CONSEILS DEPARTEMENTAUX BIG DATA PROTEGER PROTECTION DES DONNEES PERSONNELLES ETHIQUE Règlement Européen Enjeux et perspective du RGPD au 25 Mai 2018 CONSEILS DEPARTEMENTAUX ADF
Le devenir de la protection des données personnelles « Devenir » : Du latin devenire (« aller, se rendre, arriver, parvenir, tomber dans (sur), recourir à, en venir à »), « commencer à être ce qu'on n'était pas encore » (St Léger, éd. J. Linskill, 124) Le RGPD est et représente une volonté forte d’uniformisation des réglementations Européennes en matière de protection des données personnelles, même si celui-ci trouvera des aménagements locaux dans chaque pays. Le sujet de la protection des données personnelles est de plus en plus exposé au niveau de la Gouvernance des Départements: les cyber- risques et le piratage augmentent, il y a un fort enjeu d’image et la réglementation accroît l’enjeu financier au travers des amendes (10 ou 20 millions d’Euros). Cet enjeu est aussi lié à l’éthique des Systèmes d’Information et la Confiance… ce qui ne va pas sans rappeler la loi sur la déontologie des fonctionnaire du 20 avril 2016 et les codes de conduite introduits par l’article 40 du RGPD.
Le devenir de la protection des données personnelles « Confiance » : Étymologiquement « fidélité » et « confiance » proviennent du même mot latin « fides », du nom de la déesse romaine de la bonne foi et de l’honneur Ainsi, la confiance ne se décrète pas. Elle se construit au fil des interactions, repose sur le respect des engagements et la promesse tenue. Le devenir de nos données et des données personnelles et patrimoniales en général pose le point suivant : comment permettre aux agents et aux usagers d'utiliser des produits ou des services numériques dans un environnement ou il est acteur informé de la protection de ses droits et confiant dans ses actions. (Lien RGS/CNIL)
Quelques chiffres De manière générale: Un département a plus de 200 manières différentes d’utiliser la donnée (= 200 « traitements » qu’il doit donc déclarer, sécuriser, et documenter) Un Département a plus de 100 partenaires institutionnels (CAF, Pôle emploi, MSA, MDPH, CPAM, DGFIP, Métropoles, communes, rectorat, Associations dans le cadre de l’ASE…) dont les conventions doivent préciser : les missions, les échanges de données, leur utilisation et sécurisation et les responsabilités de part et d’autre. Enjeux financiers : 2 ou 4% du chiffre d’affaire mondial ou 10 ou 20 millions d’euros d’amende, on retiendra en fonction de l’infraction le montant le plus élevé. 14 mars 2016 23 Mars 2017 Au 25 Mai 2018 16 867 organismes ont désigné un CIL* 17 934 organismes ont désigné un CIL La CNIL attend minimum 80 000 DPO** pour commencer…. 4 447 CIL désignés (certains étant mutualisés) 4 798 CIL désignés * CIL : Correspondants Informatique et Libertés – prévu au décret de 2005 ** DPO : Data Privacy Office (nouveau nom du CIL) – prévu par le règlement Européen
Feuille de route de l’ADF Une convention 2017-2020 signée entre l’ADF et la CNIL pour aider les départements à se mettre en conformité. Ce partenariat s'articulera autour des axes de collaboration suivants : I'ADF apportera aux Départements un accompagnement dans leurs démarches de mise en conformité, en particulier : via son Groupe technique sur la protection des données personnelles dont les travaux, depuis septembre 2OL7, portent principalement sur les conditions de mise en place d'une gouvernance < lnformatique et Libertés > (mutualisation des réflexions, outils et bonnes pratiques) ; via la mise à disposition de services d'information et de conseil de << premier niveau > auprès de ses adhérents ; I'ADF mènera, en direction des élus et agents des Départements, des opérations de sensibilisation sur le cadre juridique relatif à la protection des données personnelles; la CNIL soutiendra I'ADF dans sa démarche d'accompagnement des Départements, en organisant des formations en direction des membres du groupe de travail précité; la CNIL contribuera à l'élaboration de divers contenus aux fins de publication dans la revue électronique de I'ADF ; l'ADF et la CNIL, si elles le jugent utiles, conduiront conjointement tous travaux d'étude susceptibles d'alimenter leurs réflexions ou leurs actions communes.
