La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Protection des données, nouvelles obligations

Présentations similaires


Présentation au sujet: "Protection des données, nouvelles obligations"— Transcription de la présentation:

1 Protection des données, nouvelles obligations
page 1

2 Rappels des définitions, grands principes et acteurs

3 Rappels : Définitions Données à caractère personnel :
Constitue une donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable : Directement ou Indirectement, notamment par référence : Loi Informatique et Libertés (LIL) vs Règlement général pour la protection des données (RGPD) : définition élargie et plus précise par rapport à la LIL à un identifiant, tel que : à un ou plusieurs éléments spécifiques propres à son identité un nom physique, physiologique, génétique, psychique un numéro d'identification des données de localisation économique, culturelle ou sociale un identifiant en ligne Définition LIL : Constitue une DCP toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

4 Exemples : nom, prénom, date de naissance, adresse postale, adresse électronique, adresse IP d'un ordinateur, numéro de téléphone, numéro de carte de paiement, plaque d'immatriculation d'un véhicule, empreinte digitale, ADN, photo, numéro de sécurité sociale... page 1

5 Rappels : Définitions Traitement :
Constitue un traitement de données à caractère personnel : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que LIL vs RGPD : définition peu modifiée par rapport à la LIL la collecte la communication par transmission, la diffusion ou toute autre forme de mise à disposition l'enregistrement l'organisation, la structuration, le rapprochement ou l'interconnexion, la conservation l'adaptation ou la modification la limitation l'extraction, la consultation l'utili­sation l'effacement ou la destruction Seule différence avec la LIL : - on précise qu’il peut s’agir d’opération effectuées ou non à l’aide de procédés automatisés et appliqué à des données ou à des ensemble de données - la mention de la structure et le remplacement du mot « verrouillage » par « limitation »

6 page 1

7 Rappels : Définitions Fichier :
Constitue un fichier de données à caractère personnel : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit : centralisé décentralisé ou réparti de manière fonctionnelle ou géographique

8 Rappels : Acteurs Le responsable du traitement (RT) :
Le·la maire Le·la président·e de l’EPCI, du syndicat, du Conseil départemental ou du Conseil régional Définition (Art 4): La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. La personne dont la responsabilité civile et pénale peut être engagée Pas de changement dans la définition et la conception du responsable de traitement par rapport à la LIL

9 Rappels : Acteurs Le Correspondant Informatique et Libertés :
Diffuse la culture Informatique et Libertés Instaure des bonnes pratiques Est l’interlocuteur de la CNIL Sensibilise les agents, la direction, les élus Tient des registres de traitement et dresse un bilan annuel de ses activités Désignation facultative pour la collectivité Changement important avec le RGPD : disparition du CIL au profit du Délégué à la Protection des Données (DPD)

10 Rappels : Les grands principes de la collecte de données
Principe de finalité : indiquer à quoi le fichier va servir. Les données ne peuvent être recueillies que pour une finalité : Déterminée, explicite et légitime Correspondant aux missions de la collectivité  Autrement dit, ce principe limite la manière dont le responsable du traitement pourra utiliser ou réutiliser ces données dans le futur. Principe de pertinence : aussi appelé principe de proportionnalité ou de minimisation de la collecte. Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées. Principe de temporalité : aussi appelé principe de conservation. Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de conserver les données et elles doivent être supprimées.

11 Les autres grands principes de la LIL
Sécurité des fichiers Obligation de prendre toutes les mesures nécessaires pour : Garantir la sécurité des données collectées Garantir leur confidentialité Obligation d’adapter ces mesures en fonction des risques qui pèsent sur les données Information des personnes de leurs droits : Droit d’accéder à ses données Droit de les rectifier Droit de s’opposer à leur utilisation Formalités préalables auprès de la CNIL Déclaration normale Demande d’autorisation Demande d’avis Simplifications Autorisation : - Interconnexion de fichiers dont les finalités sont différentes - Appréciations sur les difficultés sociales - Données biométriques Avis : - Utilisation du NIR page 1

12 Le Règlement général pour la protection des données
(RGPD)

13 Nouvelles obligations ?
La Loi informatique et Libertés : en vigueur depuis le 6 janvier 1978 Lien : ICI Le Règlement général sur la protection des données (RGPD) : en vigueur à partir du 25 mai 2018. RGPD aussi appelé GDPR en anglais

14 Le RGPD Un long processus : Constat :
4 ans de négociation, amendements, 88 pages Adopté le 27 avril 2016 Publié au JOUE le 4 juin 2016 Entrée en application des dispositions : 25 mai 2018 Constat : Manque d’harmonisation entre les niveaux de protection au sein de l’UE Évolution rapide des technologies De plus en plus de données collectées Nécessité de susciter ou maintenir la confiance Des renvois aux droits nationaux : 56 cas où les États Membres gardent leur pouvoir , notamment : santé, NIR, emploi, exécution d’une mission d’intérêt publique ou exercice de l'autorité publique, archivage, statistiques, recherche scientifiques, recherche historique Loi informatique et libertés 2 en attente Plus : la loi pour une République numérique a prévu des dispositions pour anticiper l’EEV du RGPD

