conférence laboratoire des mondes virtuels_altana_la réglementation des données utilisateurs
Post on 20-Jun-2015
310 Views
Preview:
DESCRIPTION
TRANSCRIPT
Claire BERNIER
La réglementation des données utilisateurs
La loi du 6 janvier 1978 institue la CNIL, autorité administrative indépendante, et pose les grands principes s’appliquant à l’informatique et aux fichiers afin de veiller à ce qu’ils soient au service du citoyen et ne portent atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
La loi du 6 août 2004 : une refonte de la loi de 1978
les grands principes restent inchangés (L. 6 janvier 1978)
un renforcement des droits des personnes
un allègement des formalités déclaratives :
o augmentation du nombre de normes simplifiées, formulaires pour les déclarations normales allégées
o suppression des formalités de déclaration par la mise en place d’un correspondant à la protection des données au sein des entreprises
un renforcement du contrôle de la CNIL pour certains traitements (autorisation / autorisation unique)
de nouveaux pouvoirs coercitifs et de sanction
d’une politique d’information en 1978 à une politique de contrôle et de sanction en 2004.
2
Préliminaire
Fichiers : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés
Traitement : toute opération de collecte, enregistrement, organisation, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement, interconnexion, verrouillage, effacement, destruction
Concerne les fichiers automatisés et manuels
3
Qu’est-ce qu’un fichier / traitement de données ?
toute information relative à une personne physique
identifiée ou susceptible de l’être, directement ou indirectement
données virtuelles (profil -avatar- lié au compte réel)
par référence à un numéro d’identification (ex : numéro de sécurité sociale, numéro de téléphone) ou un ou plusieurs éléments qui leur sont propres (ex : biométrie génétique)
le cas particulier des données dites « sensibles » (origines sociales ou ethniques, opinions politiques, philosophiques ou religieuses ou appartenance syndicale des personnes, relatives à la santé ou à la vie sexuelle) : interdiction de les collecter ou de les traiter (article 8), sauf exceptions (consentement, intérêt public)
le cas particulier des données d’infractions, de condamnation, de mesure de sûreté : interdiction de les collecter ou de les traiter sauf exceptions (juridictions, autorisations)
Encadrer la traçabilité et protéger la vie privée
4
Qu’est-ce que des données à caractère personnel ?
5
Qu’est-ce qu’un responsable de traitement sujet à la loi Informatique et Libertés ?
L’autorité, l’organisme, le service qui détermine les finalités du traitement et qui donne les moyens nécessaires à sa mise en œuvre
Établi sur le territoire français (installation stable, quelle que soit sa forme juridique, filiale, succursale)
ou
Recours à des moyens de traitement situés sur le territoire français (à l’exclusion de traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un État membre de la Communauté européenne)
Les traitements de données à caractère personnel « font l’objet d’une déclaration auprès de la CNIL »
Les déclarations ordinaires
Les déclarations simplifiées (55 normes simplifiées)
Les demandes d’autorisations
Les autorisations uniques (26 autorisations uniques)
Les demandes d’avis sur les fichiers sensibles du secteur public (une surveillance de la CNIL)
Délai : la CNIL dispose d’un délai de 2 mois éventuellement renouvelable une fois, pour rendre son autorisation. A l’expiration du délai, la demande d’autorisation est réputée rejetée si la CNIL ne s’est pas prononcée dans l’intervalle.
En 2012 :
48 833 déclarations simplifiées de fichiers traitées par la CNIL – 316 autorisations données
6
Comment déclarer un traitement de données à caractère personnel ?
Comment mettre en œuvre la loi « informatique et libertés » dans la vie des affaires ?
