PRESENTATION INFORMATIQUE ET LIBERTE 09/06/2015 andre.mourrain@univ-brest.fr cil@univ-brest.fr Titre et sous titre à changer surement

SOMMAIRE 1 - Cadre réglementaire 1.1 Loi Informatique et Libertés 1.2 La CNIL 1.3 Le CIL 2 - Le champ d’application de la loi 2.1 Définitions 2.2 Les règles d’or 3 – Procédure 3.1 Le responsable de traitement 3.2 Les formalités préalables 4 – En pratique

1. - Cadre règlementaire

L’élément déclencheur : le projet SAFARI – (Système Automatisé pour les fichiers administratifs et le répertoire des individus) En 1974, la révélation d’un projet du gouvernement d’identifier chaque citoyen par un numéro et d’interconnecter tous les fichiers de l’administration créa une vive émotion dans l’opinion publique La crainte de la population d’un fichage général conduit le gouvernement à créer la CNIL, commission proposant des mesures tendant que le développement de l’informatique se réalise dans le respect de la vie privée, des libertés individuelles et des libertés publiques

1.1 La loi « informatique et Libertés » Créée le 6 janvier 1978, modifiée par une loi du 6 août 2004 qui a transposé en France une directive Européenne relative à la protection des personnes à l’égard des données personnelles et qui a accru les pouvoirs de la CNIL Renforce les droits des personnes sur leurs données personnelles Protège la vie privée, les libertés individuelles ou publiques dans un contexte d’utilisation de l’informatique (l’informatique au service des citoyens)

1.2 La CNIL (174 agents – 16 Meuros de budget – www.cnil.fr, 2015) Institution indépendante dont la mission essentielle est de protéger les données personnelles Exerce ses missions conformément à la loi informatique et liberté La CNIL ne reçoit d’instructions d’aucune autorité

1.2 La CNIL Ses Activités Recenser les traitements déclarés Informer et conseiller les autorités, les professionnels et le grand public Réglementer Contrôler l’application de la loi au sein des organismes Sanctionner en cas de non-respect de la loi Garantir le droit d’accès indirect aux traitements intéressant la sûreté de l’Etat, la défense et la sécurité publique

1.3 – LE CIL Contribuer à une meilleure application de la loi et réduire les risques juridiques pesant sur l’ organisme Alléger les formalités de déclarations vers la CNIL. Conseil , veille et alerte en matière de déploiement de projets informatique au sein de l’organisme Sensibiliser et former les personnels aux principes informatiques et liberté

1.3 LE CIL – SES MISSIONS A L’UBO Tenue du registre des traitements comportant des données à caractère personnel Veiller à l’application de la loi Conseil et recommandation Médiation Alerte Autres missions -> suite à convention expresse Limite des missions Les missions du CIL sont centrées sur la protection de la vie privée (protéger les personnes et leurs droits) et celles du Responsable de la Sécurité des Systèmes d’Information sont elles centrées sur la protection de l’organisme

Comité d’éthique recherche SHS 1.3 – LE CIL A L’UBO PRESIDENT GROUPE I et L Réunion - Bilan annuel – cas contrôle CNIL DGS, DSI , AMOA, VP Numérique, SERVICES CENTRAUX COMPOSANTES Bilan - Alertes COSIG LABORATOIRES DE RECHERCHE (UMR et autres) CIL GROUPE SSI (en cours de création) PERSONNEL Comité d’éthique recherche SHS (Recherche) ETUDIANTS Informations - demandes AFDCP (Association Française des correspondants à la protection des données à caractère personnelle) CNIL RESEAU SUPCIL

2. – Le champ d’application de la loi

2.1 Définitions Traitement : toute opération sur des données à caractère personnel Données personnelles : données permettant l’identification directe ou indirecte d’une personne physique Fichier : tout ensemble structuré et stable de données à caractère personnel accessible selon des critères déterminés La loi s’applique aux traitements de données à caractère personnel contenues ou appelées à figurer dans des fichiers Exemples : - Gestion du personnel - Badges - Vidéosurveillance - Annuaire sur site web

Définition - Données à caractère personnel « Toute donnée relative à une personne physique, qui peut être identifiée quel que soit le moyen utilisé » Données directement identifiantes : nom et prénom, photo, e-mail nominatif Données indirectement identifiantes : NIR, empreinte digitale, n° de téléphone, n° de dossier client, … Recoupements d’informations anonymes : le fils du procureur habitant au 9 Montreuil à Paris, …

Données sensibles Données sensibles : les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. Par principe, la collecte et le traitement de ces données sont interdites. Il existe des exceptions (consentement, justifié par un intérêt public). Autres données à risque : - données génétiques - données relatives aux infractions pénales, aux condamnations… - données comportant des appréciations sur les difficultés sociales des personnes - données biométriques - données comportant le NIR.

