1. Loi Informatique et libertsCadre rglementaire1 Loi Informatique et LibertsLa loi Informatique et Liberts du 6 janvier 1978 modifie par laloi du 6 aot 2004 dfinit les principes respecter lors de la collecte,du traitement et de la conservation des donnes personnelles.Elle renforce le droit des personnes sur leurs donnes et prvoit unesimplification des formalits administratives dclaratives etprcise les pouvoirs de contrle et de sanction de la CNIL.CIL - Runion dinformation - Octobre 20121

2. La CNILLa CNIL est charge de veiller ce que linformatique soit au service du citoyenet quelle ne porte atteinte ni lidentit humaine, ni aux droits de lhomme, ni lavie prive, ni aux liberts individuelles ou publiques.Elle exerce ses missions conformment la Loi Informatique et Liberts qui laqualifie dautorit administrative indpendante.- Le contrle de la conformit la Loi des projets de fichiers et traitements- Le rle de conseil et dinformation- Linstruction des plaintes- Le pouvoir de vrification sur place- Le pouvoir de sanction. CIL - Runion dinformation - Octobre 20122 3. Dfinitions1 Donnes personnelles (Art.2 de la Loi Informatique et Liberts) Constitue une donne caractre personnel toute information relative une personnephysique identifie ou qui peut tre identifie directement ou indirectement, par rfrence un numro didentification ou un ou plusieurs lments qui lui sont propres.Pour dterminer si une personne est identifiable, il convient de considrer lensemble desmoyens en vue de permettre son identification dont dispose ou auxquels peut avoir accs leresponsable du traitement ou toute autre personne. La personne concerne par un traitement de donnes caractre personnel est celle laquelle se rapportent les donnes qui font lobjet du traitement. 2 Traitement Cest un traitement automatis ou un fichier manuel de donnes caractre personnel dont le responsable est tabli sur le territoire franais ou qui recourt des moyens de traitement situs sur ces territoires qui sont rgis par la Loi Informatique et Liberts.Attention : les dispositions de la Loi Informatique et Liberts sappliquent ds la phasede collecte des donnes et non pas ds leur mise sur informatique. CIL - Runion dinformation - Octobre 2012 3 4. Quest-ce quune donne sensible ?Les donnes sensibles sont celles qui font apparatre, directement ouindirectement, les origines raciales ou ethniques, les opinions politiques,philosophiques ou religieuses ou lappartenance syndicale des personnes, ou sontrelatives la sant ou la vie sexuelle de celles-ci.Par principe, la collecte et le traitement de ces donnes sont interdites.Cependant, dans la mesure o la finalit du traitement lexige, ne sont pas soumis cette interdiction :- les traitements pour lesquels la personne concerne a donn sonconsentement exprs- les traitements justifis par un intrt public aprs autorisation de la CNILou dcret en Conseil dEtat. CIL - Runion dinformation - Octobre 2012 4 5. Quest-ce quune donne sensible ? (suite)Autres donnes risque :- Donnes gntiques- Donnes relatives aux infractions pnales, aux condamnations- Donnes comportant des apprciations sur les difficults sociales des personnes- Donnes biomtriques- Donnes comportant le NIR.CIL - Runion dinformation - Octobre 2012 5 6. Loi Informatique et liberts - Cadre rglementaireFonctions du CILLe Correspondant Informatique et Liberts (CIL) est aussi appel Correspondant la protection des donnes personnelles (CPDP) Le CIL se positionne en intermdiaire entre le responsable des traitements des donnesconcernes et la CNIL. Il est responsable :- de la cration et de la mise jour dune liste des traitements effectus- de la publicit de cette liste- dune fonction dinformation, de conseil et de recommandation auprs des responsablesdes traitements- de lintermdiation CNIL/CNRS- dune fonction dalerte- de veiller au respect des principes de la protection des donnes personnelles ; dinformerles personnes au sujet de lexistence de leurs droits daccs, de rectification et dopposition.Il reoit les demandes et rclamations des personnes concernes et les transmet aux