Feuille de route de l’ADF La mise en place des jeudis de la protection des données (tous les 4ème jeudi du mois) avec le traitement de sujets intéressant les départements Les outils La méthodologie Des documents er procédures en marque blanche réutilisables Des retours d’expérience Des auditions d’éditeurs avec la mise en place d’un pilotage national sur le privacy by design ou by default et la mise ne place d’un schéma directeur national pour leur mise en conformité
Départements et RGPD – les Opportunités Actuellement tout se traduit en donnée et chacune d’entre elle permet de construire des services et des réalités nouvelles pour les usagers. Il s’agit d’une dimension à part entière de l’économie et de la manière de rendre le service public. L’attractivité territoriale, la prospective et l’innovation passent par l’usage raisonné et contrôlé de la donnée. La cohérence territoriale, la croissance, l’attractivité, la forte visibilité et la compétitivité d’un territoire passe par la prise en compte de l’enjeu stratégique du Big Data Territorial et des plates-formes d’ingénierie numériques prévues à cet effet. La donnée nominative fait partie intégrante de cette stratégie et peut représenter un levier non négligeable au niveau de l’attractivité Départementale L’objectif de l’ADF est de positionner les Départements en tant que « chef de file » sur la Protection des données et de renforcer la posture départementale en entamant une construction collaborative sur la protection des données et de voir le territoire et l’action publique sous l’angle de l’innovation et du changement.
Aide aux départements Désigner un Pilote = le délégué/ CIL Les traitements / les applicatifs => LE REGISTRE Les partenaires / les sous-traitants => LES CONTRATS Les tâches et les actions à mener en fonction des risques Approche de gestion des risques Etude d’impact sur la vie privée => PIA de la CNIL Révision des procédures internes - identification des relais métiers Circulation de l’information / Relais auprès de la hiérarchie A tous les niveaux dont le BILAN PILOTER CARTOGRAPHIER PRIORISER GERER LES RISQUES ORGANISER DOCUMENTER
Le Règlement Européen (RGPD) Règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) Publié au Journal officiel de l’Union européenne du 4 mai 2016 Travaux du G29 (groupe des autorités de protection européennes) en cours pour clarifier certaines notions sous forme de lignes directrices (livraison fin 2016 et début 2017) Applicable et sanctionnable à partir du 25 mai 2018 => 5 mois mois pour s’y préparer. Jusqu’au 25 mai 2018, la loi Informatique et Libertés et le décret de 2005 s’appliquent. Alors que la directive de 1995 reposait sur la notion de « formalités préalables » (déclaration, autorisations), le RGPD repose sur une logique de conformité (accountability) dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur
Changement de Paradigme Une notion & obligation de mise en œuvre de « l’accountability » c’est-à-dire de « la responsabilité » : dans la collecte, la gestion, l’utilisation, la réception, le transfert et l’ouverture de la donnée. Un renforcement du droit des personnes, de la transparence de l’information, de l’éthique et une garantie accrue des libertés individuelles. Le monde bascule dans l’autodétermination informationnelle, c’est-à-dire, article 1 de la Loi Informatique et Libertés : « (…) Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. »
Les changements engendrés Changements pour les usagers Changement pour les organismes Un souhait de renforcement de la transparence envers les usagers Un exercice des droits facilité Un renforcement de la notion de consentement des mineurs La consécration du droit à l’oubli L’apparition de nouveaux droits : portabilité et limitation du traitement Responsabilisation de tous les acteurs (Responsables de traitement et sous-traitants) Responsabilité conjointe des responsables de traitement Renforcement des sanctions Renforcement des obligations liées à la documentation d’un traitement Renforcement des obligations liées à l’accountability (mise en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données) - Droit à l’information encore plus précis - Droit d’accès étendu - Droit de suppression devient droit à l’effacement - Droit à la limitation du traitement (nouveau) - Portabilité des données (nouveau) - Droit d’opposition (renforcé) - Droit de s’opposer au profilage (revisité) … Et surtout, le Consentement de la personne