15 Ce qui change : - Une nouvelle logique de responsabilité
- Les droits des personnes renforcés - Un risque aggravé de sanctions - Un Délégué à la Protection des Données (DPD) obligatoire

16 Une nouvelle logique de responsabilité
Réflexion sur la protection des données dès la création / conception d’un service : « Privacy by design » : Dès la conception d’un service et par défaut Mise en œuvre de mesures techniques et / organisationnelles Veiller à limiter la quantité de données traitées Suppression des obligations de déclarations préalables pour les traitements sans risque pour la vie privée Logique de responsabilisation des élu·e·s (RT) Obligations de mettre en place des mesures de protection, de les documenter et de démontrer la conformité à tout moment (mise en conformité dynamique et permanente) Maintien des déclarations préalables pour les demandes d’autorisation Exemples : - favoriser par principe les menus déroulants ou les cases à cocher plutôt que les zones de commentaires libres sur les formulaires de collecte et dans les bases de données internes, pour limiter dès le départ le nombre et la nature des données enregistrées ; - restreindre au maximum les droits d’accès informatiques aux données et les opérations susceptibles d’être réalisées ; - pseudonymiser les données toutes les fois où leur exploitation sous une forme identifiante n’apparaît pas nécessaire à la satisfaction du besoin ; - appliquer un mécanisme automatique de purge des données à l’issue de la durée de conservation nécessaire à la réalisation de la finalité. Demande d’autorisation : interconnexion de fichiers, données biométriques, appréciations sur les difficultés sociales page 1

17 Une nouvelle logique de responsabilité
Etudes d’impact sur la vie privée (EIVP) obligatoires : pour les traitements « à risques », traitant des données sensibles ou reposant sur du profilage pour faire apparaître les caractéristiques du traitement, les risques et les mesures adoptées pour protéger les données Documentation CNIL sur les EIVP : ICI Aussi appelé « PIA » pour Privacy Impact Assessment en anglais Partage des responsabilités : le sous-traitant aussi doit respecter le RGPD Potentielle co-responsabilité Obligation de désigner un DPD et de tenir un registre des traitements Obligation de conseil pour permettre la conformité au RGPD (EIVP, failles de sécurité, audit, destruction des données) Données sensibles (origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle) Profilage : l’évaluation systématique et approfondie d’aspects personnels des personnes physiques  page 1

18 Les droits des personnes renforcés
Obligation d’information dans des termes clairs L’information doit être claire, intelligible et facilement accessible Les personnes doivent donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer, de façon « non ambigüe » La charge de la preuve pèse sur le responsable du traitement Obligation d’information en cas de perte de données : Obligation d’informer la CNIL dans les 72 heures Obligation d’informer les personnes concernées si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes Droit à réparation du préjudice, auprès de l’élu·e (RT) ou de son sous-traitant Délais pour faire droit à une demande : « dans les meilleurs délais » et au plus tard en 1 mois Autres droits : portabilité, données des enfants, actions collectives page 1

19 Un risque aggravé de sanctions
L’élu·e et le sous-traitant peuvent faire l’objet de sanctions administratives : jusqu’à 20 millions d’euros pour le responsable du traitement et de 2 à 4 % du chiffre d’affaires annuels du sous-traitant Des sanctions pénales toujours en vigueur : Article L à L et articles R à R du code pénal Peine d’amendes à peines de prison avec sursis En cas de non-conformité, le risque est ailleurs : réputation, image, perte de confiance, climat social Loi République numérique et loi Informatiques et Libertés 2 (à venir) pour adapter précisions en droit français page 1

20 Un délégué à la protection des données obligatoire

21 Le délégué à la protection des données
Désignation obligatoire du délégué à la protection des données, sans seuil de dispense. Profil : Doit être qualifié : qualités professionnelles, connaissances spécialisées du droit et des pratiques en matière de protection de données Doit bénéficier d’actions de formation continue Obligations pour la collectivité de : fournir au DPD les ressources nécessaires à ses missions l’associer d’une manière appropriée et en temps utile à toutes les questions relatives à la protection des données lui donner accès aux données lui permettre de se former

22 Le délégué à la protection des données DPD (ou DPO en anglais)
Informer, conseiller et accompagner, afin de faire respecter le règlement européen et le droit national dans sa collectivité Sensibiliser aux enjeux de la protection des données personnelles Superviser des audits internes sur la protection des données personnelles Conseiller le responsable sur l'opportunité de réaliser une analyse d’impact sur la vie privée (EIVP) et d'en vérifier l'exécution Recevoir les réclamations relatives à la protection des données et y répondre Coopérer avec la CNIL et être son point de contact dans la collectivité Tenir le registre des traitements et dresser le bilan annuel  Missions élargies par rapport au CIL : plus grandes responsabilités !

