Atelier CIL La CNIL et le secteur social …en quelques minutes!

Atelier CIL La CNIL et ses services

Atelier CIL La CNIL : statut et composition une Autorité Administrative Indépendante composée de 17 membres (hauts magistrats, parlementaires, conseillers économiques et sociaux, personnalités qualifiées) un président élu par ses pairs les membres de la CNIL ne reçoivent d’instruction d’aucune autorité budget : de l’ordre de 13 millions d’euros services : 150 personnes Personnels affectés au secteur social : 4

Atelier CIL Secrétaire général Direction des affaires juridiques, internationales et de l’expertise Direction des relations avec les usagers et du contrôle Direction des ressources humaines, financières et informatiques Service de l’expertise informatique Service des affaires juridiques Service des affaires européennes et internationales Service des contrôles Services des plaintes Service orientation et renseignement du public Service de la gestion des sanctions Cellule droit d’accès indirect Service des Correspondants Service des ressources humaines Service financier et logistique Service informatique interne Service de l’information et de la documentation Service de la communication externe et interne Conseiller du Président pour la prospective et pour le développement Chargé des relations publiques et institutionnelles Chargé(s) de mission Organigramme général des services

Les missions de la CNIL Informer et conseiller les autorités administratives, les professionnels et le grand public Contrôler les fichiers Les formalités préalables relatives aux fichiers Les contrôles sur place Mettre en demeure de respecter la loi Eventuellement sanctionner en cas de non- respect de la loi

Atelier CIL La loi « Informatique et Libertés »

Atelier CIL Donnée à caractère personnel toute information relative à une personne physique identifiée ou susceptible de l’être, directement ou indirectement par référence à un numéro d’identification (ex: n° de sécurité sociale) ou un ou plusieurs éléments qui lui sont propres (ex: aide sociale…) la prise en compte des méthodes d’ anonymisation dans la loi (ex: déclaration des cas de sida, codage des actes pour l’assurance maladie complémentaire...)

Atelier CIL fichier : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés; traitement : toute opération de collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, verrouillage, effacement, destruction (ex: bases de données, applications cartes à puce, sites web, transferts de fichiers sur internet…) Fichier/traitement

Atelier CIL Suis-je en présence de données à caractère personnel ? (art. 2 al. 1 er de la loi) Il ne s’agit pas d’un traitement mis en œuvre dans le cadre d’activités exclusivement personnelles ou à des fins de copies temporaires ? (art. 2 et 4 ) Le responsable du Traitement est sur le territoire français ou les moyens de traitements sont situés sur le territoire français (art. 5) Non Traitement non soumis à la loi « Informatique et Libertés » Non TRAITEMENTSOUMIS ALALOITRAITEMENTSOUMIS ALALOI Un Traitement de données est-il mis en œuvre ? (art. 2) Oui Non Dans quels cas s’applique la loi ?

Atelier CIL La loi de 1978 modifiée La loi du 6 janvier 1978 dite « Informatique et Libertés » Une refonte totale par la loi du 6 août 2004  transposer la directive européenne de 95  adapter la loi aux évolutions technologiques et aux nouveaux enjeux Exemple dans le secteur social : Le nouvel objectif de lutte contre la fraude

Atelier CIL La loi « Informatique et Libertés » des principes clefs pour protéger les données personnelles des personnes aidées 1/ Les finalités poursuivies 2/ Les données traitées 3/ Les destinataires des données 4/ La durée de conservation 5/ La sécurité et la confidentialité des échanges 6/ Le droit des personnes concernées L’une des méthodes pour respecter la loi: nommer un CIL (registre, bilan, formalités préalables)

Atelier CIL La création du CIL Origine : Introduit en 2004 à l’occasion de la refonte de la loi informatique et libertés du 6 janvier 1978 par un amendement parlementaire déposé par Monsieur le Président Alex TÜRK. Objectif : Mettre à disposition des responsables de traitements, quels qu’ils soient, un nouveau moyen de veiller efficacement à la bonne application de la loi informatique et libertés et donc d’assurer le respect du droit fondamental à la protection des données personnelles.

Atelier CIL Les désignations enregistrées TOTAL désignations enregistrées au 22/ 09 / 2010 = 6837 NB : après soustraction des désignations refusées, annulées ou en fin de mission, le nombre exact : d’organismes ayant désigné un CIL est de de CIL désignés est de 1784.

Atelier CIL 1. Finalité du traitement Une finalité déterminée, explicite et légitime (ex: la CNIL a refusé que des fichiers de caisses de sécurité sociale soient utilisés pour envoyer de la publicité aux assurés ; pas d’utilisation des fichiers administratifs à des fins de prospection politique…) Le détournement de finalité est pénalement sanctionné (article C. pén.)

