Formation Informatique et Libertés Les principes de la protection des données à caractère personnel et de la vie privée A destination des personnels des.

Slides:



Advertisements
Présentations similaires
MAISON DE SANTE PLURIDISCIPLINAIRE CUSSAC
Advertisements

CHARTE DU PATIENT HOSPITALISE
La Réforme Des Tutelles
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Principes de base de la négociation collective
D2 : Sécurité de l'information et des systèmes d'information
Thierry Sobanski – HEI Lille
2nd thème : La notion de données à caractère personnel.
8ème thème : Le transfert à létranger de données à caractère personnel.
La politique de Sécurité
Tout traitement automatisé d'informations nominatives doit, avant sa mise en œuvre, être déclaré ou soumis à l'avis de la CNIL. Introduction I : les formalités.
EMBAUCHE.
Collège Anatole France – Cadillac Mise à jour: Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.
La collecte des données personnelles
Protéger la personne et la vie privée
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Les recommandations de la CNIL
La protection des renseignements personnels: notions de base DRT 3805.
Centre de Gestion de l’Oise
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
Obligations et droits des fonctionnaires de l’ Education Nationale
Gestion des risques Contrôle Interne
Aspects législatifs et réglementaires du prélèvement
B2i Lycée Circulaire BO n°31 du 29/08/2013.
Guide de gestion environnementale dans l’entreprise industrielle
Protection de la vie privée
Règles actuelles de consultation du Dossier Médical DESC réanimation médicale Marseille 14/12/2004 Laurent Chiche.
Formation Informatique et Libertés
Le cycle de vie du document et les exigences pour chacune des étapes
Entre circulation et protection des renseignements personnels Le consentement.
Pr. François-André ALLAERT Médecin de santé publique et juriste
CERTIFICAT INFORMATIQUE ET INTERNET C2i® niveau 2 Métiers du Droit
P. 1 Réunion des administrateurs l 03/05/2012 Déclaration des traitements comportant des données personnelles.
La.
Diffusion de la « culture Informatique et Libertés » par le C2i
Informatique et Libertés individuelles. 2 La CNIL La loi en vigueur Nous sommes surveillés ?
RSZ-ONSS Journée d’étude Dimona - DMFA 7/01/ L’E-government dans la sécurité sociale M. Allard, Directeur général à l’ONSS.
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Me Isabelle Chvatal 25 septembre 2014 Réseau REPCAR.
Le DMP Dossier Médical Personnel
Cours de Gestion d’entreprise
Responsable du Département de l’Expertise et des Contrôles
Les données personnelles
relative aux peuples indigènes et tribaux
Me Jean Chartier – Président de la CAI au Québec et de l’AFAPDP Enjeux de la régulation : comment assurer une protection efficace des renseignements personnels.
Site : La Cnil c’est quoi ?.
Le système de traitement des plaintes de l’IDP. Cadre Légal.
8e Conférence de l’AFAPDP, Bruxelles 25 juin 2015
La Commission Nationale de l'Informatique et des Libertés
TICE Exposé L’école et la Vie Privée
PRESENTATION INFORMATIQUE ET LIBERTE
GESTION D’UN DU/DIU. OUVERTURE DU DU/DIU L’ouverture du DU/DIU n’est possible que si les inscriptions prévisionnelles couvrent les dépenses de la formation.
LOI RELATIVE AU DIALOGUE SOCIAL
La Sécurité Sociale étudiante. La Sécurité Sociale est l’organisme qui permet aux étudiants d’engager des démarches de santé (consulter un médecin, aller.
Informatique et Libertés individuelles. 2 La CNIL La loi en vigueur Nous sommes surveillés ?
Formation Informatique et Libertés
Formation Informatique et Libertés
Formation Informatique et Libertés
Formation Informatique et Libertés Les principes de la protection des données à caractère personnel et de la vie privée Présentation aux doctorants de.
2 Objectifs de la séance Décrire les effets positifs de la confidentialité des données pour une FI et le client Dressez la liste des indicateurs de performance.
Entrée dans le dispositif de Déclaration Sociale Nominative (DSN) de Pôle emploi en tant qu’employeur Présentation CCEXx /xx/xxxx.
1. Les Rôles Un rôle est une fonction détenue par un utilisateur à un moment donné. Un rôle confère des droits spécifiques. » Le CIL – correspondant informatique.
ARCNA – Formation adhérents 2015 L’extranet - loi ALUR du 24 mars 2014 N°12.
La Charte Informatique
Protection des données personnelles Les bonnes pratiques CIL - présentation du 25 juin
Atelier CIL La CNIL et le secteur social …en quelques minutes!
Les enquêtes d’insertion Quelle méthodologie ? OVE CEVU – 18/10/2012.
Etre responsable à l’ère du numérique Domaine D2.
Le dossier médical en milieu hospitalier Le dossier médical en milieu hospitalier.
Les aspects juridiques de l'externalisation des données et services ARAMIS 2012 « Virtualisation et Bases de données » Yann Bergheaud – Lyon3.
Cours du 18/11/2015. LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Loi du 8 décembre 1992, modifiée en 1998 et ensuite par l’AR du 13 février 2001 Finalité.
Transcription de la présentation:

