Formation Informatique et Libertés Nouveau règlement Européen 2016 Formation Informatique et Libertés Les principes de la protection des données à caractère personnel et de la vie privée Ce support de formation est à l’usage des Correspondants Informatique et Libertés (CIL) souhaitant assurer des formations auprès des personnels des établissements d’enseignement supérieur et de recherche sur l'application de la loi du 6 janvier 1978 modifiée en 2004, dite loi « Informatique et Libertés ». Il est sous licence Creative Commons BY-NC-SA, c’est-à-dire que vous pouvez reproduire cette création, la diffuser ou encore la modifer sous les conditions suivantes : Paternité : vous devez citer le nom de l'auteur original de la manière indiquée par l'auteur de l'oeuvre ou le titulaire des droits qui vous confère cette autorisation (mais pas d'une manière qui suggérerait qu'ils vous soutiennent ou approuvent votre utilisation de l'oeuvre) Pas d’utilisation commerciale : vous n'avez pas le droit d'utiliser cette création à des fins commerciales Partage des conditions initiales à l’identique : si vous modifiez, transformez ou adaptez cette création, vous n'avez le droit de distribuer la création qui en résulte que sous un contrat identique à celui-ci. A destination des personnels des établissements d’enseignement supérieur et de recherche Mise à jour mars 2017 Licence Creative Commons BY-NC-SA 1

Sommaire La loi « Informatique et Libertés » en bref 2. Les grands principes de la protection des données Le rôle du Correspondant Informatique et Libertés Exemple de traitements à déclarer 5. Zoom sur quelques notions 2 2

1. La loi « Informatique et Libertés » en bref 3 3

La loi « Informatique et Libertés » 1. La loi « Informatique et Libertés » en bref La loi « Informatique et Libertés » La loi du 6 janvier 1978 dite « informatique et libertés » Porte création de la Commision Nationale de l’Informatique et des Libertés (CNIL) Une refonte totale  loi du 6 août 2004 Adapte la loi aux évolutions technologiques et introduit la fonction de « correspondant à la protection des données à caractère personnel » (CIL)‏ Un nouveau règlement européen (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données Entrée en vigueur le 24 mai 2016 Application effective le 25 mai 2018 4 4

1. La loi « Informatique et Libertés » en bref La CNIL Une autorité administrative indépendante composée de 17 membres ( hauts magistrats, parlementaires, conseillers économiques et sociaux, personalités qualifiées) Une présidente élue par ses pairs Isabelle Falque-Pierrotin, Conseillère d'État Les membres de la CNIL ne reçoivent d’instructions d’aucune autorité http://www.cnil.fr La CNIL dispose de 192 agents Rapport annuel 2015 La CNIL est une autorité de contrôle nationale au sens du réglement auropéen 5 5

1. La loi « Informatique et Libertés » en bref Missions de la CNIL Informer les personnes concernées de leurs droits et les responsables de traitements de leurs obligations Veiller à ce que les traitements soient mis en oeuvre conformément à la loi “Informatique & Libertés” Contrôler leur conformité Instruire les plaintes Vérifier “sur le terrain” Sanctionner en cas de non-respect de la loi 96 323 traitements déclarés 510 contrôles 7 908 plaintes 93 mises en demeure 3 sanctions financières 7 avertissements Rapport annuel 2015 6 6

Les mots-clés « informatique et libertés » 1. La loi « Informatique et Libertés » en bref Les mots-clés « informatique et libertés » Donnée à caractère personnel Fichier / traitement Responsable du traitement Sous-traitant 7 7

Donnée à caractère personnel 1. La loi « Informatique et Libertés » en bref Donnée à caractère personnel La loi I&L ne s’intéresse qu’aux données personnelles Donnée personnelle  Toute information relative à une personne physique identifiée ou susceptible de l’être, directement ou indirectement par référence à un numéro d’identification (ex: n° de sécurité sociale) ou à un ou plusieurs éléments qui lui sont propres (ex: biométrie…) Cas particulier de l’établissement de statistiques : Les données collectées peuvent être nominatives La collecte doit être déclarée Le résultat statistique est anonyme  Hors du champ de la loi I&L Les données nominatives doivent être supprimées ou archivées 8 8

1. La loi « Informatique et Libertés » en bref Fichier / traitement Fichier : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés Traitement : toute opération de collecte, enregistrement, structuration, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, limitation, effacement, destruction Toute manipulation de données constitue un traitement La Loi Informatique et Libertés s’intéresse aux traitements  A l’utilisation des données automatisée ou manuelle appelées à figurer dans un fichier 9 9

