PRESENTATION INFORMATIQUE ET LIBERTE

Slides:



Advertisements
Présentations similaires
La place des usagers dans le Projet régional de santé
Advertisements

Le Groupe  ses ACTIVITES :
Module 6: Larrivée individuelle. Objectifs Identifier les principales préoccupations en matière de protection des demandeurs dasile qui arrivent individuellement.
Mission pour lInformation Géographique - Décembre 2008 La directive Inspire 1 Les orientations et les implications de la directive européenne Inspire.
CLOUD COMPUTING ET PROTECTION DES DONNÉES PERSONNELLES EN TUNISIE
Base élèves Premier Degré
Principes de base de la négociation collective
30 ÈME ANNIVERSAIRE DE LA CONVENTION 108 DU CONSEIL DE LEUROPE POUR LA PROTECTION DES PERSONNES À LÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL.
Thierry Sobanski – HEI Lille
2nd thème : La notion de données à caractère personnel.
8ème thème : Le transfert à létranger de données à caractère personnel.
Aspects réglementaires du traitement informatisé des données de santé
Tout traitement automatisé d'informations nominatives doit, avant sa mise en œuvre, être déclaré ou soumis à l'avis de la CNIL. Introduction I : les formalités.
Activités de Biologie médicale Certification des établissements de santé et accréditation des LBM Nom de l’intervenant : Dominique FERREOL.
La collecte des données personnelles
DATICE. Propriété intellectuelle et droit dauteur Respect de la vie privée (notamment droit à limage) Protection des données personnelles Ne pas diffuser.
Protéger la personne et la vie privée
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Les recommandations de la CNIL
Centre de Gestion de l’Oise
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
Informatisation du dossier de soin au CHSA
DATICE. Propriété intellectuelle et droit dauteur Respect de la vie privée (notamment droit à limage) Protection des données personnelles ne pas diffuser.
Protection de la vie privée
Conférence Vanham & Vanham 8 mai 2003 Les nouvelles obligations en matière de publicité et de marketing réalisés par le biais des nouvelles technologies.
Formation Informatique et Libertés
Principes de protection des données personnelles DRT 3808.
Direction générale de la santé Des objectifs explicites : priorités, programmes, plans Mo VI-2-1 Veille, alerte et gestion des situations durgences sanitaires.
Pr. François-André ALLAERT Médecin de santé publique et juriste
Page 1 Présentation à la Commission des finances du Grand Conseil - 14 mai 2014 Préposé cantonal à la protection des données et à la transparence.
Autorités et Données personnelles Journée des Correspondants Autorités 2 octobre 2014.
P. 1 Réunion des administrateurs l 03/05/2012 Déclaration des traitements comportant des données personnelles.
La.
Diffusion de la « culture Informatique et Libertés » par le C2i
Informatique et Libertés individuelles. 2 La CNIL La loi en vigueur Nous sommes surveillés ?
Evaluation des Pratiques Professionnelles
La CNIL et la protection de la vie privée
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Me Isabelle Chvatal 25 septembre 2014 Réseau REPCAR.
Journée « Ma démarche FSE » Salle Laroque 16 avril 2015
COMPENDIUM N°17 LES DROITS PROCÉDURAUX À L’ENVIRONNEMENT Prof. Mary Sancy, Programme de formation continue en Dévelopement durable, Université de Genève,
Responsable du Département de l’Expertise et des Contrôles
Les données personnelles
Sophie Kwasny 16 June 2011 Forum Africain sur la Protection des Données Personnelles Dakar – 18 au 20 mai 2015 Les normes de protection des données à caractère.
Me Jean Chartier – Président de la CAI au Québec et de l’AFAPDP Enjeux de la régulation : comment assurer une protection efficace des renseignements personnels.
Site : La Cnil c’est quoi ?.
Le système de traitement des plaintes de l’IDP. Cadre Légal.
En partenariat avec C OMMISSION DE P ROTECTION DES D ONNÉES P ERSONNELLES DU SÉNÉGAL Pratiques de gestion des données administratives au Sénégal Dr Mouhamadou.
La Commission Nationale de l'Informatique et des Libertés
Externat Bon Accueil Mars 2008
TICE Exposé L’école et la Vie Privée
Les newsletters d’un point de vue légal
Secrétariat général direction de la Recherche et de l’Animation scientifique et technique Présentation de la directive européenne INSPIRE.
SERVICE PREVENTION ET SECURITE JOURNEE D’ACCUEIL EN DELEGATION
Informatique et Libertés individuelles. 2 La CNIL La loi en vigueur Nous sommes surveillés ?
Formation Informatique et Libertés
Formation Informatique et Libertés
Formation Informatique et Libertés
Formation Informatique et Libertés Les principes de la protection des données à caractère personnel et de la vie privée Présentation aux doctorants de.
Cellule Ecoute Loiret Enfance en Danger
ARCNA – Formation adhérents 2015 L’extranet - loi ALUR du 24 mars 2014 N°12.
La Charte Informatique
Protection des données personnelles Les bonnes pratiques CIL - présentation du 25 juin
Atelier CIL La CNIL et le secteur social …en quelques minutes!
Les enquêtes d’insertion Quelle méthodologie ? OVE CEVU – 18/10/2012.
Etre responsable à l’ère du numérique Domaine D2.
Formation Informatique et Libertés Les principes de la protection des données à caractère personnel et de la vie privée A destination des personnels des.
Les aspects juridiques de l'externalisation des données et services ARAMIS 2012 « Virtualisation et Bases de données » Yann Bergheaud – Lyon3.
Cours du 18/11/2015. LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Loi du 8 décembre 1992, modifiée en 1998 et ensuite par l’AR du 13 février 2001 Finalité.
Transcription de la présentation:

