Données personnelles et Règlement Européen sur la Protection des Données : comment se mettre en conformité ? | Unité Régionale de Formation à l'Information Scientifique et Technique

(1)

Données personnelles et

RGPD : comment se mettre

en conformité ?

Stéphanie Le Strujon

stephanie.le-strujon@ut-capitole.fr

URFIST novembre 2017

(2)

(3)

Données personnelles et RGPD : comment se mettre en conformité ?

Aujourd'hui : La loi informatique et libertés (LIL)

• Pourquoi protéger les données à caractère personnel ?

• Qu'est-ce qu'une donnée personnelle ? Un traitement ?

• Comment protéger les données ? Principes et formalités

• Les acteurs du traitement

• Les transferts de données

Demain : le Règlement Européen sur la Protection des Données (RGPD)

• Les nouveaux droits des individus

• La responsabilisation des acteurs

• La mise en conformité : le Délégué à la protection des données (DPO), une obligation pour les

acteurs publics

(4)

Aujourd'hui : La LIL

 Pourquoi protéger les données à caractère personnel (DCP) ?

• 1973 : projet du Ministère de l’Intérieur d’interconnexion des fichiers de l’administration à partir

d’un identifiant unique (NIR) = SAFARI

Création d’un identifiant unique, qui

définirait chaque Français

=Accès à toutes les informations

concernant un individu en un clic.

(5)

Aujourd'hui : La LIL



1974 : Projet révélé par Philippe Boucher dans le Monde :

« SAFARI ou la chasse aux Français »



Réaction de l’opinion publique

Prise de conscience des enjeux de

l’informatisation au regard des libertés

individuelles (surveillance, contrôle)

(6)

Aujourd'hui : La LIL



Loi Informatique et libertés du 6 janvier 1978

"L'informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l'identité

humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques."



La CNIL, première autorité administrative indépendante

Rôle :

• Informer

• Accompagner, conseiller

• Contrôler et sanctionner

• Anticiper

 Mise en demeure

 Avertissement

 Amendes :

-Avant max 150 000 € , 300 000 € si récidive

-Depuis LRN octobre 2016 max 3 millions €

(7)

Aujourd'hui : La LIL

(8)

(9)

Qu’est-ce qu’un traitement de DCP ?

collecte, enregistrement,

organisation, conservation

adaptation, modification, extraction,

consultation, utilisation

communication par transmission,

diffusion ou toute autre forme de mise

à disposition

rapprochement,

interconnexion, verrouillage,

effacement, destruction …

(10)

Aujourd'hui : La LIL

FINALITE

Données collectées

dans un objectif

défini en amont et

non réutilisées dans

un autre but

PERTINENCE

Collecte des données

nécessaires

(proportionnalité)

exactes, complètes,

mises à jour

SECURITE/

CONFIDENTIALITE

Données conservées de

manière sécurisée,

accès limité, pas de

tiers non autorisés

CONSERVATION/

SUPPRESSION

Données conservées

pendant la durée

définie en amont

puis supprimées (ou

anonymisées

)

TRANSPARENCE

information des

individus, droit

d’accès à leurs

données,

d’opposition, de

rectification

+ consentement

LOI INFORMATIQUE ET LIBERTES

 Les principes

FORMALITES

Déclaration,

Autorisation,

avis

+

(11)

Aujourd'hui : La LIL

 Mesures de sécurité

 Sécurité physique et matérielle

 Sécurité logique

infrastructure technique

habilitations

authentifications (mots de passe)

contrôles

Traçabilité

Chiffrement

Anonymisation

Sauvegardes …

Sécurité du système d’information au sein de

chaque établissement!

