Présentation Informatique et libertés au CNRS

1,325 views
1,197 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,325
On SlideShare
0
From Embeds
0
Number of Embeds
66
Actions
Shares
0
Downloads
28
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Présentation Informatique et libertés au CNRS

  1. 1. Loi Informatique et libertés Cadre réglementaire1 – Loi Informatique et LibertésLa loi Informatique et Libertés du 6 janvier 1978 modifiée par laloi du 6 août 2004 définit les principes à respecter lors de la collecte,du traitement et de la conservation des données personnelles.Elle renforce le droit des personnes sur leurs données et prévoit unesimplification des formalités administratives déclaratives etprécise les pouvoirs de contrôle et de sanction de la CNIL. CIL - Réunion dinformation - Octobre 2012 1
  2. 2. La CNILLa CNIL est chargée de veiller à ce que l’informatique soit au service du citoyenet qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à lavie privée, ni aux libertés individuelles ou publiques.Elle exerce ses missions conformément à la Loi Informatique et Libertés qui laqualifie d’autorité administrative indépendante.- Le contrôle de la conformité à la Loi des projets de fichiers et traitements- Le rôle de conseil et d’information- L’instruction des plaintes- Le pouvoir de vérification sur place- Le pouvoir de sanction. CIL - Réunion dinformation - Octobre 2012 2
  3. 3. Définitions1 – Données personnelles (Art.2 de la Loi Informatique et Libertés)« Constitue une donnée à caractère personnel toute information relative à une personnephysique identifiée ou qui peut être identifiée directement ou indirectement, par référence àun numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble desmoyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès leresponsable du traitement ou toute autre personne. »« La personne concernée par un traitement de données à caractère personnel est celle àlaquelle se rapportent les données qui font l’objet du traitement. »2 – Traitement C’est un traitement automatisé ou un fichier manuel de données à caractère personnel dont le responsable est établi sur le territoire français ou qui recourt à des moyens de traitement situés sur ces territoires qui sont régis par la Loi Informatique et Libertés.Attention : les dispositions de la Loi Informatique et Libertés s’appliquent dès la phasede collecte des données et non pas dès leur mise sur informatique. CIL - Réunion dinformation - Octobre 2012 3
  4. 4. Qu’est-ce qu’une donnée sensible ?Les données sensibles sont celles qui font apparaître, directement ouindirectement, les origines raciales ou ethniques, les opinions politiques,philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sontrelatives à la santé ou à la vie sexuelle de celles-ci.Par principe, la collecte et le traitement de ces données sont interdites.Cependant, dans la mesure où la finalité du traitement l’exige, ne sont pas soumisà cette interdiction :- les traitements pour lesquels la personne concernée a donné son consentement exprès- les traitements justifiés par un intérêt public après autorisation de la CNIL ou décret en Conseil d’Etat. CIL - Réunion dinformation - Octobre 2012 4
  5. 5. Qu’est-ce qu’une donnée sensible ? (suite)Autres données à risque :- Données génétiques- Données relatives aux infractions pénales, aux condamnations…- Données comportant des appréciations sur les difficultés sociales des personnes- Données biométriques- Données comportant le NIR. CIL - Réunion dinformation - Octobre 2012 5
  6. 6. Loi Informatique et libertés - Cadre réglementaire Fonctions du CILLe Correspondant Informatique et Libertés (CIL) est aussi appelé« Correspondant à la protection des données personnelles (CPDP) »Le CIL se positionne en intermédiaire entre le responsable des traitements des donnéesconcernées et la CNIL. Il est responsable :- de la création et de la mise à jour d’une liste des traitements effectués- de la publicité de cette liste- d’une fonction d’information, de conseil et de recommandation auprès des responsables des traitements- de l’intermédiation CNIL/CNRS- d’une fonction d’alerte- de veiller au respect des principes de la protection des données personnelles ; d’informer les personnes au sujet de l’existence de leurs droits d’accès, de rectification et d’opposition. Il reçoit les demandes et réclamations des personnes concernées et les transmet aux services intéressés. CIL - Réunion dinformation - Octobre 2012 6