Responsable du traitement 1. La loi « Informatique et Libertés » en bref Responsable du traitement C’est le responsable de l’entité L’autorité, l’organisme, le service qui détermine les finalités du traitement et les moyens (notamment informatiques) nécessaires à sa mise en œuvre La personne qui demande le traitement En pratique : Les responsables d’entreprises, les responsables de structures, d’associations, … Pour les gosses structures, le responsable d’établissement  Délégation Pour les Universités : Le Président Pour les UMR : A définir entre les tutelles  La CNIL propose le Responsable de l’UMR 10 10

1. La loi « Informatique et Libertés » en bref Sous-traitant C’est la personne physique ou morale qui traite les données à caractère personnel pour le compte du Responsable de traitement Prestataire auquel le Responsable de traitement remet des données personnelles ou délivre un accès aux données personnelles pour participer à la réalisation du traitement C’est un acteur incontournable du réglement Obligations renforcées avec des exigences contractuelles Visé par des sanctions administratives Responsabilité conjointe en cas de pluralité de responsables de traitement ou de sous traitant Chacun peut être tenu responsable de la totalité du dommage 11 11

2. Les grands principes de la protection des données 12 12

Les 5 grands principes Finalité du traitement 2. Les grands principes de la protection des données Les 5 grands principes Finalité du traitement Proportionnalité et pertinence des données Conservation limitée des données Obligation de confidentialité et de sécurité Respect des droits des personnes Le présent chapitre a pour objet de présenter les « règles d'or » de la protection de données. Le formateur est invité à faire passer auprès des stagiaires le message « Respectez les règles d’or Informatique et Libertés et vous aurez les bons déclics pour vos fichiers ». 13 13

1) Finalité du traitement 2. Les grands principes de la protection des données 1) Finalité du traitement La finalité du traitement doit être déterminée, explicitée et légitime Pourquoi je réalise ce traitement ? Exemples Je recueille des données personnelles pour Gérer des étudiants (scolarité, …)‏ Gérer du personnel Gérer un dossier de santé 14 14

2) Pertinence et proportionnalité des données 2. Les grands principes de la protection des données 2) Pertinence et proportionnalité des données Je recueille les données adéquates, pertinentes et non excessives au regard de la finalité poursuivie Protection particulière pour les données sensibles : Données, faisant apparaître, directement ou indirectement, les origines raciales ou éthniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données génétiques, biométriques et relatives à la santé ou à la vie sexuelle Le principe est l’interdiction de collecte Numéro de sécurité sociale  Utilisation encadrée 15 15

3) Conservation limitée des données 2. Les grands principes de la protection des données 3) Conservation limitée des données Les informations ne peuvent pas être conservées de façon indéfinie dans les fichiers informatiques Droit à l’oubli Une durée de conservation doit être établie en fonction de la finalité spécifique du traitement Au-delà, les données doivent être archivées ou détruites Archivage  Conservation sur un support distinct Accessible à des personnes autorisées 16 16

4) Obligation de confidentialité et de sécurité 2. Les grands principes de la protection des données 4) Obligation de confidentialité et de sécurité Respect de la confidentialité et de l’intégrité des données Les données ne peuvent être consultées que par les services habilités, dans le cadre de leurs fonctions Personnes autorisées à en connaître Le responsable du traitement doit prendre toutes mesures pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement 17 17

5) Respect des droits des personnes 2. Les grands principes de la protection des données 5) Respect des droits des personnes Le droit à l’information  Condition indispensable pour l’exercice de tous les autres droits Les personnes doivent être informées lors du recueil, de l’enregistrement ou de la première communication des données : de la finalité du traitement du caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse de l’identité du responsable du traitement des destinataires des données de leurs droits (droit d’accès et de rectification, droit d’opposition)‏ le cas échéant, des transferts de données vers des pays hors UE 18 18

5) Respect des droits des personnes 2. Les grands principes de la protection des données 5) Respect des droits des personnes Exemple de mentions d’information : “ Les informations recueillies font l’objet d’un traitement informatique destiné à ________ (préciser la finalité). Les destinataires des données sont : _________ (précisez). Conformément à la loi “Informatique et Libertés”, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser à __________ (préciser le service).” 19 19

5) Respect des droits des personnes 2. Les grands principes de la protection des données 5) Respect des droits des personnes Le droit d’opposition Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données sauf si le traitement répond à une obligation légale Droit à la « tranquillité » Exemple d’obligation légale : Fichier des points des permis de conduire, fichier de gestion du personnel, application de gestion des étudiants, … 20 20