2.2 – Les 5 règles d’or 1 - Les finalités du traitement (ex : gestion colloques, 1 thème de recherche ->1 finalité) 2 - La pertinence des données et la proportionnalité des données (ex : annuaire sur site web/situation familiale, économie de la donnée) 3 - La conservation limitée des données (purge, archivage….) 4 - L’obligation de sécurité et de confidentialité des données (attention : dropbox, google drive…) 5 - L’obligation d’information (mention sur formulaire/intranet..) 6 – Principe du respect des droits des personnes (Accès aux informations, droit de s’opposer pour motif légitime…)

3. – Procédures

Dans quel cas s’applique la loi ?

2.1 Le responsable de traitement Qui ? L’autorité, l’organisme, le service qui détermine les finalités du traitement et les moyens (notamment informatiques, financiers, humains) nécessaires à sa mise en œuvre. Pour l’ UBO - PRESIDENT Où ? Etabli sur le territoire français (installation stable, quelle que soit sa forme juridique, filiale, succursale…) ou recourt à des moyens de traitement sur le territoire français. Cas particulier des UMR  A ce jour c’est le directeur de l’UMR

3.2 Formalités préalables Dispense de déclaration : cas prévu par la Loi ou par la CNIL => CIL. Normes simplifiées : engagement de conformité à un cadre de référence adapté par la CNIL => CIL. Déclaration : régime normal => CIL. Autorisation : données sensibles, transfert hors U.E., santé, génétique, infractions, condamnations, recherche en matière de santé, évaluation des soins… => CNIL .(conseil CIL) Avis : activités régaliennes de l’Etat (Défense, Sûreté, Sécurité Publiques, Utilisation du NIR) => CNIL.(Conseil CIL)

CNIL Projet de Recherche EC CIL CIRCUIT UBO EN CAS DE PROJET DE RECHERCHE AVEC DES DONNEES A CARACTERE PERSONNEL OU/ET SENSIBLE 4 - Demande autorisation – cas données sensibles CNIL Projet de Recherche EC 3 - Avis 1 - Demande avis de traitement 2-bis contact CNIL 0 –Approbation CIL Comité d’éthique 2 - Inscription au registre - si données personnelles - Non sensibles REGISTE DES TRAITEMENTS

Contact - Fiche de demande de traitement vers le CIL Fiche de demande de traitement vers le CIL pour avis et inscription au registre ou transmission de demande du traitement vers la CNIL

4. – Pratiques exemple projet Bakery conduit par Mme Masson

DEMANDEUR (Nom, prénom) Estelle Masson (MCF en psychologie sociale) DATE DE LA DEMANDE 23 juin 2014 COORDONNEES (Mail, Tel) estelle.masson@univ-brest.fr 06 76 76 21 60 COMPOSANTE/SERVICE UFR lettres et sciences humaines - Département de psychologie RESPONSABLE DE LA COMPOSANTE/SERVICE Estelle MASSON – responsable scientifique COORDONNEES 20 rue Duquesne – CS 93837 – 29238 Brest Cedex 3 CONTEXTE DE LA DEMANDE (pourquoi cette demande, dans quel cadre) Programme de recherche BAKERY : Diversité et interactions d’un écosystème agro- alimentaire Blé-Homme-Levain à faible intran: vers une meilleure compréhension de la durabilité de la filière boulangerie. Financement Programme de recherche BAKERY : Diversité et interactions d’un écosystème agro-alimentaire Blé-Homme-Levain à faible intran: vers une meilleure compréhension de la durabilité de la filière boulangerie.   La demande concerne : 30 entretiens en face à face ou par téléphone avec des artisans boulangers / paysans boulangers. Les entretiens porteront sur leurs pratiques de boulange et d’entretien de leur levain 30 entretiens en face à face ou par téléphone avec 30 clients des boulangers participant à l’étude. Les entretiens porteront sur leur rapport au pain, leurs connaissances relatives aux procédés de fabrication, les déterminants de leur choix de consommer du pain bio au levain naturel un questionnaire en ligne destiné à des consommateurs de pain bio portant sur leur rapport au pain, leurs connaissances relatives aux procédés de fabrication, les déterminants de leurs choix de consommation.

