1. Loi Informatique et libertés
Cadre réglementaire
1 – Loi Informatique et Libertés
La loi Informatique et Libertés du 6 janvier 1978 modifiée par la
loi du 6 août 2004 définit les principes à respecter lors de la collecte,
du traitement et de la conservation des données personnelles.
Elle renforce le droit des personnes sur leurs données et prévoit une
simplification des formalités administratives déclaratives et
précise les pouvoirs de contrôle et de sanction de la CNIL.
CIL - Réunion d'information - Octobre 2012 1
2. La CNIL
La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen
et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la
vie privée, ni aux libertés individuelles ou publiques.
Elle exerce ses missions conformément à la Loi Informatique et Libertés qui la
qualifie d’autorité administrative indépendante.
- Le contrôle de la conformité à la Loi des projets de fichiers et traitements
- Le rôle de conseil et d’information
- L’instruction des plaintes
- Le pouvoir de vérification sur place
- Le pouvoir de sanction.
CIL - Réunion d'information - Octobre 2012 2
3. Définitions
1 – Données personnelles (Art.2 de la Loi Informatique et Libertés)
« Constitue une donnée à caractère personnel toute information relative à une personne
physique identifiée ou qui peut être identifiée directement ou indirectement, par référence à
un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des
moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le
responsable du traitement ou toute autre personne. »
« La personne concernée par un traitement de données à caractère personnel est celle à
laquelle se rapportent les données qui font l’objet du traitement. »
2 – Traitement
C’est un traitement automatisé ou un fichier manuel de données à caractère personnel dont le
responsable est établi sur le territoire français ou qui recourt à des moyens de traitement
situés sur ces territoires qui sont régis par la Loi Informatique et Libertés.
Attention : les dispositions de la Loi Informatique et Libertés s’appliquent dès la phase
de collecte des données et non pas dès leur mise sur informatique.
CIL - Réunion d'information - Octobre 2012 3
4. Qu’est-ce qu’une donnée sensible ?
Les données sensibles sont celles qui font apparaître, directement ou
indirectement, les origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont
relatives à la santé ou à la vie sexuelle de celles-ci.
Par principe, la collecte et le traitement de ces données sont interdites.
Cependant, dans la mesure où la finalité du traitement l’exige, ne sont pas soumis
à cette interdiction :
- les traitements pour lesquels la personne concernée a donné son
consentement exprès
- les traitements justifiés par un intérêt public après autorisation de la CNIL
ou décret en Conseil d’Etat.
CIL - Réunion d'information - Octobre 2012 4
5. Qu’est-ce qu’une donnée sensible ? (suite)
Autres données à risque :
- Données génétiques
- Données relatives aux infractions pénales, aux condamnations…
- Données comportant des appréciations sur les difficultés sociales des personnes
- Données biométriques
- Données comportant le NIR.
CIL - Réunion d'information - Octobre 2012 5
6. Loi Informatique et libertés - Cadre réglementaire
Fonctions du CIL
Le Correspondant Informatique et Libertés (CIL) est aussi appelé
« Correspondant à la protection des données personnelles (CPDP) »
Le CIL se positionne en intermédiaire entre le responsable des traitements des données
concernées et la CNIL. Il est responsable :
- de la création et de la mise à jour d’une liste des traitements effectués
- de la publicité de cette liste
- d’une fonction d’information, de conseil et de recommandation auprès des responsables
des traitements
- de l’intermédiation CNIL/CNRS
- d’une fonction d’alerte
- de veiller au respect des principes de la protection des données personnelles ; d’informer
les personnes au sujet de l’existence de leurs droits d’accès, de rectification et d’opposition.
Il reçoit les demandes et réclamations des personnes concernées et les transmet aux services
intéressés.
CIL - Réunion d'information - Octobre 2012 6
7. Loi Informatique et libertés - Cadre réglementaire (suite)
Les missions complémentaires du CIL :
•Mener des actions pédagogiques
•Organiser des missions d’audits
•Mener ou faire mener des études de risque
•Elaborer de codes de conduites
•Appliquer
CIL - Réunion d'information - Octobre 2012 7
8. Les règles d’or de la protection des données
1 – Le principe de finalité
Les données à caractère personnel ne peuvent être recueillies et traitées
que pour un usage déterminé, explicite et légitime, correspondant aux
missions de l’établissement, responsable du traitement.
