Présentation V. Silva

Download Report

Transcript Présentation V. Silva

Autorités
et
Données personnelles
Journée des Correspondants Autorités
2 octobre 2014
Cadre réglementaire
Journée des Correspondants Autorités – 2 octobre 2014
2
Cadre réglementaire
• La loi N° 78-17 du 6 janvier 1978, relative à
l’informatique et aux libertés.
• Modifiée le 6 août 2004 :
 Renforcement des pouvoirs a posteriori de la
Commission Nationale Informatique et Libertés
(CNIL).
 Création de la fonction de Correspondant
Informatique et Libertés (CIL) (décret 2005).
Journée des Correspondants Autorités – 2 octobre 2014
3
Cadre réglementaire
Les missions de la CNIL
• Recenser les traitements déclarés.
• Informer et conseiller les autorités, les
professionnels et le grand public (site internet,
guides, permanence téléphonique, etc.).
• Réglementer (normes, dispenses, autorisations
uniques, etc.).
• Contrôler l’application de la loi au sein des
organismes.
• Sanctionner en cas de non respect de la loi.
• Garantir le droit d’accès indirect aux traitements
intéressant la sûreté de l’Etat, la défense et la
sécurité publique.
Journée des Correspondants Autorités – 2 octobre 2014
4
Notions générales
Journée des Correspondants Autorités – 2 octobre 2014
5
Notions générales
Qu’est-ce qu’une donnée personnelle ?
(ou donnée à caractère personnel)
Toute donnée permettant d’identifier une
personne physique, quel que soit le moyen utilisé,
directement, indirectement ou par recoupement
d’informations anonymes.
Journée des Correspondants Autorités – 2 octobre 2014
6
Notions générales
• Données directement identifiantes
nom, prénom, nom et prénom, nom et prénom et date de
naissance, photographie, e-mail nominatif.
 Dépend de la taille et de la diversité de l’échantillon.
• Données indirectement identifiantes
NIR (n° sécurité sociale), adresse IP, téléphone, plaque
d’immatriculation, n° dossier client, RIB, n° carte bancaire,
empreintes digitales.
 Nécessite l’accès à un autre fichier pour faire le lien avec la
personne.
• Recoupement d’informations anonymes
Le fils du notaire habitant au 11 bd Raspail à Paris.
=> Prises séparément, les informations ne permettent pas de
remonter à une personne, leur combinaison oui.
Journée des Correspondants Autorités – 2 octobre 2014
7
Notions générales
Qu’est-ce qu’un traitement ?
Toute opération portant sur des données à
caractère personnel et répondant à des finalités
précises.
Ex : Calames, IdRef, Star, Step, Sudoc, etc.
Journée des Correspondants Autorités – 2 octobre 2014
8
Notions générales
Qui est le responsable de traitement ?
La personne qui détermine la finalité et les
moyens du traitement mis en œuvre,
en pratique et en général la personne morale
incarnée par son représentant légal.
Ex : Le directeur de l’ABES dans le cadre de tous
les traitements mis en œuvre par l’ABES.
Journée des Correspondants Autorités – 2 octobre 2014
9
Notions générales
Cas du sous-traitant
Le
sous-traitant
traite
des
données
personnelles pour le compte et sous la
responsabilité du responsable de traitement.
Ex : Via la convention qu’ils passent avec
l’ABES, les établissements des réseaux
pourraient être considérés comme des soustraitants.
Journée des Correspondants Autorités – 2 octobre 2014
10
Notions générales
En résumé, en présence de :
• Données à caractère personnel (DCP).
• Traitements automatisés de DCP.
• Traitements non automatisés de DCP contenues
dans des fichiers structurés selon des critères
déterminés.
Application de la loi Informatique et Libertés
(sans formalités préalables pour les fichiers
papier).
Journée des Correspondants Autorités – 2 octobre 2014
11
Notions générales
Les 5 règles d’or pour la protection
des données
1.
2.
3.
4.
5.
Finalité du traitement.
Pertinence des données.
Conservation limitée des données.
Obligation de sécurité et de confidentialité.
Respect des droits des personnes :
– Droit à l’information.
– Droit d’accès, de rectification et d’opposition.
Journée des Correspondants Autorités – 2 octobre 2014
12
Données d’autorité
et Loi
Informatique & Libertés
Journée des Correspondants Autorités – 2 octobre 2014
13
Données d’autorité et Loi Informatique & Libertés
Quelles données personnelles dans les autorités ?