Formation Informatique et Libertés Les principes de la protection des données à caractère personnel et de la vie privée A destination des personnels des établissements d’enseignement supérieur et de recherche Mise à jour mars 2016 Licence Creative Commons BY-NC-SA

F o r m a t i o n Formation Informatique et Libertés 2 Sommaire 1.La loi « Informatique et Libertés » en bref 2. Les grands principes de la protection des données 3. Le rôle du Correspondant Informatique et Libertés (CIL) 4. Exemple de traitements à déclarer 5. Zoom sur quelques notions

F o r m a t i o n Formation Informatique et Libertés 3 1. La loi « Informatique et Libertés » en bref

F o r m a t i o n Formation Informatique et Libertés 4 La loi « Informatique et Libertés » La loi du 6 janvier 1978 dite « informatique et libertés » porte création de la Commision Nationale de l’Informatique et des Libertés (CNIL) Une refonte totale : loi du 6 août 2004 transpose la directive européenne adapte la loi aux évolutions technologiques et aux nouveaux enjeux (ex : biométrie)‏ dote la CNIL de nouveaux pouvoirs, avec notamment un pouvoir de sanction introduit la fonction de « correspondant à la protection des données à caractère personnel » (CIL)‏ 1. La loi « Informatique et Libertés » en bref

F o r m a t i o n Formation Informatique et Libertés 5 La CNIL 1. La loi « Informatique et Libertés » en bref La CNIL dispose de 185 agents Un budget global de 17 millions d’€ Rapport annuel 2014 Une autorité administrative indépendante composée de 17 membres ( hauts magistrats, parlementaires, conseillers économiques et sociaux, personalités qualifiées) Une présidente élue par ses pairs Isabelle Falque-Pierrotin, Conseillère d'État Les membres de la CNIL ne reçoivent d’instructions d’aucune autorité

F o r m a t i o n Formation Informatique et Libertés 6 Missions de la CNIL 1. La loi « Informatique et Libertés » en bref traitements déclarés 421 contrôles plaintes 62 mises en demeure 8 sanctions financières 7 avertissements Rapport annuel 2014 Informer les personnes concernées de leurs droits et les responsables de traitements de leurs obligations Veiller à ce que les traitements soient mis en oeuvre conformément à la loi “Informatique & Libertés” Contrôler leur conformité Instruire les plaintes Vérifier “sur le terrain” Sanctionner en cas de non-respect de la loi

F o r m a t i o n Formation Informatique et Libertés 7 Les mots-clés « informatique et libertés » Donnée à caractère personnel Fichier / traitement Responsable du traitement 1. La loi « Informatique et Libertés » en bref

F o r m a t i o n Formation Informatique et Libertés 8 Donnée à caractère personnel 1. La loi « Informatique et Libertés » en bref La loi I&L ne s’intéresse qu’aux données personnelles Donnée personnelle  Toute information relative à une personne physique identifiée ou susceptible de l’être, directement ou indirectement par référence à un numéro d’identification (ex: n° de sécurité sociale) ou à un ou plusieurs éléments qui lui sont propres (ex: biométrie…) Cas particulier de l’établissement de statistiques : Les données collectées peuvent être nominatives La collecte doit être déclarée Le résultat statistique est anonyme  Hors du champ de la loi I&L Les données nominatives doivent être supprimées ou archivées

