présentation-CIL-IL-et-PREMIER DEGRE ERIP [Mode de
Transcription
présentation-CIL-IL-et-PREMIER DEGRE ERIP [Mode de
INFORMATIQUE ET LIBERTES DANS LE PREMIER DEGRÉ -ERIPERIP- 6 JANVIER 2011 Hélène Josso Bouchard Correspondant Informatique et Libertés de l’académie d’Aix-Marseille Courriel : [email protected] Téléphone : 04 42 91 70 65 Présentation : La Loi Informatique et Libertés La Loi Informatique et Libertés Les Mots clés de la loi Informatique et Libertés Les 5 règles d’or de la protection des données Infractions et sanctions Le Correspondant Informatique et Liberté L’ arrêté Arrêté du 20 octobre 2008 Base élèves premier degré Conseil d’état 19 juillet 2010 Les déclarations Dispenses Les fichiers papier Que déclarer Points de vigilance Hébergement Sous-traitance Information, échange LA LOI INFORMATIQUE ET LIBERTÉS La loi Informatique et Libertés La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite « informatique et libertés » L’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. (extrait Article 1) Une autorité indépendante chargée de son application : la CNIL – Commission Nationale de l’Informatique et des Libertés. Une refonte totale : loi du 6 août 2004 Transposition de la directive européenne Adaptation de la loi aux évolutions technologiques et aux nouveaux enjeux (ex : biométrie) Création du statut de Correspondant Informatique et Libertés Mots-clés de la loi informatique et libertés Quatre définitions au sens de la loi Informatique et Libertés : Donnée à caractère personnel Fichier Traitement Responsable de traitement Mots-clés de la loi informatique et libertés Donnée à caractère personnel donnée à caractère personnel Mots-clés de la loi informatique et libertés Donnée à caractère personnel donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement par référence à un numéro d'identification ou à plusieurs éléments qui lui sont propres par croisement d’informations impersonnelles Prendre en compte l’ensemble des moyens dont dispose ou auxquels peut avoir accès une autre personne Mots-clés de la loi informatique et libertés Fichier Un fichier de données à caractère personnel est tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés Mots-clés de la loi informatique et libertés Traitement Un traitement de données à caractère personnel est toute opération ou ensemble d'opérations portant sur des données à caractère personnel quel que soit le procédé utilisé… notamment : collecte enregistrement organisation conservation consultation utilisation extraction communication interconnexion verrouillage modification rapprochement effacement destruction Mots-clés de la loi informatique et libertés Responsable de traitement Le responsable d’un traitement de données à caractère personnel est l’entité qui définit détermine les finalités et les moyens de ce traitement. Dans le primaire : le directeur, l’IEN, le maire ? Les 5 règles d’or de la protection des données Le respect de : La finalité du traitement La pertinence des données La conservation limitée des données L’obligation de sécurité Les droits des personnes Les 5 règles d’or de la protection des données 1. Finalité du traitement Une finalité déterminée, explicite et légitime Le détournement de finalité est pénalement sanctionné ex: utilisation des fichiers administratifs à des fins de prospection politique ou commerciale Les 5 règles d’or de la protection des données 2. Pertinence des données données adéquates, pertinentes et non excessives au regard de la finalité poursuivie Interdiction de collecter les données sensibles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale ainsi que les données relatives à la santé ou à la vie sexuelle Interdiction de traiter les infractions, condamnations, mesures de sûreté Les 5 règles d’or de la protection des données 3. Conservation limitée des données La durée de conservation doit être définie au regard de la finalité au-delà les données : ne peuvent être conservées qu’à des fins historiques, statistiques ou scientifiques doivent être effacées, ou archivées dans les conditions définies par la loi du 3 janvier 1979 sur les archives (tri) Les 5 règles d’or de la protection des données 4. Obligation de sécurité respect de l’intégrité et de la confidentialité des données : empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès le responsable du traitement doit prendre toutes les précautions utiles pour préserver la sécurité Aussi en cas de sous-traitance Les mesures de sécurité physique et logique doivent être adaptées à la nature des données et aux risques présentés par le traitement ex: chiffrement des données sur internet Les 5 règles d’or de la protection des données 5. Respect des droits des personnes droit à l’information les personnes doivent être informées : finalité du traitement caractère obligatoire ou facultatif identité du responsable du traitement destinataires des données leurs droits (d’accès, de rectification, d’opposition) des transferts de données vers des pays hors UE droit d’opposition droit de s’opposer, pour des motifs légitimes, au traitement de ses données sauf si le traitement répond à une obligation légale droit de s’opposer, sans frais, à l’utilisation de ses données à des fins de prospection commerciale droit d’accès et de rectification Toute personne peut gratuitement sur simple demande avoir accès à l’intégralité des informations la concernant et les rectifier ou les compléter Pour les fichiers intéressant la sûreté, la défense ou la sécurité publique le droit d’accès est indirect Infractions quels risques ? Sanctions : 5 ans d’emprisonnement et 