Protection des données à caractère personnel en France Fichier

Protection des données
à caractère personnel
en France
1
Sommaire
La loi « Informatique et Libertés » en bref
Les grands principes de la protection des données
Retour d'expérience
2
La loi « Informatique et Libertés » en bref
3
La loi « Informatique et Libertés »
La loi du 6 janvier 1978 dite « Informatique et Libertés »
porte création de la Commission Nationale de l’Informatique
et des Libertés (CNIL)
Une refonte totale : loi du 6 août 2004
transpose la directive européenne
adapte la loi aux évolutions technologiques et aux
nouveaux enjeux (ex : biométrie)
dote la CNIL de nouveaux pouvoirs, avec notamment un
pouvoir de sanction
introduit la fonction de « correspondant à la protection des
données à caractère personnel » (CIL)
4
La loi « Informatique et Libertés »
Une autorité administrative indépendante composée de 17
membres (hauts magistrats, parlementaires, conseillers
économiques et sociaux, personnalités qualifiées)
Un président élu par ses pairs
Les membres de la CNIL ne reçoivent d'instruction d'aucune
autorité
Quelques chiffres 2012 (source http://www.cnil.fr )
171 postes
Budget de 17,2 M€
5
La loi « Informatique et Libertés »
Rapport annuel 2012 de la CNIL
6
Missions de la CNIL
Informer les personnes concernées de leurs droits et les
responsables de traitements de leurs obligations
Veiller à ce que les traitements soient mis en œuvre
conformément à la loi “Informatique et Libertés”
contrôler leur conformité
instruire les plaintes
vérifier “sur le terrain”
sanctionner en cas de non-respect de la loi
7
Les mots-clés « informatique et libertés »
Donnée à caractère personnel
Fichier / traitement
Responsable du traitement
8
Donnée à caractère personnel
Toute information
relative à une personne physique
identifiée ou susceptible de l’être, directement ou
indirectement
par référence à un numéro d’identification (ex: n° de
sécurité sociale) ou à un ou plusieurs éléments qui lui
sont propres (ex: biométrie…)
Cas de l’établissement de statistiques :
les données collectées sont nominatives
le résultat statistique est anonyme
les données nominatives doivent être supprimées dès
obtention des résultats
9
Fichier / traitement
Fichier : tout ensemble structuré et stable de données à
caractère personnel accessibles selon des critères
déterminés
Traitement : toute opération de collecte, enregistrement,
organisation, conservation, modification, extraction,
consultation, utilisation, communication, rapprochement,
interconnexion, verrouillage, effacement, destruction (ex :
bases de données, applications cartes à puce, sites web,
transferts de fichiers sur internet…)
10
Responsable du traitement
Qui ?
l’autorité, l’organisme, le service qui détermine les finalités
du traitement et les moyens (notamment informatiques)
nécessaires à sa mise en œuvre
En pratique :
pour les établissements d’enseignement supérieur
(Universités, Grandes Écoles, Grands Établissements,...) :
Président, Directeur, Administrateur Général,...
pour une entreprise : le Président, Directeur
11
Les principes « informatique et libertés »
Finalité du traitement
Pertinence des données
Conservation limitée des données
Obligation de sécurité
Déclaration
Respect des droits des personnes
13
Finalité du traitement
Une finalité déterminée, explicite et légitime (répondre à la
question pourquoi ? )
Exemples validées par la CNIL :
Carte MUT :
identifier l'étudiant (interne et externe comme transport),
permettre un contrôle d’accès (bâtiment, barrières..),
servir de porte-monnaie électronique.
Gestion des étudiants :
gestion administrative et pédagogique,
mettre à la disposition des étudiants des espaces numériques de travail,
permettre un pilotage administratif et pédagogique,
permettre la mise en œuvre d'enquêtes,
organiser les élections statutaires au sein de l'établissement.
14
Pertinence des données
Données adéquates, pertinentes et non excessives au
regard de la finalité poursuivie
Protection particulière pour les données sensibles :
Données, faisant apparaître, directement ou indirectement,
les origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses, l’appartenance syndicale, les
données relatives à la santé ou à la vie sexuelle
Le principe est l’interdiction de collecte.
