Protection des données personnelles au CNRS

1,577 views
1,430 views

Published on

Présentation des enjeux de la loi Informatique et libertés et son application au CNRS

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,577
On SlideShare
0
From Embeds
0
Number of Embeds
96
Actions
Shares
0
Downloads
43
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Protection des données personnelles au CNRS

  1. 1. Loi Informatique et libertés Cadre réglementaire1 – Loi Informatique et LibertésLa loi Informatique et Libertés du 6 janvier 1978 modifiée par laloi du 6 août 2004 définit les principes à respecter lors de la collecte,du traitement et de la conservation des données personnelles.Elle renforce le droit des personnes sur leurs données et prévoit unesimplification des formalités administratives déclaratives etprécise les pouvoirs de contrôle et de sanction de la CNIL. CIL - Réunion dinformation - mars 2012 1
  2. 2. Loi Informatique et libertés - Cadre réglementaire (suite) 2 – Fonctions du CILLe Correspondant Informatique et Libertés (CIL) est aussi appelé« Correspondant à la protection des données personnelles (CPDP) »Le CIL se positionne en intermédiaire entre le responsable des traitements des donnéesconcernées et la CNIL :Il est responsable :- de la création et de la mise à jour d’une liste des traitements effectués- de la publicité de cette liste- d’une fonction d’information, de conseil et de recommandation auprès des responsables des traitements- de l’intermédiation CNIL/CNRS- d’une fonction d’alerte- de veiller au respect des principes de la protection des données personnelles ; d’informer les personnes au sujet de l’existence de leurs droits d’accès, de rectification et d’opposition. CIL - Réunion dinformation - mars 2012 2
  3. 3. La CNILLa CNIL est chargée de veiller à ce que l’informatique soit au service du citoyenet qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à lavie privée, ni aux libertés individuelles ou publiques.Elle exerce ses missions conformément à la Loi Informatique et Libertés qui laqualifie d’autorité administrative indépendante.- Le contrôle de la conformité à la Loi des projets de fichiers et traitements- Le rôle de conseil et d’information- L’instruction des plaintes- Le pouvoir de vérification sur place- Le pouvoir de sanction. CIL - Réunion dinformation - mars 2012 3
  4. 4. Qu’est-ce qu’une donnée personnelle ? Art.2 de la Loi Informatique et Libertés« Constitue une donnée à caractère personnel toute information relative à unepersonne physique identifiée ou qui peut être identifiée directement ouindirectement, par référence à un numéro d’identification ou à un ou plusieurséléments qui lui sont propres.Pour déterminer si une personne est identifiable, il convient de considérerl’ensemble des moyens en vue de permettre son identification dont dispose ouauxquels peut avoir accès le responsable du traitement ou toute autre personne. »« La personne concernée par un traitement de données à caractère personnelest celle à laquelle se rapportent les données qui font l’objet du traitement. » CIL - Réunion dinformation - mars 2012 4
  5. 5. Qu’est-ce qu’une donnée sensible ?Les données sensibles sont celles qui font apparaître, directement ouindirectement, les origines raciales ou ethniques, les opinions politiques,philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sontrelatives à la santé ou à la vie sexuelle de celles-ci.Par principe, la collecte et le traitement de ces données sont interdites.Cependant, dans la mesure où la finalité du traitement l’exige, ne sont pas soumisà cette interdiction :- les traitements pour lesquels la personne concernée a donné son consentement exprès- les traitements justifiés par un intérêt public après autorisation de la CNIL ou décret en Conseil d’Etat. CIL - Réunion dinformation - mars 2012 5
