La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Www.cdg60.com Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques :

Présentations similaires


Présentation au sujet: "Www.cdg60.com Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques :"— Transcription de la présentation:

1 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités Centre de Gestion de lOise La Loi Informatique et Libertés et la CNIL, Quels risques pour la collectivité ? Réunion du 5 février 2013 CDG 60 Page 1

2 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités Centre de gestion de lOise Quest-ce que la Loi Informatique et Libertés ? Quels sont les risques pour la collectivité en cas dinfraction à la Loi Informatique et Libertés ? Comment de conformer à la Loi Informatique et Libertés ? Page 2

3 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités Introduction I – La CNIL, garante de la bonne gestion des données personnelles A – Historique de la CNIL B – Les différentes missions de la CNIL C – Les mots clés de la Loi Informatique et Libertés D – Que dit la Loi Informatique et Libertés ? II – Données personnelles et collectivités locales A – Les 5 règles dor de la protection des données personnelles B – La collecte des données personnelles par une collectivité : les formalités à remplir C – La sécurité des données personnelles III – Le Correspondant Informatique et Libertés, un facteur de sécurité juridique pour les collectivités A – Les avantages de la désignation dun CIL B – Les avantages du CIL mutualisé C – Exemple pratique dun audit des fichiers réalisé en collectivité Page 3

4 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités Introduction Partie 1 : La CNIL, Garante de la bonne utilisation des données personnelles Page 4

5 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités I – La CNIL, garante de la bonne utilisation des données personnelles A – Historique de la CNIL Elément déclencheur : le projet « SAFARI » et la crainte dun fichage général de la population par ladministration Deux conséquences directes : - Le vote de la Loi Informatique et Libertés, destinée à règlementer lutilisation des données personnelles par les entreprises, administrations, collectivités, etc ; - La création de la CNIL, 1 ère AAI chargée de veiller à lapplication de la Loi Info et Libertés et notamment à ce que linformatique ne porte atteinte ni à lidentité humaine, ni à la vie privée, ni aux libertés individuelles et publiques Page 5

6 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités I – La CNIL, garante de la bonne utilisation des données personnelles Page 6 B – La CNIL, composition et missions - Une AAI composée de 17 membres (magistrats, parlementaires, hauts fonctionnaires, etc,) ; - Dotée dune présidente, Isabelle Falque-Pierrotin ; - Les membres de la CNIL ne reçoivent dinstruction daucune autorité ; - Budget : 13 millions deuros / an ; - Services : 160 personnes - Dotée de plusieurs missions : conseil au gouvernement, mission de règlementation, de contrôle et de sanction

7 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités I – La CNIL, garante de la bonne utilisation des données personnelles B – La CNIL, composition et missions Les chiffres clés de la CNIL en 2011 : 1969 délibérations adoptées ; 93 avis sur des normes prises par le gouvernement ; 151 contrôles relatifs à la vidéo protection ; 65 mises en demeure ; 13 avertissements ; 5 sanctions financières ; 2 relaxes. Page 7

8 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités I – La CNIL, garante de la bonne utilisation des données personnelles C – Les mots clés de la Loi Informatique et Libertés Donnée à caractère personnel : Toute information relative à une personne physique ; Identifiée ou susceptible de lêtre, directement ou indirectement ; Par référence à un numéro didentification ou non ; Exemples concrets : nom, adresse, mais aussi données de géo localisation, nombre de personnes au foyer, etc. ; Dans certains cas, même les adresses IP peuvent être considérées comme des données personnelles ; Page 8

9 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités I – La CNIL, garante de la bonne utilisation des données personnelles C – Les mots clés de la Loi Informatique et Libertés Traitement : Toute opération de collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, etc. ; Fichier : Tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés Page 9

10 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités I – La CNIL, garante de la bonne utilisation des données personnelles C – Les mots clés de la Loi Informatique et Libertés Responsable de traitement : Lautorité, lorganisme, le service qui détermine les finalités du traitement et les moyens nécessaires à sa mise en œuvre ; Cest la personne morale représentée par le représentant légal de lorganisme : le président de lEPCI, le maire de la commune, etc. ; Page 10

11 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités I – La CNIL, garante de la bonne utilisation des données personnelles D – Que dit la Loi Informatique et Libertés ? Le droit dinformation ; Le droit dopposition ; Le droit daccès ; Le droit de rectification ; Page 11

12 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités locales Partie 2 : La gestion des données personnelles par les collectivités locales Page 12