servicesintresss. CIL - Runion dinformation - Octobre 2012 6 7. Loi Informatique et liberts - Cadre rglementaire (suite)Les missions complmentaires du CIL :Mener des actions pdagogiquesOrganiser des missions dauditsMener ou faire mener des tudes de risqueElaborer de codes de conduitesAppliquerCIL - Runion dinformation - Octobre 20127 8. Les rgles dor de la protection des donnes1 Le principe de finalit Les donnes caractre personnel ne peuvent tre recueillies et traites que pour un usage dtermin, explicite et lgitime, correspondant aux missions de ltablissement, responsable du traitement. Tout dtournement de finalit est passible de sanctions pnales.2 Le principe de proportionnalitSeules doivent tre enregistres les informations pertinentes etncessaires pour leur finalit.CIL - Runion dinformation - Octobre 2012 8 9. Les rgles dor de la protection des donnes (suite)3 Le principe de pertinence des donnes Les donnes personnelles doivent tre adquates, pertinentes et non excessives au regard des objectifs poursuivis. Interdiction de collecter les donnes sensibles : . Sauf exceptions (consentements, intrt public) Interdiction de traiter les infractions, condamnations, mesures de sret : . Sauf exceptions (juridictions, auxiliaires de justice, etc.)4 Le principe de dure limite de conservation de donnesLes informations ne peuvent pas tre conserves de faon indfinie dansles fichiers informatiques.Une dure de conservation doit tre tablie en fonction de la finalitde chaque fichier.Au-del les donnes peuvent tre archives sur un support distinct.CIL - Runion dinformation - Octobre 20129 10. Les rgles dor de la protection des donnes (suite)5 Le principe de scurit et de confidentialit Le responsable de traitement est astreint une obligation de scurit. Il doit faire prendre les mesures ncessaires pour garantir lintgrit la confidentialit des donnes et viter leur divulgation. 6 Le principe de transparence Droit linformationLes personnes doivent tre informes, lors du recueil, de lenregistrement ou de lapremire communication des donnes :-de la finalit du traitement ;-du caractre obligatoire ou facultatif des rponses et des consquences dundfaut de rponse ;-de lidentit du responsable de traitement ;-des destinataires des donnes ;-de leurs droits (droit daccs et de rectification, droit dopposition)-le cas chant, des transferts de donnes vers des pays hors U.E.Exemple : les informations recueillies font lobjet dun traitement informatique destin (veuillez prciser la finalit).Les destinataires des donnes sont. Conformment la loi Informatique et Liberts du 6 janvier 1978modifie en 2004, vous bnficiez dun droit daccs et de rectification aux informations qui vous concernent,que vous pouvez exercer en vous adressant (prciser le service et ladresse) CIL - Runion dinformation - Octobre 2012 10 11. Les rgles dor de la protection des donnes (suite)7 - Respect des droits des personnes : droit dopposition Toute personne a le droit de sopposer, pour des motifs lgitimes, au traitement de ses donnes sauf si le traitement rpond une obligation lgale (ex : fichiers des impts) ; Temprament : toute personne a le droit de sopposer, sans frais et sans motif lgitime, lutilisation de ses donnes des fins de prospection commerciale : droit la tranquillit . 8 - Respect des droits des personnes : droit daccs et de rectification Toute personne peut, directement auprs du responsable des traitements, avoir accs lensemble des informations la concernant, en obtenir la copie et exiger quelles soient, selon les cas, rectifies, compltes, mises jour ou supprimesCIL - Runion dinformation - Octobre 2012 11 12. Comment raliser une collecte licite et loyale ? FinalitDtermine Explicite Lgitime(1) DonnesRespect des droits des-Adquates personnes -Pertinentes (6)-Non excessives auregard des finalits(2)? Dure de conservation Destinataires limitslimite (5)(3)Scurit(4)CIL - Runion dinformation - Octobre 2012 12 13. Qui ?Lautorit, lorganisme, le service qui dtermine les finalits dutraitement et les moyens (notamment informatiques, financiers,humains) ncessaires sa mise