(12)

Aujourd'hui : La LIL

 Mesures organisationnelles

• Politique, organisation interne

(13)

Aujourd'hui : La LIL

 Le consentement : obligatoire

 les cookies :

• consentement préalable pour les cookies

 liés aux opérations relatives à la publicité ciblée

 traceurs de réseaux sociaux générés par les « boutons de partage de réseaux sociaux »

 de mesure d’audience, sauf exceptions

• Exception :

 actions sont strictement nécessaires pour la délivrance d'un service de la société de l'information

expressément demandé par l'abonné ou l'utilisateur

Exceptions au consentement:

 Obligation légale

 Sauvegarde vie de la personne

 Exécution mission de service public

 Exécution d’un contrat

 Intérêt légitime

(14)

Aujourd'hui : La LIL

 Les formalités CNIL

 La déclaration

 La déclaration normale

 la déclaration simplifiée

 La dispense de déclaration

 L’autorisation

 L’autorisation normale

 L’autorisation unique

 L’avis

 La demande d’avis

Quels traitements possibles ?

Sur quelles données ?

Par qui ?

La formalité dépend :

 de la finalité du traitement

 du type de données traitées

 de l’organisme responsable de

traitement (public/privé)

Ne concerne que les

personnes publiques

RU 003 ENT

RU 13 APOGEE (gestion

administrative-DI 0 comptabilité générale

DI 17 gestion administrative et pédagogique des écoles et établissements du secondaire

NS 09 prêts bibliothèques, médiathèques

NS 46 gestion RH

(15)

Aujourd'hui : La LIL

 Qui traite les DCP ? Les acteurs du traitement

Le responsable de traitement

La personne, l'autorité publique, le service ou

l'organisme qui détermine les finalités et

moyens d’un traitement

Le sous-traitant

Toute personne qui traite des données à

caractère personnel pour le compte du

responsable du traitement

• _{Définit les finalités}

• Collecte les données

• Principes LIL

• Sécurité et confidentialité

• Formalité CNIL

• Répond à la demande du RT

• Reçoit les données collectées par le RT

• Traitement sur instructions du RT

• Sécurité et confidentialité :

=présenter des garanties suffisantes

(16)

 Déséquilibre de la responsabilité

=

Importance de la qualification

 En pratique

=

requalification possible

par la CNIL quels que soient les termes du contrat

(17)

Aujourd'hui : La LIL

 Les destinataires

toute personne à qui sont transmises les DCP autre que la personne concernée, le

RT, le ST, les personnes chargées de traiter les données, les autorités légales

(18)

Aujourd'hui : La LIL

 Les transferts de données hors UE

• Possible dans Etats dont la législation est reconnue comme offrant une

protection suffisante

• Si occasionnel : consentement, contrat, sauvegarde de la vie, intérêt personne…

Ou alors :

• Binding Corporate Rules (BCR)

• Clauses contractuelles type

• Privacy Shield

Andorre, Argentine, Canada, Iles Féroé, l’Ile de

Man, Guernesey, Jersey, Israël, Uruguay, Suisse

(19)

Aujourd'hui : La LIL

 Adaptation au contexte numérique

=La Loi pour une République numérique octobre 2016

Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à

caractère personnel la concernant, dans les conditions fixées par la présente loi

• Information durée de conservation

• Mort numérique

• Effacement données des mineurs

• Sanctions : 3 Millions €

• Nouvelles missions CNIL

Promotion de l’utilisation des technologies protectrices de la vie privée

Certification de la conformité des processus d’anonymisation

(20)

Aujourd'hui : La LIL

+ Obligation information décision sur fondement d’un algorithme

• Prise de décision sur la seule base d’un algorithme

• Informations candidats insuffisante

(21)

Demain : le RGPD

 RGPD = 4 ans de travaux et de discussions

• adopté en avril 2016

• directement applicable dans chaque pays européen le 25 mai 2018

 Objectif

• adapter la loi aux pratiques numériques

• renforcer la protection et la maîtrise des citoyens sur leurs données

• permettre le développement de l’économie numérique en Europe/libre

circulation des données au sein de l’UE

(22)

