CONSEILS DEPARTEMENTAUX BIG DATA PROTEGER PROTECTION DES DONNEES PERSONNELLES ETHIQUE Règlement Européen Enjeux et perspective du RGPD au 25 Mai 2018 CONSEILS DEPARTEMENTAUX

Le devenir de la protection des données personnelles « Devenir » : Du latin devenire (« aller, se rendre, arriver, parvenir, tomber dans (sur), recourir à, en venir à »), « commencer à être ce qu'on n'était pas encore » (St Léger, éd. J. Linskill, 124) Le RGPD est et représente une volonté forte d’uniformisation des réglementations Européennes en matière de protection des données personnelles, même si celui-ci trouvera des aménagements locaux dans chaque pays. Le sujet de la protection des données personnelles est de plus en plus exposé au niveau de la Gouvernance des Départements: les cyber- risques et le piratage augmentent, il y a un fort enjeu d’image et la réglementation accroît l’enjeu financier au travers des amendes (10 ou 20 millions d’Euros). Cet enjeu est aussi lié à l’éthique des Systèmes d’Information et la Confiance… ce qui ne va pas sans rappeler la loi sur la déontologie des fonctionnaire du 20 avril 2016 et les codes de conduite introduits par l’article 40 du RGPD.

Le devenir de la protection des données personnelles « Confiance » : Étymologiquement « fidélité » et « confiance » proviennent du même mot latin « fides », du nom de la déesse romaine de la bonne foi et de l’honneur Ainsi, la confiance ne se décrète pas. Elle se construit au fil des interactions, repose sur le respect des engagements et la promesse tenue.  Le devenir de nos données et des données personnelles et patrimoniales en général pose le point suivant : comment permettre aux agents et aux usagers d'utiliser des produits ou des services numériques dans un environnement ou il est acteur informé de la protection de ses droits et confiant dans ses actions. (Lien RGS/CNIL)

Quelques chiffres De manière générale: Un département a plus de 200 manières différentes d’utiliser la donnée (= 200 « traitements » qu’il doit donc déclarer, sécuriser, et documenter) Un Département a plus de 100 partenaires institutionnels (CAF, Pôle emploi, MSA, MDPH, CPAM, DGFIP, Métropoles, communes, rectorat, Associations dans le cadre de l’ASE…) dont les conventions doivent préciser : les missions, les échanges de données, leur utilisation et sécurisation et les responsabilités de part et d’autre. Enjeux financiers : 2 ou 4% du chiffre d’affaire mondial ou 10 ou 20 millions d’euros d’amende, on retiendra en fonction de l’infraction le montant le plus élevé. 14 mars 2016 23 Mars 2017 Au 25 Mai 2018 16 867 organismes ont désigné un CIL* 17 934 organismes ont désigné un CIL La CNIL attend minimum 80 000 DPO** pour commencer…. 4 447 CIL désignés (certains étant mutualisés) 4 798 CIL désignés * CIL : Correspondants Informatique et Libertés – prévu au décret de 2005 ** DPO : Data Privacy Office (nouveau nom du CIL) – prévu par le règlement Européen

Le Règlement Européen (RGPD) Règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) Publié au Journal officiel de l’Union européenne du 4 mai 2016 Travaux du G29 (groupe des autorités de protection européennes) en cours pour clarifier certaines notions sous forme de lignes directrices (livraison fin 2016 et début 2017) Applicable et sanctionnable à partir du 25 mai 2018 Alors que la directive de 1995 reposait sur la notion de « formalités préalables » (déclaration, autorisations), le RGPD repose sur une logique de conformité (accountability) dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur

Changement de Paradigme Une notion & obligation de mise en œuvre de « l’accountability » c’est-à-dire de « la responsabilité » : dans la collecte, la gestion, l’utilisation, la réception, le transfert et l’ouverture de la donnée. Un renforcement du droit des personnes, de la transparence de l’information, de l’éthique et une garantie accrue des libertés individuelles. Le monde bascule dans l’autodétermination informationnelle, c’est-à-dire, article 1 de la Loi Informatique et Libertés : « (…) Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. »

Les changements engendrés Changements pour les usagers Changement pour les organismes Un souhait de renforcement de la transparence envers les usagers Un exercice des droits facilité Un renforcement de la notion de consentement des mineurs La consécration du droit à l’oubli L’apparition de nouveaux droits : portabilité et limitation du traitement Responsabilisation de tous les acteurs (Responsables de traitement et sous-traitants) Responsabilité conjointe des responsables de traitement Renforcement des sanctions Renforcement des obligations liées à la documentation d’un traitement Renforcement des obligations liées à l’accountability (mise en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données) - Droit à l’information encore plus précis - Droit d’accès étendu - Droit de suppression devient droit à l’effacement - Droit à la limitation du traitement (nouveau) - Portabilité des données (nouveau) - Droit d’opposition (renforcé) - Droit de s’opposer au profilage (revisité) … Et surtout, le Consentement de la personne