  6. 6. Qu’est-ce qu’une donnée sensible ? (suite)Autres données à risque :- Données génétiques- Données relatives aux infractions pénales, aux condamnations…- Données comportant des appréciations sur les difficultés sociales des personnes- Données biométriques- Données comportant le NIR. CIL - Réunion dinformation - mars 2012 6
  7. 7. Qu’est-ce qu’un traitement régi par la Loi Informatique et Libertés ?C’est un traitement automatisé ou un fichier manuel de données à caractèrepersonnel dont le responsable est établi sur le territoire français ou qui recourt àdes moyens de traitement situés sur ces territoires qui sont régis par la LoiInformatique et Libertés.Exemples de traitements :- Fichiers d’adresses, base contacts, autocom, espaces numériques de travail…- Procédure de télétransmission de données personnelles, d’interconnexion, de consultation.Attention : les dispositions de la Loi Informatique et Libertés s’appliquentdès la phase de collecte des données et non pas dès leur mise surinformatique. CIL - Réunion dinformation - mars 2012 7
  8. 8. Principe de la protection des données personnelles1 – Le principe de finalitéLes données à caractère personnel ne peuvent être recueillies et traitéesque pour un usage déterminé et légitime, correspondant aux missionsde l’établissement, responsable du traitement.Tout détournement de finalité est passible de sanctions pénales.2 – Le principe de proportionnalitéSeules doivent être enregistrées les informations pertinentes etnécessaires pour leur finalité. CIL - Réunion dinformation - mars 2012 8
  9. 9. Principe de la protection des données personnelles (suite)3 – Le principe de pertinence des donnéesLes données personnelles doivent être adéquates, pertinentes et nonexcessives au regard des objectifs poursuivis.4 – Le principe de durée limitée de conservation de donnéesLes informations ne peuvent pas être conservées de façon indéfinie dansles fichiers informatiques.Une durée de conservation doit être établie en fonction de la finalitéde chaque fichier.Au-delà les données peuvent être archivées sur un support distinct. CIL - Réunion dinformation - mars 2012 9
  10. 10. Principe de la protection des données personnelles (suite)5 – Le principe de sécurité et de confidentialitéLe responsable de traitement est astreint à une obligation de sécurité.Il doit faire prendre les mesures nécessaires pour garantir la confidentialité desdonnées et éviter leur divulgation.6 – Le principe de transparenceLa loi garantit aux personnes l’information nécessaire relative aux traitementsauxquels sont soumises des données les concernant et les assure de la possibilitéd’un contrôle personnel.Le responsable de traitement des données personnelles doit avertir ces personnesdès la collecte des données et en cas de transmission de ces données à des tiers.7 – Le principe du respect des droits des personnes- Informer les intéressés- Les droits d’accès et de rectification- Le droit d’opposition CIL - Réunion dinformation - mars 2012 10
  11. 11. Qu’est-ce qu’un fichier ?Au sens de la Loi Informatique et Libertés, tout ensemble structuré etstable de données à caractère personnel accessibles selon descritères déterminés.Ensemble de fichiers, listes ou dossiers structuré par un système declassement ou d’indexation permettant d’accéder facilement auxdonnées. → Un fichier peut donc être « papier » ou « électronique ». CIL - Réunion dinformation - mars 2012 11
  12. 12. Obligations du responsable de traitement1. Recueillir le consentement de la personne2. Respecter les objectifs du fichier (sa finalité)3. Protéger le fichier4. Ne pas divulguer les informations5. Agir dans la transparence – Informer6. Déclarer les fichiers CIL - Réunion dinformation - mars 2012 12
  13. 13. Procédure• Qui déclare ? Le responsable de traitement, celui qui met en œuvre le traitement2. Que déclarer ? Tout traitement de données à caractère personnel3. Exceptions : Certains types de traitement sont dispensés de déclaration (à titre de communication et d’information par exemple) – si un CIL est désigné4. Déclaration simplifiées : par exemple gestion du personnel CIL - Réunion dinformation - mars 2012 13