5) Respect des droits des personnes 2. Les grands principes de la protection des données 5) Respect des droits des personnes Le droit d’accès et de rectification Toute personne justifiant son identité peut gratuitement, sur simple demande, avoir accès à l’intégralité des informations la concernant et les rectifier ou les compléter Droit d’accès indirect  Pour les fichiers intéressant la sûreté, la défense ou la sécurité publique Le formateur détaillera comment, dans son établissement, s’organise l’exercice des droits. Exemple 1 : le CIL centralise les demandes d’exercice du droit d’accès, quel que soit le traitement concerné (gestion de la scolarité, gestion du personnel,…), et redirige vers le service gestionnaire adéquat Exemple 2 : les demandes d’accès sont adressées aux services gestionnaires, qui informent systématiquement le CIL de la réponse qui y aura été apportée (le formateur indiquera en pratique comment le tenir informé) 21 21

Finalité du traitement 2. Les grands principes de la protection des données Synthèse des 5 principes Finalité du traitement Pertinence et proportionalité des données Droit des personnes Confidentialité et sécurité Conservation limitée Le formateur détaillera comment, dans son établissement, s’organise l’exercice des droits. Exemple 1 : le CIL centralise les demandes d’exercice du droit d’accès, quel que soit le traitement concerné (gestion de la scolarité, gestion du personnel,…), et redirige vers le service gestionnaire adéquat Exemple 2 : les demandes d’accès sont adressées aux services gestionnaires, qui informent systématiquement le CIL de la réponse qui y aura été apportée (le formateur indiquera en pratique comment le tenir informé) Droit d’information Droit d’opposition Droit accès et de rectification 22 22

3. Le rôle du Correspondant Informatique et Libertés (CIL) et le futur délégué à la protection des données 23 23

3. Le rôle du Correspondant Informatique et Libertés La désignation du CIL Une possibilité introduite en 2004 à l’occasion de la refonte de la loi du 6 janvier 1978 « Le Correspondant est chargé d’assurer d’une manière indépendante, le respect des obligations prévues dans la présente loi » Le réglement européen introduit le délégué à la protection des données (DPO : Data Protection Officer) Appellation française non encore validée Désignation obligatoire dans les organismes publics Rôle proche du CIL mais compétences étendues Le formateur pourra référer au site de la CNIL (espace CIL) pour indiquer le nombre de CIL désignés en France. 24 24

Rôle du CIL vis-à-vis des autres acteurs 3. Le rôle du Correspondant Informatique et Libertés Rôle du CIL vis-à-vis des autres acteurs CNIL Formalités (autorisations, avis)‏ Contact privilégié Services chargés de la mise en oeuvre Responsable de traitements Alerte si besoin Projet Rapport annuel Recommandations Le formateur pourra référer au site de la CNIL (espace CIL) pour indiquer le nombre de CIL désignés en France. Aide Mise à jour du registre Information ---------- Demande d’accès Consultation Personnes concernées par un traitement 25 25

En amont des nouveaux traitements 3. Le rôle du Correspondant Informatique et Libertés En amont des nouveaux traitements Tout projet de traitement doit être soumis au CIL Il faut définir : La finalité Les personnes concernées Les catégories de données traitées Les destinataires La durée de conservation des données Le contact pour l’exercice du droit d’accès Les modalités d’information 26 26

En amont (suite)‏ Le CIL évalue, avec les services concernés : 3. Le rôle du Correspondant Informatique et Libertés En amont (suite)‏ Le CIL évalue, avec les services concernés : La proportionnalité des caractéristiques du traitement par rapport à la finalité Les besoins de sécurité Les formalités adéquates Le CIL émet des recommandations Le CIL effectue les formalités nécessaires 27 27

Les différents types de formalités 3. Le rôle du Correspondant Informatique et Libertés Les différents types de formalités Le régime applicable dépend de la sensibilité des données Gradation : Dispense de formalités Déclaration / inscription sur le registre interne du CIL Demande d’avis Demandes d’autorisation Attention au délai de traitement pour les demandes Avis  2 mois, au dela, avis réputé favorable Autorisation  pas de délai Selon l’organisation qu’il a mise en place (relais Informatique et Libertés par exemple) et l’outil de tenue de registre qu’il utilise éventuellement, le formateur pourra insérer des transparents pour présenter les circuits de remontée de l’information sur les nouveaux traitements ou les modifications. 28 28