Demain : le RGPD

 Les nouveaux droits des individus

 Renforcement des droits existants

 Information

concise, transparente, compréhensible et aisément accessible, en des

termes clairs et simples

 Liste des informations à fournir aux individus allongée

 Droits d’accès, de rectification, d’opposition facilités

 Consentement

coordonnées du DPO, base juridique du traitement, durée de conservation, profilage…

Libre, éclairé, opt-in, retrait

(23)

Demain : le RGPD

 Droit à l’oubli

L’individu peut demander l'effacement de ses DCP

 Droit à la portabilité

L’individu peut récupérer ses données sous format réutilisable

données plus nécessaires, retrait consentement,

opposition au traitement, traitement illicite, profilage

Oblige les entités à transmettre toutes les données à

un autre responsable de traitement dans un format

adéquat si le client/utilisateur le demande

Ce droit

ne s'applique pas au traitement

nécessaire à l'exécution d'une mission

d'intérêt public ou relevant de l'exercice de

l'autorité publique

dont est investi le RT

(24)

Demain : le RGPD

 La responsabilisation des acteurs

• Le registre des activités de traitement

• La responsabilisation du sous-traitant

• Le principe d’accountability

• Le privacy (by design/by default)

• La notification des violations

• Le DPO

(25)

Demain

:

le RGPD

Suppression des formalités déclaratives auprès de la CNIL mais…

 Registre des activités de traitement

Responsable de traitement

Sous-traitant

-description données et personnes

-délais prévus pour l'effacement

-mesures de sécurité techniques et

organisationnelles…

-nom et coordonnées de chaque RT

-traitements effectués pour chaque RT

-mesures de sécurité techniques et

organisationnelles…

(26)

Demain : le RGPD

 La responsabilisation du sous-traitant

• Responsabilité ST

• Responsabilité conjointe

• ST aide RT à respecter le RGPD

(27)

Demain : le RGPD

Accountability

 Preuve et démonstration de la conformité des traitements à la loi :

• documentation

• procédures

• SIF

• audits

• codes de bonne conduite

• BCR

(28)

Demain : le RGPD

 Études d’impact sur la vie privée (PIA)

• Traitement présente des risques particuliers pour les droits et libertés des personnes

• Prise de décision automatisée/profilage

• Traitement à grande échelle de données sensibles

• Surveillance systématique à grande échelle d'une zone accessible au public

Approche de gestion des risques

(29)

Demain : le RGPD

 Privacy

 privacy by design

=protection des données

dès la conception des produits et services

 privacy by default

=niveau de protection

le plus haut possible

 quantité de données

 étendue du traitement

 durée de conservation

 accessibilité

(30)

Demain : le RGPD

 Notification des violations de données personnelles

 RT = notifie les violations de données personnelles à la CNIL dans les 72 h

+ Information des personnes si risque atteintes vie privée élevé

(31)

Demain : le RGPD

 Le délégué à la protection des données (DPO)

• Obligatoire pour tous les acteurs publics

• Concernant les acteurs privés, désignation obligatoire si leurs activités de base

consistent :

 en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de

leurs finalités, exigent un suivi régulier et systématique à grande échelle des

personnes concernées

 ou en un traitement à grande échelle de catégories particulières de données

(données sensibles et données relatives à des condamnations pénales et à des

infractions)

(32)

Demain : le RGPD

 Rôle du DPO

• informer, conseiller et contrôler le respect du règlement

• qualités professionnelles = connaissances spécialisées

droit /pratiques en matière de protection des DCP

• Indépendance

(33)

Demain : le RGPD

 Sanctions

 Forte augmentation des amendes administratives :

• 10 000 000 d’euros ou 2% CA

• 20 000 000 d’euros ou 4% CA

 défaut de protection des données dès la conception

 défaut de sécurité

 défaut de notification de violation

 non-respect des principes

 transfert vers un Etat n’assurant pas un

niveau de protection des données suffisant

(34)

Données personnelles et RGPD : comment se mettre en conformité ?

 Équilibre

• Droit des individus

• Économie