en uvre.O ?Etabli sur le territoire franais (installation stable, quelle que soit saforme juridique, filiale, succursale) ou recourt des moyens detraitement situs sur le territoire franaisCIL - Runion dinformation - Octobre 2012 13 14. Obligations du responsable de traitement1. Recueillir le consentement de la personne2. Respecter les objectifs du fichier (sa finalit)3. Protger le fichier4. Ne pas divulguer les informations5. Agir dans la transparence Informer6. Dclarer les fichiers CIL - Runion dinformation - Octobre 2012 14 15. Dans quels cas sapplique la loi ? T R A IIl ne sagit T E Suis-je enpas dun Le responsable M E traitement misdu prsence Un N Traitementen uvre Traitement est Tde donnes dans le cadresur le territoireS de donnesdactivits O franais ou les Ucaractreexclusivement moyens deOuiMpersonnel ?Ouiest-il mis Ouipersonnelles Oui Itraitements sont Sou situs sur le en uvre ? des fins de territoire franais A(art. 2 al. 1er de (art. 2)copiesLla loi)temporaires ? (art. 5)A L(art. 2 et 4 ) O INonNonNon Non Traitement non soumis la loi Informatique et LibertsCIL - Runion dinformation - Octobre 201215 16. Procdure1. Qui dclare ? Le responsable de traitement, celui qui met en uvre le traitement2. Que dclarer ? Tout traitement de donnes caractre personnel3. Exceptions : Certains types de traitement sont dispenss de dclaration ( titre de communication et dinformation par exemple) si un CIL est dsign4. Dclaration simplifies : par exemple gestion du personnel CIL - Runion dinformation - Octobre 2012 16 17. Diffrents types de formalits pralablesDclaration : donnes caractre personnelAutorisation : donnes sensibles, transfert hors UE, sant,gntique, infractions, condamnation, recherche en matirede sant, valuation des soinsDemande davis : Activits rgaliennes de lEtat (dfense,suret, scurit publique, utilisation du NIR) CIL - Runion dinformation - Octobre 2012 17 18. DECLARATIONDECLARATION SIMPLIFIEEDECLARATION ORDINAIRE(si norme simplifie)CILCIL DEMANDE DE DEMANDE DECOMPLEMENTSCOMPLEMENTSTRAITEMENT ENREGISTRECIL - Runion dinformation - Octobre 2012 18 19. DEMANDE DAUTORISATION Demande dautorisation tablie par le CIL Demande dautorisationCNILSilence de 2 mois(ou 4 mois)REFUSAUTORISATIONRECOURS JURIDICTIONNEL MISE EN OEUVRECIL - Runion dinformation - Octobre 201219 20. SECTEUR PUBLIC ET DEMANDE DAVIS depuis 2004 DEMANDE DAVIS+ PROJET DACTE REGLEMENTAIRE tablis par le CIL CNILSilence de 2 mois(ou 4 mois) AVIS FAVORABLEAVIS DEFAVORABLEACTE REGLEMENTAIRE ACTE REGLEMENTAIRE20CIL - Runion dinformation - Octobre 2012 21. RECHERCHE / SANTE DEMANDE tablie par le CIL COMITECNIL CCTIRSSilence de 2 moisSilence dun mois(ou 4 mois) AVISREFUS AUTORISATION EXPRESSE RECOURS JURIDICTIONNELCIL - Runion dinformation - Octobre 201221 22. Quelques exemples de traitements de donnes caractre personnel Fichiers de paie, RH, fournisseurs Colloques Autocommutateurs tlphoniques, badges, cartes mmoire, GPS(golocalisation), reconnaissance biomtrique... Sites intranet, extranet... Annuaires, trombinoscopes, listes d adressesCIL - Runion dinformation - Octobre 2012 22 23. CIL - Runion dinformation - Octobre 2012 23 24. CIL - Runion dinformation - Octobre 2012 24 25. FAQLe laboratoire souhaite installer un systme de camras de vidosurveillance.Quelles sont les dmarches effectuer ?Quelles sont les formalits effectuer dans le cas de donnes contenant desphotos de personnes ?En tant que CSSI du laboratoire , je dois dclarer un fichier Excel qui contientIP/MAc adresse et Noms des Personnes du laboratoire pour la PSSI de notrelaboratoire. Comment faire ?Les annuaires de laboratoire et les pages personnelles diffuses sur les sitesWeb des laboratoires entrent-elles dans la liste des traitements recenser ? CIL - Runion dinformation - Octobre 201225 26. Merci beaucoup pour votre attentionLquipe du CILRaymond DUVAL03.83.85.64.25Sylvie COLLIGNON 03.83.85.64.26Emilie MASSON03.83.85.64.26Karine METROT03.83.85.64.30Marc GUICHARD03.83.85.64.25Le site web : http://www.cil.cnrs.fr info.contact@cil.cnrs.frCIL - Runion dinformation - Octobre 201226