Du Règlement Européen vers L’éthique des SI Les nouvelles technologies de l’information et de la communication (NTIC) sont en train de transformer l’exercice de l’utilisation des SI des collectivités. Ces systèmes complexes posent question : Quelles sont les données collectées? Qui en est propriétaire? Quelles sont les données hébergées et où ? A qui peut-on les transférer ? La notion d’interopérabilité et de portabilité de la donnée pour l’usager? (exemple : changement de département, portabilités des données numériques d’une mesure saisie au SI vers le SI de l’autre collectivité) Peut-on et doit-on communiquer au moyen de supports électroniques avec les usagers ? (exemple : saisine par voie électronique) La dualité entre intérêt individuel et intérêt collectif en matière de collecte et de traitement de données; L’utilisation de la donnée dans le cadre des systèmes d’aide à la décision (profilage, scoring, détection d’anomalies dans la lutte contre la fraude…) La question du niveau de construction et de la mise en place d’une politique éthique dans l’organisation. Face à ces enjeux, une vision éthique s’impose afin de retrouver de la cohérence et du sens dans l’utilisation de cette technologie. Éthique stratégique: l'éthique en tant que démarche volontaire de la part des collectivités, se manifestant par l'adoption d'outils, de procédures et de processus qui visent à rendre l'action territoriale davantage éthique.
Les éléments du règlement L’objectif général est de donner à chaque personne le contrôle de ses données personnelles et de mettre les organismes traitant des données personnelles en situation de responsabilité. Le nouveau texte introduira de nouveaux concepts, comme: le principe de responsabilité de la collectivité -- Mise en place des mesures techniques et organisationnelles pour garantir et démontrer que le traitement des données respecte le règlement -- Audits de conformité -- Une approche par les risques (Études d’impact sur la vie privée)avant la mise en place de traitements comportant un risque particulier -- Tenue d’un registre des traitements et documentation de ces traitement -- Nomination d’un Data Protection Officer (DPO) pour le secteur public - la privacy by design : Protection des données dès la conception d’un nouveau traitement de données personnelles (y compris les évolutions applicatives) -l’extra-territorialité (application élargie du règlement) - la portabilité des données lorsque celles-ci font l’objet d’un traitement automatisé dans un format structuré et couramment utilisé. - Il renforcera ou étendra également d’autres éléments de la réglementation actuelle parmi lesquels : le renforcement des droits à l’information, à l’accès et au contrôle de ses données, la confirmation du droit à l’oubli numérique, le renforcement du consentement au traitement de ses données - le renforcement du principe de limitation de la conservation au regard de la finalité - l’encadrement du profilage - le renforcement de l’encadrement de la sous-traitance - la protection des mineurs - l’extension de la notification des failles de sécurité concernant des données personnelles aux autorités de contrôle et aux usagers - le renforcement des pouvoirs de contrôle des autorités compétentes, qui pourront notamment imposer des sanctions allant de 2% à potentiellement 4% du chiffre d’affaires annuel mondial de la société concernée – Pour les collectivités : entre 10 et 20 millions d’euros d’amende.
Le devenir des données personnelles et patrimoniales– maillage des responsabilités Le RGDP = Prise de conscience - Texte fédérateur qui pose des principes communs et qui se décline en schéma directeur identique au niveau Européen, tant sur le fond que sur la forme. La Gouvernance des collectivités doit donc prendre en compte les enjeux et structurer son mode de pensée des SI. Prendre en compte l’élargissement du champs de la données : contexte, utilisation, schéma des risques. La Datafication du monde amène chaque institution à typer la donnée, la cartographier, en somme… l’identifier tout en se posant la question : que protège-t-on ?