23 2018 2017 CIL vs Délégué à la protection des données
Le CIL : Correspondant informatique et libertés Le DPD : Délégué à la Protection des Données ou Data Protection Officer (DPO) Il diffuse la culture « Informatique et Libertés » et instaure des bonnes pratiques dans la collectivité. Il est l’interlocuteur de la CNIL au sein de la collectivité et veille au respect de la loi Informatique et Libertés. Il sensibilise les agents, la direction et les élus. Il tient des registres de traitement et dresse un bilan annuel de ses activités Sa désignation était facultative jusqu’à présent Informer, conseiller et accompagner au sein de sa structure, afin de faire respecter le règlement européen et le droit national en matière de protection des données personnelles Sensibiliser au sein de sa structure aux enjeux de la protection des données personnelles Superviser des audits internes sur la protection des données personnelles Conseiller le responsable sur l'opportunité de réaliser une analyse d’impact sur la vie privée (EIVP) et d'en vérifier l'exécution Recevoir les réclamations relatives à la protection des données et y répondre Coopérer avec l'autorité de contrôle (la CNIL) et être son point de contact au sein de sa structure

24 Le délégué à la protection des données
Possibilité de : Externaliser un DPD : avocat, prestataire Mutualiser un DPD : à l’échelle de l’EPCI, à l’échelle d’un département, etc. Mutualiser pour éviter le conflit d’intérêt : DGS ≠ DPD Mutualiser pour disposer des ressources nécessaires d’un DPD formé et habitué aux problématiques de protection des données d’un DPD indépendant Désigner le DPD dès maintenant avec prise d’effet au 25/05/2018 (pas de transfert automatique d’un statut à l’autre)

25 Lister les points de non-conformité
Evaluer la situation Recenser les traitements de données à caractère personnel Evaluer le niveau de sensibilité dans la collectivité Cartographier les données Prendre connaissance des formalités déjà effectuées auprès de la CNIL Lister les points de non-conformité Confrontation au référentiel légal Confrontation au référentiel technique Préparation du plan d’actions Mise en œuvre du plan d’actions Méthodologie inspirée de « Sensibilisation méthodologique à la mise en place d’un DPO externe » par Arnaud Tessalonikos et Jean-Marc Allouet

26 Évaluer la situation

27 Echanges avec les services
Réalisation des actions nécessite des échanges et des allers-retours avec les collègues Possibilité de modifier les outils mis à disposition pour échanger avec les services Garder des traces des échanges avec les services (documentation de la mise en conformité) Mettre au propre les outils quand les échanges sont terminés

28 Action 1 : Recenser les traitements de données à caractère personnel
Diffuser le questionnaire aux services OUTIL : « 1.1 Recensement questions services.doc » Analyser les réponses Reporter les réponses dans le tableau de recensement OUTIL : « 1.1 Reporter les traitements.xlsx » Remplir le registre des traitements OUTIL : « 1.1 Registre RGPD.xlsx  » OUTIL : « 1.1 Registre traitements Mégalis.xls  »

29 Action 2 : Evaluer le niveau de sensibilité dans la collectivité
Les principes de base de la loi Informatique et libertés sont-ils connus des agents et des élus ? Les élu·e·s connaissent-ils·elles leur responsabilité ? Un correspondant informatique et libertés est-il présent dans la collectivité ? OUTIL : « 1.2 Questionnaire sur la protection des données.pptx »

30 Action 3 : Cartographier les données
Lister ce qui est utilisé dans la collectivité en matière de : Logiciels Applications Matériel Contrats conclus avec les prestataires informatiques Contrats conclus avec les prestataires de site internet Contrats de maintenance OUTIL : « 1.3 Cartographier les données.xlsx »

31 Action 4 : Prendre connaissance des formalités déjà effectuées auprès de la CNIL
Consulter la liste des formalités déjà effectuées auprès de la CNIL OUTIL : 1.4 Démarches déjà réalisées auprès de la CNIL S’adresser au service des correspondants de la CNIL

32 Lister les points de non-conformité

33 Action 1 : Confrontation au référentiel légal
Sur 10 thèmes principaux réaliser un auto-diagnostic sur la conformité des pratiques actuelles aux obligations du RGPD : Objectif double : S’évaluer Disposer d’éléments pour la suite (préparer le plan d’action) OUTIL : «2.1 Auto-diagnostic referentiel legal.xlsx» Le DPD La documentation de la conformité La collecte des données Les marchés publics Les droits des personnes concernées La sensibilisation des agents Les droits des mineurs La sensibilisation des élus Le privacy by-design La perte de données