  7. 7. Loi Informatique et libertés - Cadre réglementaire (suite)Les missions complémentaires du CIL :•Mener des actions pédagogiques•Organiser des missions d’audits•Mener ou faire mener des études de risque•Elaborer de codes de conduites•Appliquer CIL - Réunion dinformation - Octobre 2012 7
  8. 8. Les règles d’or de la protection des données1 – Le principe de finalité Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé, explicite et légitime, correspondant aux missions de l’établissement, responsable du traitement. Tout détournement de finalité est passible de sanctions pénales.2 – Le principe de proportionnalitéSeules doivent être enregistrées les informations pertinentes etnécessaires pour leur finalité. CIL - Réunion dinformation - Octobre 2012 8
  9. 9. Les règles d’or de la protection des données (suite)3 – Le principe de pertinence des données • Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis. • Interdiction de collecter les données sensibles : . Sauf exceptions (consentements, intérêt public…) • Interdiction de traiter les infractions, condamnations, mesures de sûreté : . Sauf exceptions (juridictions, auxiliaires de justice, etc.)4 – Le principe de durée limitée de conservation de donnéesLes informations ne peuvent pas être conservées de façon indéfinie dansles fichiers informatiques.Une durée de conservation doit être établie en fonction de la finalitéde chaque fichier.Au-delà les données peuvent être archivées sur un support distinct. CIL - Réunion dinformation - Octobre 2012 9
  10. 10. Les règles d’or de la protection des données (suite) 5 – Le principe de sécurité et de confidentialité Le responsable de traitement est astreint à une obligation de sécurité. Il doit faire prendre les mesures nécessaires pour garantir l’intégrité la confidentialité des données et éviter leur divulgation. 6 – Le principe de transparence – Droit à l’information Les personnes doivent être informées, lors du recueil, de l’enregistrement ou de la première communication des données : -de la finalité du traitement ; -du caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse ; -de l’identité du responsable de traitement ; -des destinataires des données ; -de leurs droits (droit d’accès et de rectification, droit d’opposition) -le cas échéant, des transferts de données vers des pays hors U.E.Exemple : « les informations recueillies font l’objet d’un traitement informatique destiné à (veuillez préciser la finalité).Les destinataires des données sont…. Conformément à la loi Informatique et Libertés du 6 janvier 1978modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent,que vous pouvez exercer en vous adressant à… (préciser le service et l’adresse) » CIL - Réunion dinformation - Octobre 2012 10
  11. 11. Les règles d’or de la protection des données (suite)7 - Respect des droits des personnes : droit d’opposition  Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données sauf si le traitement répond à une obligation légale (ex : fichiers des impôts) ;  Tempérament : toute personne a le droit de s’opposer, sans frais et sans motif légitime, à l’utilisation de ses données à des fins de prospection commerciale : droit à la « tranquillité ». 8 - Respect des droits des personnes : droit d’accès et de rectification  Toute personne peut, directement auprès du responsable des traitements, avoir accès à l’ensemble des informations la concernant, en obtenir la copie et exiger qu’elles soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées CIL - Réunion dinformation - Octobre 2012 11
  12. 12. Comment réaliser une « collecte licite et loyale » ? Finalité Déterminée Explicite Légitime (1) DonnéesRespect des droits des -Adéquates personnes -Pertinentes (6) -Non excessives au regard des finalités (2) ? Durée de conservation Destinataires limités limitée (5) (3) Sécurité (4) CIL - Réunion dinformation - Octobre 2012 12
  13. 13. Qui ?L’autorité, l’organisme, le service qui détermine les finalités dutraitement et les moyens (notamment informatiques, financiers,humains) nécessaires à sa mise en œuvre.Où ?Etabli sur le territoire français (installation stable, quelle que soit saforme juridique, filiale, succursale…) ou recourt à des moyens detraitement situés sur le territoire français CIL - Réunion dinformation - Octobre 2012 13
