320 likes | 411 Views
Formation Informatique et Libertés Les principes de la protection des données à caractère personnel et de la vie privée. A destination des personnels des établissements d’enseignement supérieur et de recherche. Licence Creative Commons BY-NC-SA. Sommaire.
E N D
FormationInformatique et Libertés Les principes de la protection des données à caractère personnel et de la vie privée A destination des personnels des établissements d’enseignement supérieur et de recherche Licence Creative Commons BY-NC-SA
Sommaire 1. La loi « Informatique et Libertés » en bref 2. Lesgrands principes de la protection des données 3. Le rôle du correspondant Informatique et Libertés (CIL) 2
1. La loi « Informatique et Libertés » en bref La loi « Informatique et Libertés » • La loi du 6 janvier 1978 dite « informatique et libertés » • porte création de la Commision Nationale de l’Informatique et des Libertés (CNIL) • Une refonte totale : loi du 6 août 2004 • transpose la directive européenne • adapte la loi aux évolutions technologiques et aux nouveaux enjeux (ex : biométrie) • dote la CNIL de nouveaux pouvoirs, avec notamment un pouvoir de sanction • introduit la fonction de « correspondant à la protection des données à caractère personnel » (CIL) 4
1. La loi « Informatique et Libertés » en bref La CNIL La CNIL dispose en 2009 de 132 postes Le budget global de 13 M€ a été augmenté de 100 % entre 2004 et 2009, source rapport d'activité 2009 5
1. La loi « Informatique et Libertés » en bref Missions de la CNIL • Informer les personnes concernées de leurs droits et les responsables de traitements de leurs obligations • Veiller à ce que les traitements soient mis en oeuvre conformément à la loi “Informatique & Libertés” • Contrôler leur conformité • Instruire les plaintes • Vérifier “sur le terrain” • Sanctionner en cas de non-respect de la loi 270 contrôles 4 265 plaintes 91 mises en demeure 5 sanctions financières 4 avertissements source rapport d'activité 2009 6
1. La loi « Informatique et Libertés » en bref Les mots-clés « informatique et libertés » • Donnée à caractère personnel • Fichier / traitement • Responsable du traitement 7
1. La loi « Informatique et Libertés » en bref Donnée à caractère personnel • Toute information relative • à une personne physique • identifiée ou susceptible de l’être, directement ou indirectement • par référence à un numéro d’identification (ex: n° de sécurité sociale) ou à un ou plusieurs éléments qui lui sont propres (ex: biométrie…) • Cas de l’établissement de statistiques : • Les données collectées sont nominatives • Le résultat statistique est anonyme • Les données nominatives doivent être supprimées dès obtention des résultats 8
1. La loi « Informatique et Libertés » en bref Fichier / traitement • Fichier : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés • Traitement : toute opération de collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, verrouillage, effacement, destruction (ex: bases de données, applications cartes à puce, sites web transferts de fichiers sur internet…) 9
1. La loi « Informatique et Libertés » en bref Responsable du traitement • Qui ? L’autorité, l’organisme, le service qui détermine les finalités du traitement et les moyens (notamment informatiques) nécessaires à sa mise en œuvre • En pratique : Pour les établissements d’enseignement supérieur (Universités, Grandes Ecoles, Grands Etablissements,...) : Président, Directeur, Administrateur Général,... Pour les UMR : à déterminer dans le contrat quadriennal entre les différentes tutelles 10
2. Les grands principes de la protection des données Les 5 grands principes • Finalité du traitement • Pertinence des données • Conservation limitée des données • Obligation de sécurité • Respect des droits des personnes 12
2. Les grands principes de la protection des données 1) Finalité du traitement • Une finalitédéterminée, explicite et légitime • Exemples : • Gestion des étudiants (scolarité,…) • La CNIL a refusé que des fichiers de caisses de sécurité sociale soient utilisés pour envoyer de la publicité aux assurés • Pas d’utilisation des fichiers administratifs à des fins de prospection politique… 13
2. Les grands principes de la protection des données 2) Pertinence des données • Données adéquates, pertinentes et non excessives au regard de la finalité poursuivie • Protection particulière pour les données sensibles : • Données, faisant apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données relatives à la santé ou à la vie sexuelle Le principe est l’interdiction de collecte. • Numéro de sécurité sociale 14
2. Les grands principes de la protection des données 3) Conservation limitée des données • Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques. • Une durée de conservation doit être établie en fonction de la finalité de chaque fichier. • Au-delà, elles doivent être archivées ou détruites, dans les conditions définies par l’instruction ministérielle concernant l’enseignement supérieur 15
2. Les grands principes de la protection des données 4) Obligation de confidentialité et de sécurité • Les données ne peuvent être consultées que par les services habilités, dans le cadre de leurs fonctions • Le responsable du traitement doit prendre toutes mesures pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès. • Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement. 16