  REPONSE La notion de traitement de données à caractère personnel S’agit-il de données à caractère personnel ? Si oui, lesquelles ? Oui : sexe, âge, niveau d’étude, niveau de revenu, profession, adresse mail, numéro de téléphone, commune de résidence, pratiques alimentaires, déterminants des choix alimentaires, sensibilité à la question environnementale. Pour les boulangers : pratiques professionnelles Y a-t-il un traitement de ces données à caractère personnel (ex. informatique) ? Oui : analyses statistiques sauf pour : adresse mail, numéro de téléphone S’agit-il de données à caractère sensible (données médicales, religion, appartenance syndicale… ? Si oui, lesquelles ? Pathologies et intolérances alimentaires, IMC, engagement dans des associations ou réseaux liés à la question environnementale. Y a-t-il un traitement de ces données à caractère sensible (ex. informatique) ? Oui : analyses statistiques et analyse textuelle informatisée (Alceste) Le responsable des traitements Responsable du traitement Président de l’UBO Chargé de l’instruction du traitement dans le service – Responsable de la mise en œuvre du traitement Estelle Masson maitre de conférence, responsable scientifique pour l’UBO du projet Bakery.

Le principe de finalité : une utilisation encadrée des fichiers   Quelle est la finalité des traitements ? Lister les traitements envisagés et indiquer la finalité des traitements mis en œuvre ; tout détournement de finalité est passible de sanctions pénales Isoler : les représentations associées au pain bio au levain naturel rapport à l’alimentation (analyse Alceste + AFC + comparaison de moyenne, etc.) rapport à l’alimentation, à l’environnement et à la santé (analyse Alceste + AFC + comparaison de moyenne, etc.) les déterminants des choix de consommation (analyse Alceste + AFC + comparaison de moyenne, etc.) Existe-t-il une obligation légale de mettre en œuvre ces traitements ? (références du texte de loi) Non

MERCI DE VOTRE ATTENTION QUESTIONS ?

ANNEXES

Les 5 règles d’or de la protection des données (1) 1. Finalité du traitement : Article 6 LIL : « les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. » Cette finalité doit correspondant aux missions de l’établissement et doit être préalablement définie. Tout détournement de finalité est passible de sanctions pénales. 2. Pertinence des données : doivent être adéquates, pertinentes, non excessives au regard des finalités, exactes, complètes et mises à jour 3. Conservation limitée des données : les données ne peuvent être conservées que pendant une durée limitée. Exemple : vidéosurveillance ; 1 mois. Puis destruction ou anonymisation des données dans le respect des obligations légales d’archivage

Les 5 règles d’or de la protection des données 4. Obligation de sécurité et confidentialité : préserver la sécurité des données et empêcher qu’elles soit déformées, endommagées ou que des tiers non autorisés y aient accès

Les 5 règles d’or de la protection des données 4. Droit à l’information Les personnes doivent être informées, lors du recueil, de l’enregistrement ou de la première communication des données : - de la finalité du traitement - du caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse - de l’identité du responsable de traitement - des destinataires des données - de leurs droits (droit d’accès et de rectification, droit d’opposition) - le cas échéant, des transferts des données vers des pays hors U.E. => Mention sur formulaire/Intranet… => Problème de collecte indirecte (données sur internet/médias/réseaux sociaux)

Les 5 règles d’or de la protection des données 4. 6. Principe du respect des personnes Toute personne peut, directement auprès du responsable de traitement, avoir accès à l’ensemble des informations la concernant et exiger qu’elles soient, selon le cas, rectifiées, complétées, mises à jour ou supprimées. Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si le traitement répond à une obligation légale.