La Stratégie d’appréhension du RGPD Piloter Désigner un Pilote présentant les qualités professionnelles adéquates Cartographier Les traitements de données à caractère personnel Les applicatifs Les partenaires Les sous-traitants Les flux entrants et sortant d’information Prioriser Les tâches et actions au regard des risques présentés par les traitements (données sensibles ou non) Gérer les Risques Entamer une approche de gestion de risque Bâtir un canevas d’étude d’impact sur la vie privée (en cas de faille de sécurité physique ou logique) Organiser Le travail en interne en identifiant des relais Les processus internes en rédigeant les procédures Documenter la conformité Déclaration, Analyse de risques sur la vie privée, Description des transferts de données Mentions d’information des personnes, Consentement Contrats / conventions Procédures internes

Du Règlement Européen vers L’éthique des SI Les nouvelles technologies de l’information et de la communication (NTIC) sont en train de transformer l’exercice de l’utilisation des SI des collectivités. Ces systèmes complexes posent question : Quelles sont les données collectées? Qui en est propriétaire? Quelles sont les données hébergées et où ? A qui peut-on les transférer ? La notion d’interopérabilité et de portabilité de la donnée pour l’usager? (exemple : changement de département, portabilités des données numériques d’une mesure saisie au SI vers le SI de l’autre collectivité) Peut-on et doit-on communiquer au moyen de supports électroniques avec les usagers ? (exemple : saisine par voie électronique) La dualité entre intérêt individuel et intérêt collectif en matière de collecte et de traitement de données; L’utilisation de la donnée dans le cadre des systèmes d’aide à la décision (profilage, scoring, détection d’anomalies dans la lutte contre la fraude…) La question du niveau de construction et de la mise en place d’une politique éthique dans l’organisation. Face à ces enjeux, une vision éthique s’impose afin de retrouver de la cohérence et du sens dans l’utilisation de cette technologie. Éthique stratégique: l'éthique en tant que démarche volontaire de la part des collectivités, se manifestant par l'adoption d'outils, de procédures et de processus qui visent à rendre l'action territoriale davantage éthique.

Les éléments du règlement L’objectif général est de donner à chaque personne le contrôle de ses données personnelles et de mettre les organismes traitant des données personnelles en situation de responsabilité. Le nouveau texte introduira de nouveaux concepts, comme: le principe de responsabilité de la collectivité -- Mise en place des mesures techniques et organisationnelles pour garantir et démontrer que le traitement des données respecte le règlement -- Audits de conformité -- Une approche par les risques (Études d’impact sur la vie privée)avant la mise en place de traitements comportant un risque particulier -- Tenue d’un registre des traitements et documentation de ces traitement -- Nomination d’un Data Protection Officer (DPO) pour le secteur public - ƒla privacy by design : Protection des données dès la conception d’un nouveau traitement de données personnelles (y compris les évolutions applicatives) -l’extra-territorialité (application élargie du règlement) ƒ - ƒla portabilité des données lorsque celles-ci font l’objet d’un traitement automatisé dans un format structuré et couramment utilisé. - Il renforcera ou étendra également d’autres éléments de la réglementation actuelle parmi lesquels : le renforcement des droits à l’information, à l’accès et au contrôle de ses données, la confirmation du droit à l’oubli numérique, le renforcement du consentement au traitement de ses données ƒ- le renforcement du principe de limitation de la conservation au regard de la finalité ƒ- l’encadrement du profilage ƒ- le renforcement de l’encadrement de la sous-traitance - la protection des mineurs ƒ- l’extension de la notification des failles de sécurité concernant des données personnelles aux autorités de contrôle et aux usagers ƒ- le renforcement des pouvoirs de contrôle des autorités compétentes, qui pourront notamment imposer des sanctions allant de 2% à potentiellement 4% du chiffre d’affaires annuel mondial de la société concernée – Pour les collectivités : entre 10 et 20 millions d’euros d’amende.

Le devenir des données personnelles et patrimoniales– maillage des responsabilités Le RGDP = Prise de conscience - Texte fédérateur qui pose des principes communs et qui se décline en schéma directeur identique au niveau Européen, tant sur le fond que sur la forme. La Gouvernance des collectivités doit donc prendre en compte les enjeux et structurer son mode de pensée des SI. Prendre en compte l’élargissement du champs de la données : contexte, utilisation, schéma des risques. La Datafication du monde amène chaque institution à typer la donnée, la cartographier, en somme… l’identifier tout en se posant la question : que protège-t-on ?

Objectif du groupe de travail Mutualiser les compétences et connaissances afin d’aider les département à aller plus vite dans leur mise en conformité. Cartographie des traitements Exigences sécurité Contrats et marchés publics Conventions Habilitations Études juridiques / fiches juridiques mutualisées (disposer d’une base)

Pour aller plus loin Liens vers les Articles CNIL Règlement européen sur la protection des données : comment les collectivités peuvent-elles se préparer ? En quoi les collectivités territoriales sont-elles impactées par le règlement européen sur la protection des données ? Notifications d’incidents de sécurité aux autorités de régulation : comment s’organiser et à qui s’adresser ? La sécurité des données des administrés : loi informatique et libertés et RGS Loi Notre : Réforme territoriale et protection des données