2. Les grands principes de la protection des données 5) Respect des droits des personnes Le droit à l’information : la condition « sine qua non » pour l’exercice de tous les autres droits • Les personnes doivent être informées lors du recueil, de l’enregistrement ou de la première communication des données : • de la finalité du traitement • du caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse; • de l’identité du responsable du traitement; • des destinataires des données, • de leurs droits (droit d’accès et de rectification, droit d’opposition) • le cas échéant, des transferts de données vers des pays hors UE. 17
2. Les grands principes de la protection des données 5) Respect des droits des personnes Exemple de mentions d’information : “ Les informations recueillies font l’objet d’un traitement informatique destiné à ________ (préciser la finalité). Les destinataires des données sont : _________ (précisez).Conformément à la loi “Informatique et Libertés”, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser à __________(préciser le service).” 18
2. Les grands principes de la protection des données 5) Respect des droits des personnes Le droit d’opposition • Droit de s’opposer, pour des motifs légitimes, au traitement de ses données sauf si le traitement répond à une obligation légale • Droit de s’opposer, sans frais, à l’utilisation de ses données à des fins de prospection commerciale : droit à la « tranquillité » 19
2. Les grands principes de la protection des données 5) Respect des droits des personnes Le droit d’accès et de rectification • Toute personne justifiant son identité peut gratuitement, sur simple demande, avoir accès à l’intégralité des informations la concernant et les rectifier ou les compléter • Droit d’accès indirect : pour les fichiers intéressant la sûreté, défense ou sécurité publique 20
3. Le rôle du CorrespondantInformatique et Libertés • 6 000 organismes ont désigné un CIL. • 1 500 correspondants sont en activité source : 30ème rapport d'activité 2009 21
3. Le rôle du Correspondant Informatique et Libertés La désignation du CIL • Une possibilité introduite en 2004 à l’occasion de la refonte de la loi du 6 janvier 1978 • « Le Correspondant est « chargé d’assurer d’une manière indépendante, le respect des obligations prévues dans la présente loi » • La désignation est facultative et ouverte à tout responsable de traitement • Elle entraîne un allègement des formalités • Elle implique un engagement du responsable de traitement vers une meilleure application de la loi 22
3. Le rôle du Correspondant Informatique et Libertés Rôle du CIL vis-à-vis des autres acteurs CNIL Formalités(autorisations,avis) Contact privilégié Services chargésde la mise en oeuvre Projet Alerte si besoin Responsable de traitements Recommandations Rapport annuel Aide Mise à jour du registre Information ---------- ---------- ---------- Demande d’accès Consultation Personnes fichées 23
3. Le rôle du Correspondant Informatique et Libertés En amont des nouveaux traitements • Tout projet de traitement doit être soumis au CIL • Il faut définir : • La finalité • Les personnes concernées • Les catégories de données traitées • Les destinataires • La durée de conservation des données • Le contact pour l’exercice du droit d’accès • Les modalités d’information 24
3. Le rôle du Correspondant Informatique et Libertés En amont (suite) • Le CIL évalue, avec les services concernés : • La proportionnalité des caractéristiques du traitement par rapport à la finalité • Les besoins de sécurité • Les formalités adéquates • Le CIL émet des recommandations • Le CIL effectue les formalités nécessaires 25
3. Le rôle du Correspondant Informatique et Libertés Les différents types de formalités • Le régime applicable dépend de la sensibilité des données • Graduation : • Dispense de formalités • Déclaration / inscription sur le registre interne du CIL • Demande d’autorisation • Demandes d’avis Attention au délai de traitement pour les demandes d’autorisation et d’avis !! 26
3. Le rôle du Correspondant Informatique et Libertés Le registre des traitements • Le CIL tient le registre interne des traitements • Accessible à tous (comme le « fichier des fichiers » de la CNIL) • Recense : • Les traitements relevant du régime de déclaration (obligatoire) • Les traitements soumis à avis ou autorisation de la CNIL (conseillé) • Les traitements exonérés de formalités (conseillé) 27
3. Le rôle du Correspondant Informatique et Libertés Dans quels cas contacter le CIL ? • Les services gestionnaires peuvent s’adresser au CIL pour avoir des éclairages : • Sur la communication de données à des tiers • Sur la durée de conservation des données • Sur la réponse à donner aux personnes fichées (ex : exercice du droit d’accès des étudiants) 28
3. Le rôle du Correspondant Informatique et Libertés En cas de différend • Le CIL joue un rôle de médiateur • Si le problème subsiste, le CIL alerte le responsable de traitements • Pas de transfert de responsabilité sur le CIL • Recherche de solutions avec le responsable de traitements • Si besoin, le CIL peut saisir, seul ou conjointement avec le responsable de traitements, la CNIL des difficultés rencontrées N.B. Le CIL n’est pas un délateur au service de la CNIL !! 29
3. Le rôle du Correspondant Informatique et Libertés Diffusion de la culture Informatique et Libertés • Mission d’information et de pédagogie : diffusion de la culture Informatique et Libertés • Le CIL informe l’ensemble des utilisateurs • Information tous publics (mentions d’information lors de la collecte,...) • Formation continue des personnels • Formation des étudiants : le CIL peut être associé à la réflexion pédagogique sur le C2i 30
Conclusion • Un des droits fondamentaux de la personne • Capital “vie privée” à protéger • Acquérir des réflexes Informatique et Libertés • En tant que ficheur • En tant que personne fichée • Prise de conscience des impacts des évolutions technologiques 31