300 000 euros d’amende • • • • non respect des formalités préalables conservation des données au-delà de la durée prévue détournement de finalité non mise en œuvre les mesures de Jusqu’à sécurité prescrites 5 ans d’emprisonnement divulgation de données (ayant effet de et 300 000 € d’amende porter atteinte à la considération ou à l'intimité) à la connaissance d'un tiers imprudence ou négligence 3 ans 100 000 € non autorisé utilisation sans autorisation du RNI Non respect de l’information préalable des personnes Non réponse à un droit d’accès Refus de délivrer à l’intéressé une copie de ses données Non respect du droit de rectification contravention de cinquième classe 1500 € Le CIL : Correspondant Informatique et Libertés Assure de manière indépendante le respect des obligations prévues dans la loi Informatique et Liberté Dresse la liste des traitements (allégement des formalités) et tient cette liste à jour à partir des informations communiquées par le responsable des traitements nécessité d’organiser la remontée d’information La liste peut être consultée à tout moment par toute personne Une copie peut être demandée nécessaire transparence des traitements Doit être consulté avant la mise en œuvre de tout nouveau traitement L’ ARRÊTÉ Arrêté du 20 octobre 2008 : BE1D pilotage et gestion des élèves du premier degré Les parents doivent être informés de l'existence de "Base élèves premier degré" par note d'information ou affichage dans l'école, et lorsqu'ils remplissent la fiche de renseignements Les parents peuvent demander au directeur d’école de vérifier les informations les concernant, eux et leurs enfants. Arrêté du 20 octobre 2008 : BE1D destinataires des données : Le directeur, l’IEN de circonscription et l’Inspecteur d’Académie Le maire et les agents municipaux désignés Le principal du CLG d’affectation des élèves entrant en 6ème les parents d'élèves pour les données relatives à leur enfant Service statistique rectorat que de données strictement anonymes NOUVEAUX DESTINATAIRES DECLARATION Conseil d'Etat n°317182 -19 juillet 2010 annule l'arrêté : en tant qu'il interdit expressément la possibilité pour les personnes concernées de s'opposer, pour des motifs légitimes, à l'enregistrement de données personnelles les concernant au sein de Base élèves 1er degré. en tant qu'il met en oeuvre un fichier qui permet le rapprochement et la mise en relation de données avec d'autres fichiers, sans que cette modalité d'exploitation du traitement Base élèves 1er degré ait été mentionnée dans la déclaration adressée par le ministre à la C.N.I.L., ainsi que dans cette mesure le refus de l'abroger. DÉCLARATIONS Dispense de déclaration Dispense n°7 : traitements constitués à des fins d'information ou de communication externe constitution et l'exploitation d'un fichier d'adresses, statistiques de fréquentation site. nom, prénoms, adresse, tel, mail adresse professionnelle, qualité ou fonction, titres et distinctions ; centres d'intérêts, sauf sensibles données de connexion (date, heure, adresse Internet Protocole de l'ordinateur du visiteur, page consultée) à des seules fins statistiques d'estimation de la fréquentation du site. Les fichiers papiers et la loi La loi s’applique aux « fichiers manuels » (fiches, listes, dossiers structurés par un système de classement ou d’indexation) mais pas de déclarations (sauf sensibles). Quel régime déclaratif Demande d’autorisation Demande d’avis Conformité à un acte Unique ou Réglementaire Données sensibles, génétiques N°Sécu , Appréciations difficultés sociales Traitement susceptibles d’exclure d’un droit, prestation Interconnexion fichiers avec finalités distinctes Transfert horsUE les téléservices de l’administration électronique Autorisation unique AU-009 reconnaissance du contour de la main pour l'accès au restaurant scolaire Utilisation de données biométriques ( empreintes digitales, contour de la main, iris de l’œil, etc.) ; Arrêté du 30 novembre 2006 RU-003 ENT dans établissement de l’éducation nationale Autres cas Déclaration Normale Inscription au registre Que déclarer Tout traitement de données à caractère personnel hors dispense n°7 ENR, ENT Gestion informatisée des prêts de livres Gestion des contrôles d’accès aux locaux Vidéosurveillance… Où déclarer sur oasi : espace Informatique et Libertés http://oasi.ac-aix-marseille.fr http://cil.ac-aix-marseille.fr Liste des registres publics Vision établissement Liste de mes registres Traitements dont vous êtes le responsable de traitement Traitements dont vous n'êtes pas le responsable de traitement mais que vous avez déclarés Interface de saisine du cil Aspects législatifs Modèles d’informations à télécharger POINTS DE VIGILANCE Hébergement Sous-traitance Données élèves, Où est-on dans le monde ? Hébergement Sous-traitance Données élèves, Où est-on dans le monde ? Hébergement Sous-traitance Données élèves, Quelle sécurité ? Ma responsabilité ? Où est-on dans le monde ? Hébergement Sous-traitance Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité Cette exigence ne vous décharge pas de l’obligation de veiller au respect de ces mesures. Établir une convention mentionnant les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données Le fait que le sous-traitant ne peut agir que sur instruction du responsable du traitement Information, échange L’attention doit être portée sur l’information des personnes La sécurisation des échanges de données doit être pris en compte notamment dans les phases de mises en place Merci Pour toute information complémentaire : [email protected] sources principales : CNIL Légifrance