Collecte des données : loyale et licite (Cass. 14 mars 2006) pour une finalité précise
Proportionnalité et pertinence des données (données adéquates et non excessives) et mise à jour si nécessaire à la finalité (données exactes et complètes)
Ex: si l’application développée porte sur un jeu de type « quizz », les numéros de téléphones du carnet d’adresse du propriétaire de Smartphone n’ont pas à être collectés
Obligation de déclaration préalable auprès de la CNIL
Mise en œuvre du traitement
Consentement de la personne (ou respect d’une obligation légale ou sauvegarde de la vie de la personne concernée) ou exécution d’une mission de service public ou exécution soit d’un contrat soit de mesures précontractuelles ou réalisation de l’intérêt légitime
Destinataires identifiés expressément
Conservation limitée des données
Sécurité des données
Respect des droits des personnes (droit d’information, d’accès, de modification et d’opposition)
7
8
Règles de sécurité des données Obligations de sécurité et de confidentialité « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des
risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès » (article 34 loi Informatique et libertés)
De nombreuses règles sont à respecter pour que les données soit en sécurité :
politique de mot de passe rigoureuse
Identifier précisément qui peut avoir accès aux fichiers
mise en place d’une procédure de création et de suppression des comptes utilisateurs (but : éviter
l’accès aux données d’une personne qui ne serait plus dans le service concerné par les traitements)
Sécuriser les postes de travail : verrouillage automatique, verrouillage manuel systématique des
employés
Sécuriser le réseau local contre les attaques extérieures
Sécuriser l’accès physique aux locaux
Anticiper le risque de perte ou de divulgation des données
Mettre en place une politique de sécurité des systèmes informatiques, accessible aux salariés
Mettre en place une politique d’archivage électronique
Sensibiliser les utilisateurs aux risques informatiques concernant les données personnelles
Veiller à la confidentialité des donnés vis-à-vis des prestataires et sous traitants
NB: les autorités de protection des données personnelles privilégient l’intégration de la protection de la
vie privée directement dans la conception et le fonctionnement des systèmes (Privacy by Design)
Quelles questions se poser avant la création d’un fichier ?
Identifier les traitements, leur finalité, la durée de conservation des données
Compléter le formulaire standard de déclaration CNIL
Anticiper, autant que faire se peut, les futures « nouvelles » finalités et les évolutions techniques ou technologiques
Faire valider les informations contenues dans le formulaire (i) par les opérationnels en charge du traitement/fichier, (ii) par le service informatique et (iii) par le service juridique ou le conseil (avocat)
Effectuer la déclaration auprès de la CNIL (ou la faire exécuter par la voie d’un Conseil)
Conserver une copie de toutes les déclarations et les classer/archiver dans un seul endroit (classeur, etc.). Une solution pratique : les scanner et les classer dans un fichier numérique
Régulièrement, s’assurer de la mise à jour des déclarations
Ne pas hésiter à solliciter les conseils et l’assistance du Conseil habituel de la société en la matière.
9
Méthodologie de la création d’un fichier
Contrôle de la mise en œuvre des traitements par la CNIL
A – Instruction des plaintes
Procédure : 1. recueil d’observations du responsable 2. phase contradictoire 3. transmission aux services de contrôle (4 sections) 4. réponse avec les procédures de modification proposées en cas de faute ou d’erreur
Plainte en ligne depuis le 14 juin 2010 accessible via cnil.fr
En 2012 : 6017 plaintes reçues (chiffre le plus élevé jamais enregistré par la CNIL). Intérêt de plus en plus marqué des personnes pour la protection de leurs données et de la sensibilité de cette question à l'ère du numérique(44% des plaintes ont été reçues via cnil.fr en 2012).
B – Contrôles sur place
Accès de 6h à 21h aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement (information préalable du Procureur territorialement compétent mais pas du responsable du traitement)
Obligation de collaboration à la charge du responsable de traitement. En cas d’opposition du responsable des lieux : possibilité d’obtenir une autorisation du président du TGI territorialement compétent par voie d’ordonnance sur requête (non contradictoire)
Communication, copie, « saisie » sur place de tous documents, accès aux programmes informatiques et aux données
Assistance d’experts
10
11
Quelles sont les sanctions du non respect de la loi informatique et libertés ?
Des sanctions graduelles
Formalités, données sensibles, droits
des personnes, flux transfrontières, données
interdites, vie privée
La notifications des violations de données personnelles : une nouvelle mission
Transposition en droit français d’une directive européenne : nouvel article 34 Bis de la loi « Informatique et Libertés » du 6 janvier 1978 transposé en droit français par l’ordonnance du 24 août 2011 (Décret d’application n°2012-436 du 30 mars 2012) Obligation pour les fournisseurs de services de communications électroniques (les opérateurs devant être déclarés auprès de l’ARCEP) [dans le cadre de son activité de fourniture de services de communications électroniques ouverts au public] de notifier les violations de données à caractère personnel aux autorités nationales compétentes, et dans certains cas, aux personnes concernées. ]
Notification à la CNIL o Quand ? Dans tous les cas de « violation de données personnelles » quel que soit leur degré de gravité (data security breach), c’est-à-dire « toute
violation de sécurité entrainant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, ou l’accès non autorisé à des données personnelles ». La notification est effectuée sans délai. La CNIL dispose de deux mois pour se prononcer
o Quoi ? Le responsable de traitement doit notifier à la CNIL, par lettre recommandée avec accusé de réception : la nature et les conséquences de la violation, les mesures déjà prises ou proposées pour remédier à la violation, l’identification et les coordonnées des personnes auprès desquelles des informations supplémentaires peuvent être obtenues, si possible, une estimation du nombre de personnes susceptibles d’être concernées par la violation.