34 Action 2 : Confrontation au référentiel technique
Sur 14 thèmes principaux réaliser un auto-diagnostic sur l’état des mesures de sécurité informatique dans la collectivité Objectif double également : S’évaluer Disposer d’éléments pour la suite (préparer le plan d’action) OUTIL : «2.2 Auto-diagnostic sécurité informatique.xlsx» Analyser les risques Protéger les locaux Authentifier mes utilisateurs Protéger le réseau informatique interne Gérer les habilitations et sensibiliser mes utilisateurs Sécuriser les serveurs et applications Gérer la sous-traitance Sécuriser les postes de travail Archiver Sécuriser l’informatique mobile Sécuriser les échanges avec d’autres organismes Sauvegarder et prévoir la continuité d’activité Encadrer la maintenance Tracer les accès et gérer les incidents

35 Préparation du plan d’actions

36 S’appuyer sur le travail effectué
Travail de synthèse des différents livrables : Recensement des traitements Évaluation du niveau de sensibilité dans la collectivité Cartographie des données Déclarations déjà réalisée auprès de la CNIL Auto-diagnostics

37 Un constat, une nécessité
Un constat : mise en conformité intégrale au 25 mai 2018 difficile Une nécessité : définir des priorités Des critères à prendre en compte

38 Des critères à prendre en compte
Quelles sont les ressources humaines disponibles ? Quel est le budget disponible pour la mise en conformité ? De combien de temps dispose-t-on ? Quel est le niveau d’exposition au risque ? Risque juridique Risque en terme d’image, réputation, perte de confiance Risque pour la sécurité informatique En s’appuyant notamment sur les auto-diagnostiques Objectif : mise en évidence des axes de travail prioritaires OUTIL : «3. Evaluation_par_action.xlsx»

39 Chaque collectivité aura un plan d’action différent !
Le plan d’actions Elaboration du plan d’actions Définition des priorités En orientations / axes stratégiques Chaque collectivité aura un plan d’action différent ! Validation du plan d’actions par la direction générale Indépendance du DPD OUTIL : «3. Plan_d_actions_.xlsx

40 Mise en œuvre du plan d’actions

41 Un projet comme un autre
S’appuyer sur le plan d’actions : objectifs clairs et indicateurs mesurables Attentes, délais, calendrier et moyens ? Indicateurs / livrables pour mesurer l’avancement ? Identifier un· chef·fe de projet Idéalement le·la futur·e DPD Positionnement : bonnes connaissances des services de la collectivité, connaissances juridiques et techniques / informatiques Disposera du temps nécessaire : 20 à 30 % de son temps pendant 6 mois et 10 % de son temps par la suite Disposera de moyens : formation, communication, etc. S’appuyer sur un « sponsor » de la démarche : élu·e ou DGS / DGA Communiquer sur le projet D’autant plus utile que tous les services de la collectivité sont impactés Allers-retours avec les services pour mettre en œuvre le plan d’actions et définir la répartition des tâches page 1

42 Mise en œuvre Fiches actions
Groupes de travail : mettre en commun les compétences au démarrage et de façon pérenne Potentiellement, plusieurs actions démarrent en même temps. Ne pas hésiter à communiquer au fur et à mesure de la mise en œuvre OUTIL : « 4.Fiche action type.doc »

43 Documentation CNIL Règlement européen du 27 avril 2016 :
Règlement européen : se préparer en 6 étapes En quoi les collectivités territoriales sont-elles impactées par le règlement européen sur la protection des données ? Devenir délégué à la protection des données : Documenter la conformité :

44 Documentation CNIL Modèle de registre règlement européen : Etudes d’impact sur la vie privée (PIA en anglais) : PIA-1, la méthode : Comment mener une étude d'impact sur la vie privée PIA-2, l'outillage : Modèles et bases de connaissances de l'étude d'impact sur la vie privée PIA-3, les bonnes pratiques : Mesures pour traiter les risques sur les libertés et la vie privée Le droit à la portabilité en question :

45 Glossaire CIL : correspondant informatique et libertés
CNIL : commission informatique et libertés DPO : data protection officier = délégué à la protection des données en anglais EIVP : étude d’impact sur la vie privée EM : Etats membres de l’Union européenne LIL : loi informatique et libertés PIA : privacy impact assessment = étude d’impact sur la vie privée en anglais RGPD : règlement général à la protection des données RT : responsable du traitement

46 Contact Mathilde Maglia
Chargée de mission promotion des services numériques Guillaume Mouty Chargé de mission promotion des services numériques guillaume.mouty Ou : Formulaire de contact sur le site Internet :


Télécharger ppt "Protection des données, nouvelles obligations"

Présentations similaires


Annonces Google