13 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités locales A – Les 5 règles dor de la protection des données personnelles Finalité du traitement ; Pertinence des données ; Conservation limitée des données ; Obligation de sécurité ; Respect des droits des personnes à linformation ; Page 13

14 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités locales A – Les 5 règles dor de la protection des données personnelles Finalité du traitement : Les données donnés sont collectées pour une finalité déterminée, explicite et légitime ; La finalité ne doit pas être trop vague ; Si changement de finalité, alors obligation de re déclarer le traitement ; Le détournement de finalité est pénalement sanctionné ; Page 14

15 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités locales A – Les 5 règles dor de la protection des données personnelles Pertinence des données : Interdiction de collecter les données sensibles qui font apparaitre, directement ou indirectement, les origines raciales ou ethniques, opinions politiques ou religieuses, lappartenance syndicale ou la vie sexuelle ; Interdiction de traiter les infractions, condamnations ou mesures de sûreté, sauf exceptions ; Page 15

16 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités locales A – Les 5 règles dor de la protection des données personnelles Conservation limitée des données : Les données ne peuvent être conservées dans les fichiers au-delà de la durée nécessaire à la réalisation de la finalité poursuivie ; A lissue de cette durée, les données doivent être archivées, anonymisées ou effacées dans des conditions très précises ; Larchivage constitue un bon moyen de se conformer à la Loi Info et Libertés Page 16

17 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités locales A – Les 5 règles dor de la protection des données personnelles Obligation de sécurité : Le responsable de traitement doit veiller au respect de lintégrité et de la confidentialité des données ; Les données ne peuvent quêtre communiquées quà des destinataires légitimes et précisément identifiées ainsi quaux personnes autorisées à en connaitre en application dun texte législatif ou règlementaire ; Les mesures de sécurité physique et logique doivent être adaptées à la nature des données et aux risques adaptés à la nature des données ; Une DSI, ainsi que le CIL, peuvent être des bons moyens pour se conformer à la Loi Info et Libertés ; Page 17

18 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités locales A – Les 5 règles dor de la protection des données personnelles Respect des droits à linformation : Obligation dinformer ladministré, lors du recueil de linformation, des finalités du traitement, de leurs droits daccès, dopposition et de rectification de leurs données personnelles ; Toute personne peut, directement auprès du responsable du traitement, avoir accès à lensemble des informations la concernant ; Délai de réponse de ladministration = 2 mois ; Page 18

19 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités locales B – La collecte des données par une collectivité : les formalités à remplir 1 – La collecte des données par la collectivité : La collectivité doit faire figurer plusieurs mentions obligatoires sur son formulaire, notamment : - Le caractère obligatoire ou facultatif des réponses ; - Les droits daccès, de rectification et dopposition aux données personnelles ; A défaut dune telle mention, possibilité de se voir infliger une amende (Art du code pénal). Page 19

20 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités locales B – La collecte des données par une collectivité : les formalités à remplir 1 – La collecte des données par la collectivité : Dans lidéal, mentionner une phrase type : « * : Champ facultatif Conformément à la Loi Informatique et Libertés, vous disposez dun droit daccès, de rectification et dopposition au traitement de vos données personnelles. Vous pouvez exercer ce doit auprès du responsable du traitement en envoyant un courrier à la mairie ou un mail à ladresse suivante : » Page 20

21 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités locales B – La collecte des données par une collectivité : les formalités à remplir 2 – Les formalités préalables : Plusieurs types de formalités préalables en fonction de la nature et de la finalité du traitement : La déclaration de conformité, Article 9 Loi Info et Libertés ; La demande dautorisation, Article 25 Loi Info et Libertés ; La demande davis, Article 27 Loi Info et Libertés ; Page 21

22 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités B – La collecte des données par une collectivité : les formalités à remplir 2 – Les formalités préalables : En réalité, plusieurs solutions en fonction du fichier : Soit le fichier relève du régime de la déclaration normale, donc obligation de déclarer le fichier auprès de la CNIL ; Soit une norme a été prise pour exonérer certains fichiers de lobligation de déclaration : exemple, autorisation unique pour les fichiers de personnel ; Ou la collectivité a pris un CIL et celui-ci a réalisé son fichier des fichiers : exonération de déclaration à la CNIL ; Soit le fichier comporte dautres informations que celles mentionnées dans lautorisation unique : demande davis ou situation illégale au regard dautres dispositions et donc possible infraction; Page 22