Numéro de sécurité sociale
15
Conservation limitée des données
Les informations ne peuvent être conservées de façon
indéfinie dans les fichiers informatiques
Une durée de conservation doit être établie en fonction de la
finalité de chaque traitement
Au-delà, elles doivent être archivées ou détruites, dans les
conditions définies par l’instruction ministérielle concernant
l’enseignement supérieur
16
Obligation de confidentialité et de sécurité
Les données ne peuvent être consultées que par les
services habilités, dans le cadre de leurs fonctions
Le responsable du traitement doit prendre toutes mesures
pour empêcher que les données soient déformées,
endommagées ou que des tiers non autorisés y aient accès
Les mesures de sécurité doivent être adaptées à la nature
des données et aux risques présentés par le traitement
17
Déclaration à la CNIL
Déclaration :
simplifiée et normale
demande d'autorisation et demande d'avis
Dispense :
paiement des personnels
comptabilité générale
Correspondant I&L :
facilite les démarches
18
Déclaration à la CNIL
A retenir
http://www.cnil.fr/vos-obligations/declarer-a-la-cnil/
19
Respect des droits des personnes
Le droit à l’information : la condition « sine qua non » pour
l’exercice de tous les autres droits
Les personnes doivent être informées lors du recueil, de
l’enregistrement, de la première communication des
données ou de l'exportation :
de la finalité du traitement
du caractère obligatoire ou facultatif des réponses et des conséquences
d’un défaut de réponse
de l’identité du responsable du traitement
des destinataires des données
de leurs droits (droit d’accès et de rectification, droit d’opposition)
le cas échéant, des transferts de données vers des pays hors UE
20
Respect des droits des personnes
Exemple de https://candidature.insa-toulouse.fr
"Ce traitement a été déclaré auprès du Correspondant Informatiques et Libertés
de l'établissement (lien vers site web).
L'ensemble des données personnelles que vous saisissez sur ce site seront
utilisées pour le traitement de votre dossier de candidature.
Si vous êtes admis, elles seront reversées dans le logiciel de gestion des
étudiants de l'INSA.
Si vous êtes refusé, elles seront entièrement supprimées de notre base de
données à l'issue de la campagne de recrutement.
A tout moment, vous pouvez demander une rectification de celles-ci en vous
connectant sur ce site ou en demandant à (une adresse mail qui va bien)."
21
Respect des droits des personnes
Le droit d’opposition
Droit de s’opposer, pour des motifs légitimes, au traitement
de ses données sauf si le traitement répond à une
obligation légale
Droit de s’opposer, sans frais, à l’utilisation de ses données
à des fins de prospection commerciale : droit à la
« tranquillité »
22
Respect des droits des personnes
Le droit d’accès et de rectification
Toute personne justifiant son identité peut gratuitement, sur
simple demande, avoir accès à l’intégralité des informations
la concernant et les rectifier ou les compléter
Droit d’accès indirect : pour les fichiers intéressant la
sûreté, la défense ou la sécurité publique
23
Exercice
Application de gestion de l'accès des étudiants aux salles de
TP :
Finalité
Données enregistrées
Durée de conservation
Exportation des données
Sécurité
Déclaration
Mention(s) à mettre
24
Droit à l'oubli
Le droit à l'oubli ?
Droit à l’oubli numérique :
rédaction de 2 chartes du droit à l'oubli numérique (2010)
oubli numérique dans la publicité ciblée
oubli numérique dans les sites collaboratifs et moteurs de recherche
signée par certains acteurs de l'Internet
Pas de réponse = oubliez-moi !
25
Retour d'expérience
26
Correspondant Informatique et Libertés
depuis 4 ans
Tenue du registre
81 traitements
Environ 35 demandes traitées
Traitements liés aux étudiants
Apogée et traitements associés
Moncompte : liste des services à activer
PRES : Horizon, BUT, MUT
Cas particulier : PRES, référentiel, entrepôt de données...
27
Questions / réponses
28