  14. 14. Différents types de formalités préalablesDéclaration : données à caractère personnelAutorisation : données sensibles, transfert hors UE, santé,génétique, infractions, condamnation, recherche en matièrede santé, évaluation des soins…Demande d’avis : Activités régaliennes de l’Etat (défense,sureté, sécurité publique, utilisation du NIR CIL - Réunion dinformation - mars 2012 14
  15. 15. DECLARATION DECLARATION SIMPLIFIEEDECLARATION ORDINAIRE (si norme simplifiée) CIL CIL DEMANDE DE DEMANDE DECOMPLEMENTS COMPLEMENTS TRAITEMENT ENREGISTRE CIL - Réunion dinformation - mars 2012 15
  16. 16. DEMANDE D’AUTORISATION Demande d’autorisation établie par le CIL Demande d’autorisation CNILSilence de 2 mois (ou 4 mois) REFUS AUTORISATIONRECOURS JURIDICTIONNEL MISE EN OEUVRE CIL - Réunion dinformation - mars 2012 16
  17. 17. SECTEUR PUBLIC ET DEMANDE D’AVIS depuis 2004 DEMANDE D’AVIS + PROJET D’ACTE REGLEMENTAIRE établis par le CIL CNILSilence de 2 mois (ou 4 mois) AVIS FAVORABLE AVIS DEFAVORABLEACTE REGLEMENTAIRE ACTE REGLEMENTAIRE 17 CIL - Réunion dinformation - mars 2012
  18. 18. RECHERCHE / SANTE DEMANDE établie par le CIL COMITE CNIL Silence de 2 moisSilence d’un mois (ou 4 mois) AVIS REFUS AUTORISATION EXPRESSE RECOURS JURIDICTIONNEL CIL - Réunion dinformation - mars 2012 18
  19. 19. Quelques exemples de traitements de données à caractère personnel• Fichiers de paie, RH, fournisseurs …• Colloques…• Autocommutateurs téléphoniques, badges, cartes à mémoire, GPS (géolocalisation), reconnaissance biométrique...• Sites intranet, extranet...• Annuaires, trombinoscopes, listes d ’adresses… CIL - Réunion dinformation - mars 2012 19
  20. 20. Déclaration de traitements comportant des données à caractère personnel1 – Faire l’état des traitements existants dans sa structureChaque entité CNRS (Délégation, direction, unité) doit faireannuellement l’état exhaustif des traitements existants (déjà déclarésou non), le mettre à jour et le transmettre au Correspondant informatiqueet libertés.Télécharger l’état Excel à remplir :http://www.cil.cnrs.fr/CIL/spip.php?article14242 – Déclarer un traitementTout nouveau traitement comportant des données personnelles doitêtre déclaré au Correspondant informatique et libertés.Télécharger le formulaire de déclaration à remplir :http://www.cil.cnrs.fr/CIL/spip.php?rubrique203 CIL - Réunion dinformation - mars 2012 20
  21. 21. CIL - Réunion dinformation - mars 2012 21
  22. 22. CIL - Réunion dinformation - mars 2012 22
  23. 23. Exemple de mention« les informations recueillies font l’objet d’un traitement informatiquedestiné à (veuillez préciser la finalité). Les destinataires des donnéessont…. Conformément à la loi Informatique et Libertés du 6 janvier 1978modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification auxinformations qui vous concernent, que vous pouvez exercer en vousadressant à… (préciser le service et l’adresse) » CIL - Réunion dinformation - mars 2012 23
  24. 24. FAQJe souhaite créer une mailing list qui regrouperait les e-mails des enseignantsavec lesquels le laboratoire a été en contactQu’elles sont les formalités à effectuer dans le cas de données contenant desphotos de personnes ?"En tant que CSSI du laboratoire , je dois déclarer un fichier Excel qui contientIP/MAc adresse et Noms des Personnes du laboratoire pour la PSSI de notrelaboratoire. Comment faire ?Les annuaires de laboratoire et les pages personnelles diffusées sur les sitesWeb des laboratoires entrent-elles dans la liste des traitements à recenser ? CIL - Réunion dinformation - mars 2012 24
  25. 25. L’équipe du CILRaymond DUVAL 03.83.85.64.25Sylvie COLLIGNON 03.83.85.64.26Emilie MASSON 03.83.85.64.26Karine METROT 03.83.85.64.30Marc GUICHARD 03.83.85.64.25 Le site web : http://www.cil.cnrs.fr info.contact@cil.cnrs.fr CIL - Réunion dinformation - mars 2012 25

×