F o r m a t i o n Formation Informatique et Libertés 9 Fichier / traitement 1. La loi « Informatique et Libertés » en bref Fichier : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés Traitement : toute opération de collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, verrouillage, effacement, destruction (ex: constitution et utilisation de bases de données, d’applications cartes à puce, de transferts de fichiers sur internet…) La Loi Informatique et Libertés s’intéresse aux traitements  A l’utilisation des données

F o r m a t i o n Formation Informatique et Libertés 10 Responsable du traitement 1. La loi « Informatique et Libertés » en bref C’est le responsable de l’entité L’autorité, l’organisme, le service qui détermine les finalités du traitement et les moyens (notamment informatiques) nécessaires à sa mise en œuvre La personne qui demande le traitement En pratique : Les responsables d’entreprises, les responsables de structures, d’associations, … Pour les gosses structures, le responsable d’établissement  Délégation Pour les Universités : Le Président Pour les UMR : A définir entre les tutelles  contrat

F o r m a t i o n Formation Informatique et Libertés Les grands principes de la protection des données

F o r m a t i o n Formation Informatique et Libertés 12 Les 5 grands principes Finalité du traitement Pertinence des données Conservation limitée des données Obligation de sécurité Respect des droits des personnes 2. Les grands principes de la protection des données

F o r m a t i o n Formation Informatique et Libertés 13 1) Finalité du traitement 2. Les grands principes de la protection des données La finalité du traitement doit être déterminée, explicitée et légitime Pourquoi je réalise ce traitement ? Exemples Je recueille des données personnelles pour Gérer des étudiants (scolarité, …)‏ Gérer du personnel Gérer un dossier de santé

F o r m a t i o n Formation Informatique et Libertés 14 2) Pertinence des données 2. Les grands principes de la protection des données Je recueille les données adéquates, pertinentes et non excessives au regard de la finalité poursuivie Protection particulière pour les données sensibles : Données, faisant apparaître, directement ou indirectement, les origines raciales ou éthniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données relatives à la santé ou à la vie sexuelle Le principe est l’interdiction de collecte Numéro de sécurité sociale  Utilisation encadrée

F o r m a t i o n Formation Informatique et Libertés 15 3) Conservation limitée des données 2. Les grands principes de la protection des données Les informations ne peuvent pas être conservées de façon indéfinie dans les fichiers informatiques Droit à l’oubli Une durée de conservation doit être établie en fonction de la finalité de chaque fichier Au-delà, les données doivent être archivées ou détruites Archivage  Conservation sur un support distinct Accessible à des personnes autorisées

F o r m a t i o n Formation Informatique et Libertés 16 4) Obligation de confidentialité et de sécurité 2. Les grands principes de la protection des données Les données ne peuvent être consultées que par les services habilités, dans le cadre de leurs fonctions Personnes autorisées à en connaître Le responsable du traitement doit prendre toutes mesures pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement

F o r m a t i o n Formation Informatique et Libertés 17 5) Respect des droits des personnes 2. Les grands principes de la protection des données Le droit à l’information  Condition indispensable pour l’exercice de tous les autres droits Les personnes doivent être informées lors du recueil, de l’enregistrement ou de la première communication des données : de la finalité du traitement du caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse de l’identité du responsable du traitement des destinataires des données de leurs droits (droit d’accès et de rectification, droit d’opposition)‏ le cas échéant, des transferts de données vers des pays hors UE

F o r m a t i o n Formation Informatique et Libertés 18 Exemple de mentions d’information : “ Les informations recueillies font l’objet d’un traitement informatique destiné à ________ (préciser la finalité). Les destinataires des données sont : _________ (précisez). Conformément à la loi “Informatique et Libertés”, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser à __________ (préciser le service).” 2. Les grands principes de la protection des données 5) Respect des droits des personnes

F o r m a t i o n Formation Informatique et Libertés 19 Le droit d’opposition Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données sauf si le traitement répond à une obligation légale Droit à la « tranquillité » Exemple d’obligation légale : Fichier des points des permis de conduire, fichier de gestion du personnel, application de gestion des étudiants, … 2. Les grands principes de la protection des données 5) Respect des droits des personnes