  14. 14. Obligations du responsable de traitement1. Recueillir le consentement de la personne2. Respecter les objectifs du fichier (sa finalité)3. Protéger le fichier4. Ne pas divulguer les informations5. Agir dans la transparence – Informer6. Déclarer les fichiers CIL - Réunion dinformation - Octobre 2012 14
  15. 15. Dans quels cas s’applique la loi ? T R A I Il ne s’agit T E Suis-je en pas d’un Le responsable M E traitement mis du présence Un N Traitement en œuvre Traitement est Tde données dans le cadre sur le territoire S à de données d’activités O français ou les Ucaractère exclusivement moyens de Oui Mpersonnel ? Oui est-il mis Oui personnelles Oui I traitements sont S ou à situés sur le en œuvre ? des fins de territoire français A(art. 2 al. 1er de (art. 2) copies L la loi) temporaires ? (art. 5) A L (art. 2 et 4 ) O I Non Non Non Non Traitement non soumis à la loi « Informatique et Libertés » CIL - Réunion dinformation - Octobre 2012 15
  16. 16. Procédure1. Qui déclare ? Le responsable de traitement, celui qui met en œuvre le traitement2. Que déclarer ? Tout traitement de données à caractère personnel3. Exceptions : Certains types de traitement sont dispensés de déclaration (à titre de communication et d’information par exemple) – si un CIL est désigné4. Déclaration simplifiées : par exemple gestion du personnel CIL - Réunion dinformation - Octobre 2012 16
  17. 17. Différents types de formalités préalablesDéclaration : données à caractère personnelAutorisation : données sensibles, transfert hors UE, santé,génétique, infractions, condamnation, recherche en matièrede santé, évaluation des soins…Demande d’avis : Activités régaliennes de l’Etat (défense,sureté, sécurité publique, utilisation du NIR) CIL - Réunion dinformation - Octobre 2012 17
  18. 18. DECLARATION DECLARATION SIMPLIFIEEDECLARATION ORDINAIRE (si norme simplifiée) CIL CIL DEMANDE DE DEMANDE DECOMPLEMENTS COMPLEMENTS TRAITEMENT ENREGISTRE CIL - Réunion dinformation - Octobre 2012 18
  19. 19. DEMANDE D’AUTORISATION Demande d’autorisation établie par le CIL Demande d’autorisation CNILSilence de 2 mois (ou 4 mois) REFUS AUTORISATIONRECOURS JURIDICTIONNEL MISE EN OEUVRE CIL - Réunion dinformation - Octobre 2012 19
  20. 20. SECTEUR PUBLIC ET DEMANDE D’AVIS depuis 2004 DEMANDE D’AVIS + PROJET D’ACTE REGLEMENTAIRE établis par le CIL CNILSilence de 2 mois (ou 4 mois) AVIS FAVORABLE AVIS DEFAVORABLEACTE REGLEMENTAIRE ACTE REGLEMENTAIRE 20 CIL - Réunion dinformation - Octobre 2012
  21. 21. RECHERCHE / SANTE DEMANDE établie par le CIL COMITE CNIL CCTIRS Silence de 2 moisSilence d’un mois (ou 4 mois) AVIS REFUS AUTORISATION EXPRESSE RECOURS JURIDICTIONNEL CIL - Réunion dinformation - Octobre 2012 21
  22. 22. Quelques exemples de traitements de données à caractère personnel• Fichiers de paie, RH, fournisseurs …• Colloques…• Autocommutateurs téléphoniques, badges, cartes à mémoire, GPS (géolocalisation), reconnaissance biométrique...• Sites intranet, extranet...• Annuaires, trombinoscopes, listes d ’adresses… CIL - Réunion dinformation - Octobre 2012 22
  23. 23. CIL - Réunion dinformation - Octobre 2012 23
  24. 24. CIL - Réunion dinformation - Octobre 2012 24
  25. 25. FAQLe laboratoire souhaite installer un système de caméras de vidéosurveillance.Quelles sont les démarches à effectuer ?Qu’elles sont les formalités à effectuer dans le cas de données contenant desphotos de personnes ?En tant que CSSI du laboratoire , je dois déclarer un fichier Excel qui contientIP/MAc adresse et Noms des Personnes du laboratoire pour la PSSI de notrelaboratoire. Comment faire ?Les annuaires de laboratoire et les pages personnelles diffusées sur les sitesWeb des laboratoires entrent-elles dans la liste des traitements à recenser ? CIL - Réunion dinformation - Octobre 2012 25
  26. 26. Merci beaucoup pour votre attention L’équipe du CILRaymond DUVAL 03.83.85.64.25Sylvie COLLIGNON 03.83.85.64.26Emilie MASSON 03.83.85.64.26Karine METROT 03.83.85.64.30Marc GUICHARD 03.83.85.64.25 Le site web : http://www.cil.cnrs.fr info.contact@cil.cnrs.fr CIL - Réunion dinformation - Octobre 2012 26

×