Tout détournement de finalité est passible de sanctions pénales.
2 – Le principe de proportionnalité
Seules doivent être enregistrées les informations pertinentes et
nécessaires pour leur finalité.
CIL - Réunion d'information - Octobre 2012 8
9. Les règles d’or de la protection des données (suite)
3 – Le principe de pertinence des données
• Les données personnelles doivent être adéquates, pertinentes et non
excessives au regard des objectifs poursuivis.
• Interdiction de collecter les données sensibles :
. Sauf exceptions (consentements, intérêt public…)
• Interdiction de traiter les infractions, condamnations, mesures de
sûreté :
. Sauf exceptions (juridictions, auxiliaires de justice, etc.)
4 – Le principe de durée limitée de conservation de données
Les informations ne peuvent pas être conservées de façon indéfinie dans
les fichiers informatiques.
Une durée de conservation doit être établie en fonction de la finalité
de chaque fichier.
Au-delà les données peuvent être archivées sur un support distinct.
CIL - Réunion d'information - Octobre 2012 9
10. Les règles d’or de la protection des données (suite)
5 – Le principe de sécurité et de confidentialité
Le responsable de traitement est astreint à une obligation de sécurité.
Il doit faire prendre les mesures nécessaires pour garantir l’intégrité la confidentialité
des données et éviter leur divulgation.
6 – Le principe de transparence – Droit à l’information
Les personnes doivent être informées, lors du recueil, de l’enregistrement ou de la
première communication des données :
-de la finalité du traitement ;
-du caractère obligatoire ou facultatif des réponses et des conséquences d’un
défaut de réponse ;
-de l’identité du responsable de traitement ;
-des destinataires des données ;
-de leurs droits (droit d’accès et de rectification, droit d’opposition)
-le cas échéant, des transferts de données vers des pays hors U.E.
Exemple :
« les informations recueillies font l’objet d’un traitement informatique destiné à (veuillez préciser la finalité).
Les destinataires des données sont…. Conformément à la loi Informatique et Libertés du 6 janvier 1978
modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent,
que vous pouvez exercer en vous adressant à… (préciser le service et l’adresse) »
CIL - Réunion d'information - Octobre 2012 10
11. Les règles d’or de la protection des données (suite)
7 - Respect des droits des personnes : droit d’opposition
Toute personne a le droit de s’opposer, pour des motifs légitimes,
au traitement de ses données sauf si le traitement répond à une
obligation légale (ex : fichiers des impôts) ;
Tempérament : toute personne a le droit de s’opposer, sans frais et
sans motif légitime, à l’utilisation de ses données à des fins de
prospection commerciale : droit à la « tranquillité ».
8 - Respect des droits des personnes : droit d’accès et de rectification
Toute personne peut, directement auprès du responsable des
traitements, avoir accès à l’ensemble des informations la concernant,
en obtenir la copie et exiger qu’elles soient, selon les cas, rectifiées,
complétées, mises à jour ou supprimées
CIL - Réunion d'information - Octobre 2012 11
12. Comment réaliser une « collecte licite et loyale » ?
Finalité
Déterminée
Explicite
Légitime
(1)
Données
Respect des droits des -Adéquates
personnes -Pertinentes
(6) -Non excessives au
regard des finalités
(2)
?
Durée de conservation
Destinataires limités
limitée
(5)
(3)
Sécurité
(4)
CIL - Réunion d'information - Octobre 2012 12
13. Qui ?
L’autorité, l’organisme, le service qui détermine les finalités du
traitement et les moyens (notamment informatiques, financiers,
humains) nécessaires à sa mise en œuvre.
Où ?
Etabli sur le territoire français (installation stable, quelle que soit sa
forme juridique, filiale, succursale…) ou recourt à des moyens de
traitement situés sur le territoire français
CIL - Réunion d'information - Octobre 2012 13
14. Obligations du responsable de traitement
1. Recueillir le consentement de la personne
2. Respecter les objectifs du fichier (sa finalité)
3. Protéger le fichier
4. Ne pas divulguer les informations
5. Agir dans la transparence – Informer
6. Déclarer les fichiers
CIL - Réunion d'information - Octobre 2012 14
15. Dans quels cas s’applique la loi ?
T
R
A
I
Il ne s’agit T
E
Suis-je en pas d’un Le responsable M
E
traitement mis du
présence Un N
Traitement en œuvre Traitement est T
de données dans le cadre sur le territoire S
à de données d’activités O
français ou les U
caractère exclusivement moyens de Oui M
personnel ? Oui est-il mis Oui personnelles Oui I
traitements sont S
ou à situés sur le
en œuvre ?
