Protection des données à caractère personnel en France Fichier
Transcription
Protection des données à caractère personnel en France Fichier
Protection des données à caractère personnel en France 1 Sommaire La loi « Informatique et Libertés » en bref Les grands principes de la protection des données Retour d'expérience 2 La loi « Informatique et Libertés » en bref 3 La loi « Informatique et Libertés » La loi du 6 janvier 1978 dite « Informatique et Libertés » porte création de la Commission Nationale de l’Informatique et des Libertés (CNIL) Une refonte totale : loi du 6 août 2004 transpose la directive européenne adapte la loi aux évolutions technologiques et aux nouveaux enjeux (ex : biométrie) dote la CNIL de nouveaux pouvoirs, avec notamment un pouvoir de sanction introduit la fonction de « correspondant à la protection des données à caractère personnel » (CIL) 4 La loi « Informatique et Libertés » Une autorité administrative indépendante composée de 17 membres (hauts magistrats, parlementaires, conseillers économiques et sociaux, personnalités qualifiées) Un président élu par ses pairs Les membres de la CNIL ne reçoivent d'instruction d'aucune autorité Quelques chiffres 2012 (source http://www.cnil.fr ) 171 postes Budget de 17,2 M€ 5 La loi « Informatique et Libertés » Rapport annuel 2012 de la CNIL 6 Missions de la CNIL Informer les personnes concernées de leurs droits et les responsables de traitements de leurs obligations Veiller à ce que les traitements soient mis en œuvre conformément à la loi “Informatique et Libertés” contrôler leur conformité instruire les plaintes vérifier “sur le terrain” sanctionner en cas de non-respect de la loi 7 Les mots-clés « informatique et libertés » Donnée à caractère personnel Fichier / traitement Responsable du traitement 8 Donnée à caractère personnel Toute information relative à une personne physique identifiée ou susceptible de l’être, directement ou indirectement par référence à un numéro d’identification (ex: n° de sécurité sociale) ou à un ou plusieurs éléments qui lui sont propres (ex: biométrie…) Cas de l’établissement de statistiques : les données collectées sont nominatives le résultat statistique est anonyme les données nominatives doivent être supprimées dès obtention des résultats 9 Fichier / traitement Fichier : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés Traitement : toute opération de collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, verrouillage, effacement, destruction (ex : bases de données, applications cartes à puce, sites web, transferts de fichiers sur internet…) 10 Responsable du traitement Qui ? l’autorité, l’organisme, le service qui détermine les finalités du traitement et les moyens (notamment informatiques) nécessaires à sa mise en œuvre En pratique : pour les établissements d’enseignement supérieur (Universités, Grandes Écoles, Grands Établissements,...) : Président, Directeur, Administrateur Général,... pour une entreprise : le Président, Directeur 11 Les principes « informatique et libertés » Finalité du traitement Pertinence des données Conservation limitée des données Obligation de sécurité Déclaration Respect des droits des personnes 13 Finalité du traitement Une finalité déterminée, explicite et légitime (répondre à la question pourquoi ? ) Exemples validées par la CNIL : Carte MUT : identifier l'étudiant (interne et externe comme transport), permettre un contrôle d’accès (bâtiment, barrières..), servir de porte-monnaie électronique. Gestion des étudiants : gestion administrative et pédagogique, mettre à la disposition des étudiants des espaces numériques de travail, permettre un pilotage administratif et pédagogique, permettre la mise en œuvre d'enquêtes, organiser les élections statutaires au sein de l'établissement. 14 Pertinence des données Données adéquates, pertinentes et non excessives au regard de la finalité poursuivie Protection particulière pour les données sensibles : Données, faisant apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données relatives à la santé ou à la vie sexuelle Le principe est l’interdiction de collecte. Numéro de sécurité sociale 15 Conservation limitée des données Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques Une durée de conservation doit être établie en fonction de la finalité de chaque traitement Au-delà, elles doivent être archivées ou détruites, dans les conditions définies par l’instruction ministérielle concernant l’enseignement supérieur 16 Obligation de confidentialité et de sécurité Les données ne peuvent être consultées que par les services habilités, dans le cadre de leurs fonctions Le responsable du traitement doit prendre toutes mesures pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement 17 Déclaration à la CNIL Déclaration : simplifiée et normale demande d'autorisation et demande d'avis Dispense : paiement des personnels comptabilité générale Correspondant I&L : facilite les démarches 18 Déclaration à la CNIL A retenir http://www.cnil.fr/vos-obligations/declarer-a-la-cnil/ 19 Respect des droits des personnes Le droit à l’information : la condition « sine qua non » pour l’exercice de tous les autres droits Les personnes doivent être informées lors du recueil, de l’enregistrement, de la première communication des données ou de l'exportation : de la finalité du traitement du caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse de l’identité du responsable du traitement des destinataires des données de leurs droits (droit d’accès et de rectification, droit d’opposition) le cas échéant, des transferts de données vers des pays hors UE 20 Respect des droits des personnes Exemple de https://candidature.insa-toulouse.fr "Ce traitement a été déclaré auprès du Correspondant Informatiques et Libertés de l'établissement (lien vers site web). L'ensemble des données personnelles que vous saisissez sur ce site seront utilisées pour le traitement de votre dossier de candidature. Si vous êtes admis, elles seront reversées dans le logiciel de gestion des étudiants de l'INSA. Si vous êtes refusé, elles seront entièrement supprimées de notre base de données à l'issue de la campagne de recrutement. A tout moment, vous pouvez demander une rectification de celles-ci en vous connectant sur ce site ou en demandant à (une adresse mail qui va bien)." 21 Respect des droits des personnes Le droit d’opposition Droit de s’opposer, pour des motifs légitimes, au traitement de ses données sauf si le traitement répond à une obligation légale Droit de s’opposer, sans frais, à l’utilisation de ses données à des fins de prospection commerciale : droit à la « tranquillité » 22 Respect des droits des personnes Le droit d’accès et de rectification Toute personne justifiant son identité peut gratuitement, sur simple demande, avoir accès à l’intégralité des informations la concernant et les rectifier ou les compléter Droit d’accès indirect : pour les fichiers intéressant la sûreté, la défense ou la sécurité publique 23 Exercice Application de gestion de l'accès des étudiants aux salles de TP : Finalité Données enregistrées Durée de conservation Exportation des données Sécurité Déclaration Mention(s) à mettre 24 Droit à l'oubli Le droit à l'oubli ? Droit à l’oubli numérique : rédaction de 2 chartes du droit à l'oubli numérique (2010) oubli numérique dans la publicité ciblée oubli numérique dans les sites collaboratifs et moteurs de recherche signée par certains acteurs de l'Internet Pas de réponse = oubliez-moi ! 25 Retour d'expérience 26 Correspondant Informatique et Libertés depuis 4 ans Tenue du registre 81 traitements Environ 35 demandes traitées Traitements liés aux étudiants Apogée et traitements associés Moncompte : liste des services à activer PRES : Horizon, BUT, MUT Cas particulier : PRES, référentiel, entrepôt de données... 27 Questions / réponses 28