Atelier CIL 2. Pertinence des données Données adéquates, pertinentes et non excessives au regard de la finalité poursuivie Interdiction de collecter les données sensibles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale ainsi que les données relatives à la santé ou à la vie sexuelle Exceptions = consentement, intérêt public Interdiction de traiter les infractions, condamnations, mesures de sûreté Exceptions (ex: juridictions, auxiliaires de justice…)

Atelier CIL 3. Conservation limitée des données les données ne peuvent être conservées dans les fichiers au delà de la durée nécessaire à la finalité poursuivie qu’à des fins historiques, statistiques ou scientifiques ; au delà, elles doivent être archivées ou effacées, dans les conditions définies par la loi du 3 janvier 1979 sur les archives (tri).

Atelier CIL 4. Obligation de sécurité empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès ; une obligation qui pèse sur le responsable du traitement ; les mesures de sécurité physique et logique doivent être adaptées à la nature des données et aux risques présentés par le traitement (ex: chiffrement des données les plus sensibles).

Atelier CIL 5. Respect des droits des personnes droit à l’information les personnes doivent être informées, lors du recueil, de l’enregistrement ou de la première communication des données :  de la finalité du traitement  du caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse;  de l’identité du responsable du traitement;  des destinataires des données,  de leurs droits (droit d’accès et de rectification, droit d’opposition)  le cas échéant, des transferts de données vers des pays hors UE.

Atelier CIL droit de s’opposer, pour des motifs légitimes au traitement de ses données sauf si le traitement répond à une obligation légale ; droit de s’opposer, sans frais, à l’utilisation de ses données à des fins de prospection commerciale : droit à la « tranquillité » ; Le problème de l’exercice du droit d’opposition dans le secteur social: l’intérêt de la personne malgré elle… 5. Respect des droits des personnes droit d’opposition

Atelier CIL Toute personne peut gratuitement sur simple demande avoir accès à l’intégralité des informations la concernant et les rectifier ou les compléter ; Droit d’accès indirect : concerne les fichiers intéressant la sûreté, la défense ou la sécurité publique 5. Respect des droits des personnes droit d’accès et de rectification

Atelier CIL Finalité Déterminée Explicite Légitime (1) Finalité Déterminée Explicite Légitime (1) Données - adéquates, - pertinentes, - non excessives au regard des finalités (2) Données - adéquates, - pertinentes, - non excessives au regard des finalités (2) Durée de conservation limitée (3) Durée de conservation limitée (3) Information et accord préalables des personnes (4) Information et accord préalables des personnes (4) Sécurité (5) Sécurité (5) Destinataires limités (6) Destinataires limités (6) ? ? Comment réaliser une « collecte licite et loyale » ?

Atelier CIL Le traitement est-il exonéré de déclaration ? (Dispense de déclaration) Oui Pas de déclaration Non Existe-t-il une norme de déclaration simplifiée ? Oui Norme simplifiée Non Le traitement est- il effectué pour le compte de l’Etat, ou dans le cadre d’une mission de service public ? Déclaration normale Déclaration normale Le traitement entraîne-t-il notamment une interconnexion de fichiers, une collecte de données de santé ou le traitement du NIR? (Art. 25) Oui Relève de l’art. 27 ou 26 ? Oui Non Oui Non Avis CNIL Avis CNIL Autorisation CNIL Autorisation CNIL Comment choisir la bonne formalité ? NB : ce tableau de rend pas compte des traitements mis en œuvre dans le secteur de la santé à des fins de recherche et d’évaluation. De même, il est à relever que les traitements donnant lieu à un transfert hors de l’Union européenne doivent également faire l’objet d’une demande d’autorisation.

Atelier CIL Les cas où une autorisation sera nécessaire −Article 25 de la loi −Pour le secteur privé et certains traitements du secteur public, seront soumis à autorisation les traitements : portant sur des données sensibles ; portant sur des données génétiques ; portant sur des données relatives aux infractions, condamnations et mesures de sûreté ; susceptibles d’exclure du bénéfice d’un droit, d’une prestation ou d’un contrat ;

Atelier CIL Les cas où une autorisation sera nécessaire (suite) ayant pour objet l’interconnexion de fichiers correspondant à des intérêts publics ou finalités différents ; comportant le NIR ; comportant des appréciations sur les difficultés sociales des personnes ; portant sur les données biométriques nécessaires au contrôle d’identité des personnes.