F o r m a t i o n Formation Informatique et Libertés Les grands principes de la protection des données 5) Respect des droits des personnes Le droit d’accès et de rectification Toute personne justifiant son identité peut gratuitement, sur simple demande, avoir accès à l’intégralité des informations la concernant et les rectifier ou les compléter Droit d’accès indirect  Pour les fichiers intéressant la sûreté, la défense ou la sécurité publique

F o r m a t i o n Formation Informatique et Libertés Les grands principes de la protection des données Synthèse des 5 principes Finalité du traitement Pertinence des données Droit des personnes Sécurité Conservation limitée Droit d’informationDroit d’opposition Droit accès et de rectification

F o r m a t i o n Formation Informatique et Libertés Le rôle du Correspondant Informatique et Libertés organismes ont désigné un CIL correspondants sont en activité Rapport annuel 2014

F o r m a t i o n Formation Informatique et Libertés 23 La désignation du CIL 3. Le rôle du Correspondant Informatique et Libertés Une possibilité introduite en 2004 à l’occasion de la refonte de la loi du 6 janvier 1978 « Le Correspondant est chargé d’assurer d’une manière indépendante, le respect des obligations prévues dans la présente loi » La désignation est facultative et ouverte à tout responsable de traitement Elle entraîne un allègement des formalités Elle implique un engagement du responsable de traitement vers une meilleure application de la loi

F o r m a t i o n Formation Informatique et Libertés Le rôle du Correspondant Informatique et Libertés Rôle du CIL vis-à-vis des autres acteurs CNIL Responsable de traitements Services chargés de la mise en oeuvre Personnes fichées Mise à jour du registre Alerte si besoin Consultation Projet Recommandations Formalités (autorisations, avis)‏ Demande d’accès Information Rapport annuel Contact privilégié Aide

F o r m a t i o n Formation Informatique et Libertés 25 En amont des nouveaux traitements Tout projet de traitement doit être soumis au CIL Il faut définir : La finalité Les personnes concernées Les catégories de données traitées Les destinataires La durée de conservation des données Le contact pour l’exercice du droit d’accès Les modalités d’information 3. Le rôle du Correspondant Informatique et Libertés

F o r m a t i o n Formation Informatique et Libertés 26 En amont (suite)‏ Le CIL évalue, avec les services concernés : La proportionnalité des caractéristiques du traitement par rapport à la finalité Les besoins de sécurité Les formalités adéquates Le CIL émet des recommandations Le CIL effectue les formalités nécessaires 3. Le rôle du Correspondant Informatique et Libertés

F o r m a t i o n Formation Informatique et Libertés 27 Les différents types de formalités Le régime applicable dépend de la sensibilité des données Gradation : Dispense de formalités Déclaration / inscription sur le registre interne du CIL Demande d’ avis Demandes d’autorisation Attention au délai de traitement pour les demandes Avis  2 mois, au dela, avis réputé favorable Autorisation  pas de délai 3. Le rôle du Correspondant Informatique et Libertés

F o r m a t i o n Formation Informatique et Libertés 28 Le registre des traitements Les traitements sont enregistrés dans un “Registre des traitements”, document public A l’université St Etienne, consultable sur l’ENT Pour les personnel  Dossier personnel Pour les étudiants  Onglet Assistance 3. Le rôle du Correspondant Informatique et Libertés

F o r m a t i o n Formation Informatique et Libertés Exemple de traitements à déclarer

F o r m a t i o n Formation Informatique et Libertés 30 Les traitements à déclarer Application traitant de données personnelles Listes d’étudiants, d’enseignants, de personnels Relevés de notes, adresses, listes de diffusion Liste d’anciens étudiants Participants à un colloque, intervenants, destinataires Contacts en entreprise  taxe d’apprentissage, … Panel de personnes pour une étude statistique Etude de comportements, d’habitudes, … Liste de stagiaires, participants à un évènement, … 4. Exemple de traitements à déclarer

F o r m a t i o n Formation Informatique et Libertés Zoom sur quelques notions

F o r m a t i o n Formation Informatique et Libertés 32 Une obligation de déclaration L’enregistrement de données personnelles doit être déclaré Fichier des personnes collectées, reçues, conseillées, … On ne recueille que les données nécessaires à la finalité Les personnes concernées doivent être informées Information par affichage, courrier, formulaire, … Elles peuvent accéder à leur données et les rectifier La durée de conservation est limitée L’accès à ces informations est encadré Limité aux personnes devant y accéder Les données sont sécurisées  Vous êtes responsable