des fins de territoire français A
(art. 2 al. 1er de (art. 2) copies L
la loi) temporaires ? (art. 5) A
L
(art. 2 et 4 ) O
I
Non Non Non
Non
Traitement non soumis à la loi « Informatique et Libertés »
CIL - Réunion d'information - Octobre 2012 15
16. Procédure
1. Qui déclare ?
Le responsable de traitement, celui qui met en œuvre le traitement
2. Que déclarer ?
Tout traitement de données à caractère personnel
3. Exceptions :
Certains types de traitement sont dispensés de déclaration (à
titre
de communication et d’information par exemple) – si un CIL est
désigné
4. Déclaration simplifiées : par exemple gestion du personnel
CIL - Réunion d'information - Octobre 2012 16
17. Différents types de formalités préalables
Déclaration : données à caractère personnel
Autorisation : données sensibles, transfert hors UE, santé,
génétique, infractions, condamnation, recherche en matière
de santé, évaluation des soins…
Demande d’avis : Activités régaliennes de l’Etat (défense,
sureté, sécurité publique, utilisation du NIR)
CIL - Réunion d'information - Octobre 2012 17
18. DECLARATION
DECLARATION SIMPLIFIEE
DECLARATION ORDINAIRE
(si norme simplifiée)
CIL CIL
DEMANDE DE DEMANDE DE
COMPLEMENTS COMPLEMENTS
TRAITEMENT ENREGISTRE
CIL - Réunion d'information - Octobre 2012 18
19. DEMANDE D’AUTORISATION
Demande d’autorisation établie par le CIL
Demande d’autorisation
CNIL
Silence de 2 mois
(ou 4 mois)
REFUS AUTORISATION
RECOURS JURIDICTIONNEL MISE EN OEUVRE
CIL - Réunion d'information - Octobre 2012 19
20. SECTEUR PUBLIC ET DEMANDE D’AVIS
depuis 2004
DEMANDE D’AVIS
+ PROJET D’ACTE REGLEMENTAIRE établis par le CIL
CNIL
Silence de 2 mois
(ou 4 mois)
AVIS FAVORABLE AVIS DEFAVORABLE
ACTE REGLEMENTAIRE ACTE REGLEMENTAIRE
20
CIL - Réunion d'information - Octobre 2012
21. RECHERCHE / SANTE
DEMANDE établie par le CIL
COMITE CNIL
CCTIRS
Silence de 2 mois
Silence d’un mois
(ou 4 mois)
AVIS REFUS AUTORISATION
EXPRESSE
RECOURS JURIDICTIONNEL
CIL - Réunion d'information - Octobre 2012 21
22. Quelques exemples de traitements de données à
caractère personnel
• Fichiers de paie, RH, fournisseurs …
• Colloques…
• Autocommutateurs téléphoniques, badges, cartes à mémoire, GPS
(géolocalisation), reconnaissance biométrique...
• Sites intranet, extranet...
• Annuaires, trombinoscopes, listes d ’adresses…
CIL - Réunion d'information - Octobre 2012 22
25. FAQ
Le laboratoire souhaite installer un système de caméras de vidéosurveillance.
Quelles sont les démarches à effectuer ?
Qu’elles sont les formalités à effectuer dans le cas de données contenant des
photos de personnes ?
En tant que CSSI du laboratoire , je dois déclarer un fichier Excel qui contient
IP/MAc adresse et Noms des Personnes du laboratoire pour la PSSI de notre
laboratoire. Comment faire ?
Les annuaires de laboratoire et les pages personnelles diffusées sur les sites
Web des laboratoires entrent-elles dans la liste des traitements à recenser ?
CIL - Réunion d'information - Octobre 2012 25
26. Merci beaucoup pour votre attention
L’équipe du CIL
Raymond DUVAL 03.83.85.64.25
Sylvie COLLIGNON 03.83.85.64.26
Emilie MASSON 03.83.85.64.26
Karine METROT 03.83.85.64.30
Marc GUICHARD 03.83.85.64.25
Le site web : http://www.cil.cnrs.fr
info.contact@cil.cnrs.fr
CIL - Réunion d'information - Octobre 2012 26