Il doit tenir cette liste à jour et à la disposition du personnel (elle peut être payante), Il doit former le personnel de l’entreprise Comment est‐il révoqué? ‐ Par la CNIL, ‐ Par l’employeur après avis de la CNIL . LA PROBLÉMATIQUE DU SOUS‐TRAITANT Définitions : qu’est‐ce qu’un sous‐traitant? ‐ Le responsable du traitement est défini comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ». Il est autonome dans la mise en place et la gestion du traitement. ‐ Le destinataire d’un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous‐traitant et les personnes qui, en raison de leurs fonctions, sont chargés de traiter les données. LES DISPOSITIONS SPÉCIFIQUES APPLICABLES AUX SOUS‐TRAITANTS: • ils doivent présenter des garanties suffisantes en terme de sécurité et de confidentialité en conformité avec les prerequis de la loi informatique, fichiers et liberté. • le contrat liant le responsable du traitement et son sous traitant doit préciser l’ensemble des obligations incombant au sous‐traitant en matière de données à caractère personnel et préciser que le sous‐traitant ne peut agir que sur les instructions du responsable du traitement. RECOMMANDATIONS PRATIQUES • vérifier la stricte conformité du traitement à la norme simplifiée – assurer un suivi du maintien de la conformité à la norme • veiller à établir et mettre à jour une cartographie des déclarations effectuées et des normes qui leur sont applicables – faciliter la mise à jour les déclarations ou en fonction des données ajoutées ou des finalités modifiées • si la « mémoire » des déclarations a été perdue, faire une demande à la CNIL pour obtenir un « état des lieux » RECOMMANDATIONS PRATIQUES Se préparer à un éventuel contrôle 9 sensibiliser les acteurs internes intéressés à la possibilité de tels contrôles, et à la nécessaire coopération qui doit se mettre en place avec les agents de contrôle, 9 les préparer en amont 9 mettre au point une procédure interne en cas de contrôle 9 mettre en place des procédures pour suivre les missions de contrôles 9 mettre en place une procédure de gestion des courriers CNIL.