Une notion nouvelle, le PIA 3. Le rôle du Correspondant Informatique et Libertés Une notion nouvelle, le PIA Le Privacy Impact Assessment  Analyse d’impact Responsable de traitement avec l’aide du DPO Description du traitement  Finalité Evaluation de la nécessité du traitement Evaluation des risques pour les droits et libertés Mesures pour faire face aux risques Principe d’autoévaluation du risque Comparable aux principes d’assurance qualité Si risqué élevé  Consultation de la CNIL Avis dans un délai de 8 semaines Selon l’organisation qu’il a mise en place (relais Informatique et Libertés par exemple) et l’outil de tenue de registre qu’il utilise éventuellement, le formateur pourra insérer des transparents pour présenter les circuits de remontée de l’information sur les nouveaux traitements ou les modifications. 29 29

Le registre des traitements 3. Le rôle du Correspondant Informatique et Libertés Le registre des traitements Les traitements sont enregistrés dans un “Registre des traitements”, document public A l’université St Etienne, consultable sur l’ENT Pour les personnel  Dossier personnel Pour les étudiants  Onglet Assistance Selon l’organisation qu’il a mise en place (relais Informatique et Libertés par exemple) et l’outil de tenue de registre qu’il utilise éventuellement, le formateur pourra insérer des transparents pour présenter les circuits de remontée de l’information sur les nouveaux traitements ou les modifications. 30 30

4. Exemple de traitements à déclarer 31 31

Les traitements à declarer (Liste non exhaustive) 4. Exemple de traitements à déclarer Les traitements à declarer (Liste non exhaustive) Application traitant de données personnelles Listes d’étudiants, d’enseignants, de personnels Relevés de notes, adresses, listes de diffusion Liste d’anciens étudiants Participants à un colloque, intervenants, destinataires Contacts en entreprise  taxe d’apprentissage, … Panel de personnes pour une étude statistique Etude de comportements, d’habitudes, … Liste de stagiaires, participants à un évènement, … 32 32

5. Zoom sur quelques notions 33 33

Aujourd’hui  Une obligation de déclaration L’enregistrement de données personnelles doit être déclaré Fichier des personnes collectées, reçues, conseillées, … On ne recueille que les données nécessaires à la finalité Les personnes concernées doivent être informées Information par affichage, courrier, formulaire, … Elles peuvent accéder à leur données et les rectifier La durée de conservation est limitée L’accès à ces informations est encadré Limité aux personnes devant y accéder Les données sont sécurisées  Vous êtes responsable Selon l’organisation qu’il a mise en place (relais Informatique et Libertés par exemple) et l’outil de tenue de registre qu’il utilise éventuellement, le formateur pourra insérer des transparents pour présenter les circuits de remontée de l’information sur les nouveaux traitements ou les modifications. 34 34

Demain  PIA et consultation Les formalités préalables génèrent une grosse charge Ne contribue pas systématiquement à améliorer la protection Nouveau règlement européen Etude du traitement pour déterminer si un PIA est nécessaire Analyse d’impact  Evaluer les risques et les traitements du risque Consultation préalable de la CNIL en cas de risque élevé Réponse sous deux mois Tous les traitements sont enregistrés au registre Selon l’organisation qu’il a mise en place (relais Informatique et Libertés par exemple) et l’outil de tenue de registre qu’il utilise éventuellement, le formateur pourra insérer des transparents pour présenter les circuits de remontée de l’information sur les nouveaux traitements ou les modifications. 35 35

Donnée de santé  Associé à une pathologie 5. Zoom sur quelques notions Les données sensibles L’enregistrement de données religieuses, raciales ou ethniques est interdit Les données relatives à la santé sont des données sensibles dont le traitement et la collecte sont par principe interdits Donnée de santé  Associé à une pathologie Des dérogations à ce principe existent La personne a donné son consentement Sauvegarde de la vie humaine, suivi médical Traitement statistique et recherche Evaluation des pratiques Continuité des soins  échanges entre praticiens Télémédecine, sauf opposition du patient Sécurité sociale et maladie à déclarations obligatoires Selon l’organisation qu’il a mise en place (relais Informatique et Libertés par exemple) et l’outil de tenue de registre qu’il utilise éventuellement, le formateur pourra insérer des transparents pour présenter les circuits de remontée de l’information sur les nouveaux traitements ou les modifications. 36 36

Le NIR  numéro de sécurité sociale 5. Zoom sur quelques notions Le NIR  numéro de sécurité sociale Numéro d'inscription au répertoire des personnes physiques Un numéro universel permettant d’interconnecter des fichiers Une utilisation très encadrée Peuvent utiliser le NIR : les acteurs du système de protection sociale les employeurs pour les éléments de la paye le pôle emploi pour le paiement des cotisations sociales des chômeurs et le maintien de leurs droits sociaux les organismes d’assurance maladie obligatoires et complémentaires les professionnels et les établissements de santé pour permettre la prise en charge des frais de maladie Selon l’organisation qu’il a mise en place (relais Informatique et Libertés par exemple) et l’outil de tenue de registre qu’il utilise éventuellement, le formateur pourra insérer des transparents pour présenter les circuits de remontée de l’information sur les nouveaux traitements ou les modifications. 37 37