PRESENTATION INFORMATIQUE ET LIBERTE 09/06/2015 andre.mourrain@univ-brest.fr cil@univ-brest.fr Titre et sous titre à changer surement

SOMMAIRE 1 - Cadre réglementaire 1.1 Loi Informatique et Libertés 1.2 La CNIL 1.3 Le CIL 2 - Le champ d’application de la loi 2.1 Définitions 2.2 Les règles d’or 3 – Procédure 3.1 Le responsable de traitement 3.2 Les formalités préalables 4 – En pratique

1. - Cadre règlementaire

L’élément déclencheur : le projet SAFARI – (Système Automatisé pour les fichiers administratifs et le répertoire des individus) En 1974, la révélation d’un projet du gouvernement d’identifier chaque citoyen par un numéro et d’interconnecter tous les fichiers de l’administration créa une vive émotion dans l’opinion publique La crainte de la population d’un fichage général conduit le gouvernement à créer la CNIL, commission proposant des mesures tendant que le développement de l’informatique se réalise dans le respect de la vie privée, des libertés individuelles et des libertés publiques

1.1 La loi « informatique et Libertés » Créée le 6 janvier 1978, modifiée par une loi du 6 août 2004 qui a transposé en France une directive Européenne relative à la protection des personnes à l’égard des données personnelles et qui a accru les pouvoirs de la CNIL Renforce les droits des personnes sur leurs données personnelles Protège la vie privée, les libertés individuelles ou publiques dans un contexte d’utilisation de l’informatique (l’informatique au service des citoyens)

1.2 La CNIL (174 agents – 16 Meuros de budget – www.cnil.fr, 2015) Institution indépendante dont la mission essentielle est de protéger les données personnelles Exerce ses missions conformément à la loi informatique et liberté La CNIL ne reçoit d’instructions d’aucune autorité

1.2 La CNIL Ses Activités Recenser les traitements déclarés Informer et conseiller les autorités, les professionnels et le grand public Réglementer Contrôler l’application de la loi au sein des organismes Sanctionner en cas de non-respect de la loi Garantir le droit d’accès indirect aux traitements intéressant la sûreté de l’Etat, la défense et la sécurité publique

1.3 – LE CIL Contribuer à une meilleure application de la loi et réduire les risques juridiques pesant sur l’ organisme Alléger les formalités de déclarations vers la CNIL. Conseil , veille et alerte en matière de déploiement de projets informatique au sein de l’organisme Sensibiliser et former les personnels aux principes informatiques et liberté

1.3 LE CIL – SES MISSIONS A L’UBO Tenue du registre des traitements comportant des données à caractère personnel Veiller à l’application de la loi Conseil et recommandation Médiation Alerte Autres missions -> suite à convention expresse Limite des missions Les missions du CIL sont centrées sur la protection de la vie privée (protéger les personnes et leurs droits) et celles du Responsable de la Sécurité des Systèmes d’Information sont elles centrées sur la protection de l’organisme

Comité d’éthique recherche SHS 1.3 – LE CIL A L’UBO PRESIDENT GROUPE I et L Réunion - Bilan annuel – cas contrôle CNIL DGS, DSI , AMOA, VP Numérique, SERVICES CENTRAUX COMPOSANTES Bilan - Alertes COSIG LABORATOIRES DE RECHERCHE (UMR et autres) CIL GROUPE SSI (en cours de création) PERSONNEL Comité d’éthique recherche SHS (Recherche) ETUDIANTS Informations - demandes AFDCP (Association Française des correspondants à la protection des données à caractère personnelle) CNIL RESEAU SUPCIL