F o r m a t i o n Formation Informatique et Libertés 33 Les données sensibles L’enregistrement de données religieuses, raciales ou ethniques est interdit Les données relatives à la santé sont des données sensibles dont le traitement et la collecte sont par principe interdits Des dérogations à ce principe existent La personne a donné son consentement Sauvegarde de la vie humaine, suivi médical Traitement statistique et recherche Evaluation des pratiques Continuité des soins  échanges entre praticiens Télémédecine, sauf opposition du patient Sécurité sociale et maladie à déclarations obligatoires 5. Zoom sur quelques notions

F o r m a t i o n Formation Informatique et Libertés 34 Le NIR  numéro de sécurité sociale Numéro d'inscription au répertoire des personnes physiques Un numéro universel permettant d’interconnecter des fichiers Une utilisation très encadrée Peuvent utiliser le NIR : les acteurs du système de protection sociale les employeurs pour les éléments de la paye le pôle emploi pour le paiement des cotisations sociales des chômeurs et le maintien de leurs droits sociaux les organismes d’assurance maladie obligatoires et complémentaires les professionnels et les établissements de santé pour permettre la prise en charge des frais de maladie 5. Zoom sur quelques notions

F o r m a t i o n Formation Informatique et Libertés 35 La sécurité  un impératif On est responsable des données recueillies Protection des données par mot de passe « sécurisé » La protection doit être adaptée à la finalité Les données ne doivent pas être modifiées ou altérées Responsabilité de l’intégrité des données Accès aux données par les seules personnes habilités Personne ayant à en connaître Les données transmises par Mail doivent être sécurisées Chiffrement des pièces jointes Les données ne sont pas conservées au-delà du délai nécessaire Si elles sont conservées, elles sont protégées et plus utilisées 4. La CNIL et les professions médico-sociales

F o r m a t i o n Formation Informatique et Libertés 36 Les transferts de données à l’étranger Les transferts de données à caractère personnelles hors de l’Union Européenne sont interdits à moins que le pays ou le destinataire n’assure un niveau de protection adéquat Les conditions pour rendre une transmission possible Quelques pays offrent un niveau de protection équivalent Canada, Suisse, Argentine, Uruguay, Israël, Andorre, Iles Féroé, Ile de Man, Guernesey et Jersey Transfert exceptionnel et nécessaire avec l’accord de la personne Ne peut pas concerner des accords entre universités Transfert au sein d’une même entreprise avec des règles internes Contractualisation avec les clauses de la Commission Européenne Dans les 2 derniers cas, une autorisation de la CNIL est nécessaire 5. Zoom sur quelques notions

F o r m a t i o n Formation Informatique et Libertés 37 Zoom sur les Etats Unis La législation des Etats Unis n’offre pas une protection des données personnelles  Forte vigilance Existence du Patriot Act depuis les attentats du 11 septembre 2001 Les autorités peuvent accéder à toutes les bases de données Surveillance de masse par la NSA révélée par l’affaire Snowden Jusqu’au 6 octobre 2015, le Safe Harbor  Invalidé par la cour européenne Règles auxquelles les entreprises pouvaient adherer volontairement Retour aux Clauses Contractuelles types et autorisation de la CNIL Négociation en cours EU/USA  le projet de Privacy Shield Obligation aux entreprises avec mécanismes de surveillance Accès aux données par les autorités américaines strictement encadré Réexamen annuel par la Commission Européenne 5. Zoom sur quelques notions

F o r m a t i o n Formation Informatique et Libertés 38 En savoir plus De nombreux guides téléchargeables sur le site de la CNIL Faciles à lire pour les non spécialistes

F o r m a t i o n Formation Informatique et Libertés 39 Conclusion La loi Informatique et Libertés Un des droits fondamentaux de la personne Une loi de liberté individuelle Un Capital “vie privée” à protéger Acquérir des réflexes Informatique et Libertés En tant que citoyen En tant que professionnel Une nécessaire prise de conscience des impacts des évolutions technologiques

Merci de votre attention ! André Bruchet Correspondant Informatique et Libertés Pour en savoir plus :