Notification aux personnes concernées en cas de risque d’atteinte aux données à caractère personnel ou à la vie privée o Quand? Dans tous les cas où la violation peut porter « atteinte aux données à caractère personnel ou à la vie privée » de l’abonné ou de tout autre
personne. La notification est effectuée sans délai, ou lorsqu’elle est imposée par la CNIL (injonction de la CNIL), dans un délai fixe qui ne peut excéder 1 mois.
o Quoi ? Le responsable de traitement doit notifier aux personnes concernées, par tout moyen permettant d’apporter la preuve de l’accomplissement de cette formalité: (i) la nature de la violation, (ii) l’identification et les coordonnées des personnes auprès desquelles des informations supplémentaires peuvent être obtenues, (iii) les mesures recommandées pour atténuer les conséquences négatives de la violation.
Réflexion actuelle sur l’extension de l’obligation à tous les secteurs (considérant 59 de la Directive 2009/136/CE ; article 31 projet de Règlement sur la protection des données personnelles; article 14 proposition de Directive sur la sécurité des réseaux et de l’information); Projet de Directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union du 7 février 2013
L’article 226-17-1 Code Pénal sanctionne le défaut de notification par 5 ans d'emprisonnement et de 300 000 € d'amende
12
Le transfert de données Hors UE
Le principe
Pas de transfert si l’État n’assure pas un niveau de protection suffisant. «Pays équivalent»,« Pays adéquat », « Pays non adéquat »
Les exceptions :
o l’existence de clauses contractuelles ou de règles internes reconnues par la CNIL o interprétation stricte des exceptions de l’article 69 (consentement exprès, exécution
d’un contrat, sauvegarde de la vie de la personne…) Quid du Cloud ?
Vers un pays non reconnu comme adéquat Plusieurs possibilités s’offrent à l’entreprise :
Les BCR (règles internes d’entreprises) Les clauses contractuelles types Les systèmes régionaux (exemple des Safe harbor) La standardisation : les normes ISO
13
Les recommandations du G29 sur les applications mobiles
Dans un avis publié le 14 mars 2013, le groupe des CNIL européennes (G29) a formulé des recommandations à l'égard des 4 grandes catégories d'acteurs impliqués dans l'écosystème des Smartphones :
les développeurs d'applications,
les fournisseurs de système d'exploitation et les fabricants de terminaux mobiles,
les magasins d'applications
les tiers (comme les régies publicitaires ou les opérateurs de télécommunications)
Ces recommandations portent en particulier sur : La nécessaire limitation des données traitées dans le cadre de l'utilisation de Smartphones : minimisation des
données collectées (seules les données nécessaires au fonctionnement de l'application doivent être recueillies)
L'impératif de transparence à l'égard des utilisateurs : pour ce faire, de véritables privacy policies doivent être élaborées par les développeurs d'application, des standards (en particulier de sécurité et de règles d'accès aux données) et des règles simples d'utilisation doivent être proposés
L'amélioration de la maîtrise des informations par les utilisateurs : leur consentement exprès doit être recueilli avant tout téléchargement d'une application, de même qu'avant toute modification substantielle de ses conditions de mise en œuvre
L'attention réservée à certaines informations : la collecte de données " sensibles ", financières ou permettant d'établir le profil social d'une personne devra donner lieu à une réflexion approfondie sur le respect des droits fondamentaux de la personne concernée et à une information spécifique
La CNIL va s'attacher, en concertation avec les acteurs concernés, à rendre ces recommandations opérationnelles et effectives.
14
15
Contacts
Claire BERNIER
Avocat Associé LD : 01 79 97 92 79
Fax : 01 79 97 97 69
cbernier@altanalaw.com
top related