2. – Le champ d’application de la loi

2.1 Définitions Traitement : toute opération sur des données à caractère personnel Données personnelles : données permettant l’identification directe ou indirecte d’une personne physique Fichier : tout ensemble structuré et stable de données à caractère personnel accessible selon des critères déterminés La loi s’applique aux traitements de données à caractère personnel contenues ou appelées à figurer dans des fichiers Exemples : - Gestion du personnel - Badges - Vidéosurveillance - Annuaire sur site web

Définition - Données à caractère personnel « Toute donnée relative à une personne physique, qui peut être identifiée quel que soit le moyen utilisé » Données directement identifiantes : nom et prénom, photo, e-mail nominatif Données indirectement identifiantes : NIR, empreinte digitale, n° de téléphone, n° de dossier client, … Recoupements d’informations anonymes : le fils du procureur habitant au 9 Montreuil à Paris, …

Données sensibles Données sensibles : les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. Par principe, la collecte et le traitement de ces données sont interdites. Il existe des exceptions (consentement, justifié par un intérêt public). Autres données à risque : - données génétiques - données relatives aux infractions pénales, aux condamnations… - données comportant des appréciations sur les difficultés sociales des personnes - données biométriques - données comportant le NIR.

2.2 – Les 5 règles d’or 1 - Les finalités du traitement (ex : gestion colloques, 1 thème de recherche ->1 finalité) 2 - La pertinence des données et la proportionnalité des données (ex : annuaire sur site web/situation familiale, économie de la donnée) 3 - La conservation limitée des données (purge, archivage….) 4 - L’obligation de sécurité et de confidentialité des données (attention : dropbox, google drive…) 5 - L’obligation d’information (mention sur formulaire/intranet..) 6 – Principe du respect des droits des personnes (Accès aux informations, droit de s’opposer pour motif légitime…)

3. – Procédures

Dans quel cas s’applique la loi ?

2.1 Le responsable de traitement Qui ? L’autorité, l’organisme, le service qui détermine les finalités du traitement et les moyens (notamment informatiques, financiers, humains) nécessaires à sa mise en œuvre. Pour l’ UBO - PRESIDENT Où ? Etabli sur le territoire français (installation stable, quelle que soit sa forme juridique, filiale, succursale…) ou recourt à des moyens de traitement sur le territoire français. Cas particulier des UMR  A ce jour c’est le directeur de l’UMR

3.2 Formalités préalables Dispense de déclaration : cas prévu par la Loi ou par la CNIL => CIL. Normes simplifiées : engagement de conformité à un cadre de référence adapté par la CNIL => CIL. Déclaration : régime normal => CIL. Autorisation : données sensibles, transfert hors U.E., santé, génétique, infractions, condamnations, recherche en matière de santé, évaluation des soins… => CNIL .(conseil CIL) Avis : activités régaliennes de l’Etat (Défense, Sûreté, Sécurité Publiques, Utilisation du NIR) => CNIL.(Conseil CIL)

CNIL Projet de Recherche EC CIL CIRCUIT UBO EN CAS DE PROJET DE RECHERCHE AVEC DES DONNEES A CARACTERE PERSONNEL OU/ET SENSIBLE 4 - Demande autorisation – cas données sensibles CNIL Projet de Recherche EC 3 - Avis 1 - Demande avis de traitement 2-bis contact CNIL 0 –Approbation CIL Comité d’éthique 2 - Inscription au registre - si données personnelles - Non sensibles REGISTE DES TRAITEMENTS

Contact - Fiche de demande de traitement vers le CIL Fiche de demande de traitement vers le CIL pour avis et inscription au registre ou transmission de demande du traitement vers la CNIL