Atelier CIL Quels enjeux ? - La connaissance de la situation socio- économique d’une personne, - de ses éventuelles difficultés sociales, - de son état de santé, - des aides dont elle bénéficie constituent des informations qui touchent à l’intimité de sa vie privée et dont la révélation à des tiers peut porter atteinte à sa vie sociale ou professionnelle Cadre juridique et problématiques sociales

Atelier CIL Quelles sont les données qui peuvent être recueillies ? - pour l’octroi d’aides légales ex: code de l’action sociale et des familles - pour l’octroi d’aides facultatives envisager la pertinence des données / finalité - les données dont la collecte est en principe interdite ex: article 8 de la loi du 6 janvier 1978 modifiée ex: article 9 de la loi du 6 janvier 1978 modifiée

Atelier CIL Impact sur les formalités à accomplir auprès de la CNIL: - appréciation sur les difficultés sociales des personnes (art. 25 – I-7° de la loi) ex: fichier des travailleurs sociaux ANAISS, fichiers sur l’hébergement social - utilisation du NIR (art. 25-I-6 ou 27-I-1 de la loi) ex: RNCPS, RSA - mise en place d’un téléservice de l’administration art. 27-II-4° - données relatives à la santé des personnes (art.25-I-1°) - interconnexion de fichier (art. 25-I-5°) Problématiques sociales

Atelier CIL - confidentialité des informations sociales (ex: les personnes sont elles habilitées par des textes à en avoir connaissance ? Sont-elles couvertes par le secret professionnel ?) - sécurité physiques et logiques – gestion des habilitations – gestion des mots de passe / identification – traçabilité des actions - durée de conservation des données ex: pour les CCAS la CNIL recommande une durée de 24 mois a/c de la dernière aide accordée) – quels mécanisme de purge ? - quelle politique d’archivage ? Points nécessitant un attention particulière

Atelier CIL - recherche de la disposition législative ou réglementaire fondant le traitement, ou la transmission - information claire des personnes sur des supports adaptés au regard du public concerné (affiches, dépliants, formulaires, information orale par les travailleurs sociaux, publication sur le site internet…) - rappel de la finalité de la collecte - respect des droits reconnus par la loi (droit d’accès, de rectification, d’opposition) Comment faire?

Atelier CIL - le partage de données sociales : ex: les guichets uniques (ex: création des MDPH) ex: EOPPS - la création de fichiers nationaux : l’exemple du Répertoire national commun de la protection sociale (avis de la CNIL date du 30 avril 2009) - échanges de fichiers et interconnexions en vue de contrôler l’étendue des droits des personnes ex: lutte contre la fraude avec les traitements Base nationale Fraude de la CNAF (fin 2010) Quelques tendances

Atelier CIL La petite enfance - NS n°27 : traitements automatisés d'informations nominatives relatifs aux différents services offerts par les collectivités territoriales (transports scolaires, des restaurants scolaires, des centres aérés, des garderies, des écoles municipales de musique) = Inscription sur le registre - Avis n° du 30 septembre 2010 sur le décret en Conseil d’Etat relatif à l’ONED - Autorisation unique sur le traitement de l’« Information préoccupante » par les Conseils généraux (fin 2010) II – Quelques exemples

Atelier CIL Le logement social - NS n°20 : traitements automatisés relatives à la gestion du patrimoine immobilier à caractère social = Inscription sur le registre ex: Infobail - Attention à la réutilisation des données collectées pour d’autres finalités - L’enjeu : éviter les appréciations subjectives - La tendance encouragée par la CNIL : l’anonymisation des dossiers de candidature II – Quelques exemples

Atelier CIL

Les données sont collectées pour une finalité précise par (ou pour le compte du) responsable de traitement qui détermine les finalités et les moyens du traitement. Le destinataire des données (à inscrire au registre) est toute personne autre que la personne concernée, le responsable de traitement, ou le sous-traitant. Ex : entreprises partenaires L’information des personnes doit, notamment, précisée les destinataires des données collectées (art. 32). Elle reste d’interprétation restrictive, et strictement motivée. La communication d’information des « fichiers sociaux » à des tiers

Atelier CIL Possibilité de transmettre des informations à des autorités légalement habilitées (mission particulière ou exercice d’un droit de communication) ex: demande des autorités judiciaires dans le cadre d’une enquête concernant un salarié / demande de la CNIL ou de l’URSSAF dans leurs mission de contrôle ex : les mairies concernant le RSA Précaution à prendre : demander le fondement législatif ou réglementaire et le vérifier! Formalité auprès de la CNIL : aucune « S’il s’agit de tiers autorisés »

Atelier CIL Principe : absence de dispositions législatives ou réglementaires  pas d’obligation de transmettre.  informations protégées par le secret professionnel Conditions à la transmission : Nécessité d’un fondement textuel (si données soumises au secret) Information des personnes concernées Laissant la faculté d’exercer son droit d’opposition pour des motifs légitimes (sauf en cas d’utilisation à des fins de prospection, notamment commerciales). Formalité : ajout sur le registre du nouveau destinataire  Rappeler au demandeur qu’il doit déclarer son traitement! S’il s’agit de « tiers non autorisés »

Atelier CIL L’anonymisation : si les données transmises ne permettent pas d'identifier directement ou indirectement les personnes, la loi du 6 janvier 1978 modifiée ne s’applique pas Ex : statistiques réalisés par un organisme de tutelle Le responsable de traitement demande aux personnes concernées qu’ elles transmettent directement, si elles le souhaitent, leurs données personnelles au tiers. Les autres solutions

Merci de votre attention !