23 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités B – La collecte des données par une collectivité : les formalités à remplir 2 – Les formalités préalables : Un exemple : les fichiers relatifs aux agents : On va présumer une obligation de déclaration du fichier relatif aux agents ; Application de larticle 8 de la Loi Info et Libertés ; Application de la délibération du 9 décembre 2004 décident la dispense de déclaration des traitements de gestion des rémunérations mis en œuvre par lEtat, les collectivités locales, etc. et absence dobligation de déclaration dudit fichier ; Cette norme énumère la liste des données personnelles pouvant être recueillies sagissant dun fichier relatif aux agents de la collectivité ; En cas de recueil de données personnelles supplémentaires, illégalité du fichier et/ou nécessité de demander lautorisation de la CNIL ; Page 23

24 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités B – La collecte des données par une collectivité : les formalités à remplir 2 – Les formalités préalables : Dautres exemples possibles : Mise en place de téleservices ; Vidéo surveillance ; Vidéo protection ; Fichiers relatifs aux attestations daccueil ; Fichiers relatifs aux missions de police administrative de la police municipale ; Fichiers relatifs aux missions de police judiciaire de la police municipale ; VisDGI ; Etc. Page 24

25 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités C – La sécurité des données personnelles Article 34 Loi Info et Libertés : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8. » Page 25

26 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités C – La sécurité des données personnelles Article 35 Loi Info et Libertés : « Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. » Page 26

27 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités II – La gestion des données personnelles par les collectivités C – La sécurité des données personnelles Cest une obligation de moyens : le responsable de traitement est tenu de mettre en place des mesures nécessaires à la sauvegarde des informations détenues par la collectivité, comme : Anonymiser certaines données à caractère personnelles ; Supprimer certaines informations ou données : Mettre en place un algorithme ; Mettre en place des mots de passe renouvelés régulièrement ; Mettre à jour les anti virus ; Mettre en place des campagnes de sensibilisation des agents ; Infos stockées sur un serveur externe ; Fermer les armoires à clef ; Etc. Page 27

28 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités Les voies de recours judiciaires Partie 3 : Le Correspondant Informatique et Libertés, Un facteur de sécurité juridique pour les collectivités Page 28

29 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités III – Le CIL, un facteur de sécurité pour les collectivités A –Les avantages à désigner un CIL : Le CIL est un intermédiaire entre la CNIL et la collectivité ; Il dispose de compétences juridiques et informatiques ; Il peut être désigné en interne ou être mutualisé Page 29

30 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités III – Le CIL, un facteur de sécurité pour les collectivités A –Les avantages à désigner un CIL : Un vecteur de sécurité juridique : il fait bénéficier la collectivité dune présomption de légalité ; Un accès personnalisé aux services de la CNIL ; Une source de sécurité informatique ; La preuve dun engagement éthique et citoyen ; Un facteur de simplification des formalités administratives ; Un outil de valorisation du patrimoine informationnel ; Page 30

31 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités III – Le CIL, un facteur de sécurité pour les collectivités B – Les avantages à désigner un CIL mutualisé : Vous bénéficiez de lappui dun expert au sein de votre collectivité ; Cest un facteur de réduction des coûts ; Vous bénéficiez dun interlocuteur privilégié pour toutes vos problématiques quotidiennes ; Le CIL mutualisé dispose dune expérience très riche en se rendant dans plusieurs collectivités Page 31

32 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités III – Le CIL, un facteur de sécurité pour les collectivités C – Un exemple pratique daudit des fichiers réalisé en collectivité Page 32

33 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités Le service juridique du Centre de Gestion Le service juridique du Centre de Gestion : Assistance juridique (consultation juridique, assistance en contentieux) Organisation de réunions dinformation sur des thèmes dactualité déterminés par les collectivités Veille juridique et intervention en collectivité pour (re) mise à niveau dagents Newsletters juridiques mensuelles Page 33

34 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités Les services du Centre de Gestion Les autres services du Centre de Gestion : Droit Social du Secteur Public Prévention des risques Mission remplacement et recrutement territorial Archives Paie à façon Prestations Ressources Humaines Le Correspondant Informatique et Libertés mutualisé (CIL) Le Service dArchivage Electronique (SAE) Page 34

35 Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques : Une organisation préparée en vaut deux Droit des collectivités MERCI POUR VOTRE ATTENTION Je reste disponible pour toute question : Jonathan PORCHER Page 35


Télécharger ppt "Www.cdg60.com Réunion du 5 février 2013 – La Loi Informatique et Libertés et la CNIL, quels risques pour la collectivité ? Le management des risques :"

Présentations similaires


Annonces Google