La sécurité  un impératif 4. La CNIL et les professions médico-sociales La sécurité  un impératif On est responsable des données recueillies Protection des données par mot de passe « sécurisé » La protection doit être adaptée à la finalité Les données ne doivent pas être modifiées ou altérées Responsabilité de l’intégrité des données Accès aux données par les seules personnes habilités Personne ayant à en connaître Les données transmises par Mail doivent être sécurisées Chiffrement des pièces jointes Les données ne sont pas conservées au-delà du délai nécessaire Si elles sont conservées, elles sont protégées et plus utilisées Selon l’organisation qu’il a mise en place (relais Informatique et Libertés par exemple) et l’outil de tenue de registre qu’il utilise éventuellement, le formateur pourra insérer des transparents pour présenter les circuits de remontée de l’information sur les nouveaux traitements ou les modifications. 38 38

Les transferts de données à l’étranger 5. Zoom sur quelques notions Les transferts de données à l’étranger Les transferts de données à caractère personnelles hors de l’Union Européenne sont interdits à moins que le pays ou le destinataire n’assure un niveau de protection adéquat Les conditions pour rendre une transmission possible Quelques pays offrent un niveau de protection équivalent Canada, Suisse, Argentine, Uruguay, Israël, Andorre, Iles Féroé, Ile de Man, Guernesey et Jersey Transfert exceptionnel et nécessaire avec l’accord de la personne Ne peut pas concerner des accords entre universités Transfert au sein d’une même entreprise avec des règles internes Contractualisation avec les clauses de la Commission Européenne Dans les 2 derniers cas, une autorisation de la CNIL est nécessaire Selon l’organisation qu’il a mise en place (relais Informatique et Libertés par exemple) et l’outil de tenue de registre qu’il utilise éventuellement, le formateur pourra insérer des transparents pour présenter les circuits de remontée de l’information sur les nouveaux traitements ou les modifications. 39 39

La protection des données dans le monde 5. Zoom sur quelques notions La protection des données dans le monde Selon l’organisation qu’il a mise en place (relais Informatique et Libertés par exemple) et l’outil de tenue de registre qu’il utilise éventuellement, le formateur pourra insérer des transparents pour présenter les circuits de remontée de l’information sur les nouveaux traitements ou les modifications. 40 40

5. Zoom sur quelques notions Zoom sur les Etats Unis La législation des Etats Unis n’offre pas une protection des données personnelles  Forte vigilance Existence du Patriot Act depuis les attentats du 11 septembre 2001 Les autorités peuvent accéder à toutes les bases de données Surveillance de masse par la NSA révélée par l’affaire Snowden Jusqu’au 6 octobre 2015, le Safe Harbor  Invalidé par la cour européenne Accord entre l’UE et les autorités américaines Règles auxquelles les entreprises pouvaient adherer volontairement La cours européenne a estimé que la protection n’était pas effective Le nouvel accord Privacy Shield adopté le 2 juillet 2016 Obligation aux entreprises avec mécanismes de surveillance Accès aux données par les autorités américaines strictement encadré Réexamen annuel par la Commission Européenne Offre un cadre juridique La réalité de la protection peut être mise en doute Selon l’organisation qu’il a mise en place (relais Informatique et Libertés par exemple) et l’outil de tenue de registre qu’il utilise éventuellement, le formateur pourra insérer des transparents pour présenter les circuits de remontée de l’information sur les nouveaux traitements ou les modifications. 41 41

En savoir plus De nombreux guides téléchargeables sur le site de la CNIL Faciles à lire pour les non spécialistes https://www.cnil.fr/fr/mediatheque 42 42

Conclusion La loi Informatique et Libertés Un des droits fondamentaux de la personne Une loi de liberté individuelle Un Capital “vie privée” à protéger Acquérir des réflexes Informatique et Libertés En tant que citoyen En tant que professionnel Une nécessaire prise de conscience des impacts des évolutions technologiques 43 43

Merci de votre attention ! André Bruchet Correspondant Informatique et Libertés cil@univ-st-etienne.fr Pour en savoir plus : http://www.cil.univ-st-etienne.fr http://www.cnil.fr/ 44