4. – Pratiques exemple projet Bakery conduit par Mme Masson

DEMANDEUR (Nom, prénom) Estelle Masson (MCF en psychologie sociale) DATE DE LA DEMANDE 23 juin 2014 COORDONNEES (Mail, Tel) estelle.masson@univ-brest.fr 06 76 76 21 60 COMPOSANTE/SERVICE UFR lettres et sciences humaines - Département de psychologie RESPONSABLE DE LA COMPOSANTE/SERVICE Estelle MASSON – responsable scientifique COORDONNEES 20 rue Duquesne – CS 93837 – 29238 Brest Cedex 3 CONTEXTE DE LA DEMANDE (pourquoi cette demande, dans quel cadre) Programme de recherche BAKERY : Diversité et interactions d’un écosystème agro- alimentaire Blé-Homme-Levain à faible intran: vers une meilleure compréhension de la durabilité de la filière boulangerie. Financement Programme de recherche BAKERY : Diversité et interactions d’un écosystème agro-alimentaire Blé-Homme-Levain à faible intran: vers une meilleure compréhension de la durabilité de la filière boulangerie.   La demande concerne : 30 entretiens en face à face ou par téléphone avec des artisans boulangers / paysans boulangers. Les entretiens porteront sur leurs pratiques de boulange et d’entretien de leur levain 30 entretiens en face à face ou par téléphone avec 30 clients des boulangers participant à l’étude. Les entretiens porteront sur leur rapport au pain, leurs connaissances relatives aux procédés de fabrication, les déterminants de leur choix de consommer du pain bio au levain naturel un questionnaire en ligne destiné à des consommateurs de pain bio portant sur leur rapport au pain, leurs connaissances relatives aux procédés de fabrication, les déterminants de leurs choix de consommation.

  REPONSE La notion de traitement de données à caractère personnel S’agit-il de données à caractère personnel ? Si oui, lesquelles ? Oui : sexe, âge, niveau d’étude, niveau de revenu, profession, adresse mail, numéro de téléphone, commune de résidence, pratiques alimentaires, déterminants des choix alimentaires, sensibilité à la question environnementale. Pour les boulangers : pratiques professionnelles Y a-t-il un traitement de ces données à caractère personnel (ex. informatique) ? Oui : analyses statistiques sauf pour : adresse mail, numéro de téléphone S’agit-il de données à caractère sensible (données médicales, religion, appartenance syndicale… ? Si oui, lesquelles ? Pathologies et intolérances alimentaires, IMC, engagement dans des associations ou réseaux liés à la question environnementale. Y a-t-il un traitement de ces données à caractère sensible (ex. informatique) ? Oui : analyses statistiques et analyse textuelle informatisée (Alceste) Le responsable des traitements Responsable du traitement Président de l’UBO Chargé de l’instruction du traitement dans le service – Responsable de la mise en œuvre du traitement Estelle Masson maitre de conférence, responsable scientifique pour l’UBO du projet Bakery.

Le principe de finalité : une utilisation encadrée des fichiers   Quelle est la finalité des traitements ? Lister les traitements envisagés et indiquer la finalité des traitements mis en œuvre ; tout détournement de finalité est passible de sanctions pénales Isoler : les représentations associées au pain bio au levain naturel rapport à l’alimentation (analyse Alceste + AFC + comparaison de moyenne, etc.) rapport à l’alimentation, à l’environnement et à la santé (analyse Alceste + AFC + comparaison de moyenne, etc.) les déterminants des choix de consommation (analyse Alceste + AFC + comparaison de moyenne, etc.) Existe-t-il une obligation légale de mettre en œuvre ces traitements ? (références du texte de loi) Non

MERCI DE VOTRE ATTENTION QUESTIONS ?

ANNEXES

Les 5 règles d’or de la protection des données (1) 1. Finalité du traitement : Article 6 LIL : « les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. » Cette finalité doit correspondant aux missions de l’établissement et doit être préalablement définie. Tout détournement de finalité est passible de sanctions pénales. 2. Pertinence des données : doivent être adéquates, pertinentes, non excessives au regard des finalités, exactes, complètes et mises à jour 3. Conservation limitée des données : les données ne peuvent être conservées que pendant une durée limitée. Exemple : vidéosurveillance ; 1 mois. Puis destruction ou anonymisation des données dans le respect des obligations légales d’archivage

Les 5 règles d’or de la protection des données 4. Obligation de sécurité et confidentialité : préserver la sécurité des données et empêcher qu’elles soit déformées, endommagées ou que des tiers non autorisés y aient accès

Les 5 règles d’or de la protection des données 4. Droit à l’information Les personnes doivent être informées, lors du recueil, de l’enregistrement ou de la première communication des données : - de la finalité du traitement - du caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse - de l’identité du responsable de traitement - des destinataires des données - de leurs droits (droit d’accès et de rectification, droit d’opposition) - le cas échéant, des transferts des données vers des pays hors U.E. => Mention sur formulaire/Intranet… => Problème de collecte indirecte (données sur internet/médias/réseaux sociaux)

Les 5 règles d’or de la protection des données 4. 6. Principe du respect des personnes Toute personne peut, directement auprès du responsable de traitement, avoir accès à l’ensemble des informations la concernant et exiger qu’elles soient, selon le cas, rectifiées, complétées, mises à jour ou supprimées. Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si le traitement répond à une obligation légale.