Nom et prénom, date de naissance.
Qui est le responsable du traitement des autorités ?

Le directeur de l’ABES.
Quelle est la finalité du traitement des autorités ?


Attribuer les bons documents aux bons auteurs.
Enrichir et normaliser l’indexation d’un document pour une meilleure
visibilité.
Comment évaluer la pertinence des données collectées ?

Se baser sur la finalité définie (ex : date de naissance et homonymie).
Quelle durée de conservation pour les données d’autorité ?

Durée de vie des applications dans lesquelles ces autorités apparaissent.
Quelles obligations de sécurité et de confidentialité ?


Bases de données sécurisées par les équipes de l’ABES et du CINES.
Gestion rigoureuse des habilitations et droits d’accès.
Qui doit permettre l’exercice des droits des personnes ?

L’ABES ainsi que les correspondants dans les établissements.
Journée des Correspondants Autorités – 2 octobre 2014
14
Correspondant Autorités
et Loi
Informatique & Libertés
Journée des Correspondants Autorités – 2 octobre 2014
15
Correspondant Autorités et Loi Informatique & Libertés
Les deux règles à appliquer
• Obligation de sécurité et de confidentialité.
• Respect des droits des personnes :
– Droit à l’information.
– Droit d’accès, de rectification et d’opposition.
Journée des Correspondants Autorités – 2 octobre 2014
16
Correspondant Autorités et Loi Informatique & Libertés
Obligation de sécurité et de confidentialité
• Ne pas transmettre ses identifiants (login, mot de
passe) à un tiers.
• Ne pas partager un identifiant entre plusieurs
utilisateurs.
• Choisir un mot de passe comportant un minimum
de caractères et combinant lettres, chiffres et
caractères spéciaux.
• Modifier son mot de passe tous les 3 à 6 mois.
• Verrouiller sa session de travail en quittant son
poste.
Journée des Correspondants Autorités – 2 octobre 2014
17
Correspondant Autorités et Loi Informatique & Libertés
Droit à l’information
• Toute collecte de données personnelles doit
s’accompagner d’une information claire et
précise, par tout moyen approprié, à
l’intention de la personne concernée.
• Tous les points suivants doivent être
précisés.
Journée des Correspondants Autorités – 2 octobre 2014
18
Correspondant Autorités et Loi Informatique & Libertés
Droit à l’information
• La finalité du traitement


Attribuer les bons documents aux bons auteurs.
Enrichir et normaliser l’indexation d’un document pour une meilleure visibilité.
• L’identité du responsable de traitement
 Le directeur de l’ABES.
• Les destinataires des données
 Organismes extérieurs (Les personnes traitant des données personnelles dans le
cadre de leurs fonctions ne sont pas considérées comme des destinataires).
• Les droits (accès, rectification, opposition)
 Services ou personnes auprès de qui ces droits doivent s’exercer.
• Le cas échéant, les transferts de données hors Union
Européenne.
 Perspective d’un hébergement des données dans un Cloud hors Union
Européenne par exemple.
Journée des Correspondants Autorités – 2 octobre 2014
19
Correspondant Autorités et Loi Informatique & Libertés
Journée des Correspondants Autorités – 2 octobre 2014
20
Correspondant Autorités et Loi Informatique & Libertés
Droit d’accès
• Toute personne peut, directement auprès de
l’ABES ou des établissements, avoir accès à
l’ensemble des informations le concernant et en
obtenir la copie.
• Deux formes pour la demande :
Par écrit (courrier ou courriel)
Sur place
• Pas besoin de motiver sa demande.
• Nécessité de justifier de son identité.
• Délai de 2 mois pour répondre à la demande.
Journée des Correspondants Autorités – 2 octobre 2014
21
Correspondant Autorités et Loi Informatique & Libertés
Droit de rectification
• Lorsque les données personnelles d’une
personne sont inexactes, incomplètes, périmées,
cette personne a le droit d’exiger que ces données
soient rectifiées, complétées, mises à jour.
• Deux formes pour la demande :
Par écrit (courrier ou courriel)
Sur place
• Pas besoin de motiver sa demande.
• Nécessité de justifier de son identité.
• Nécessité de justifier de la nouvelle valeur.
• Délai de 2 mois pour répondre à la demande.
Journée des Correspondants Autorités – 2 octobre 2014
22
Correspondant Autorités et Loi Informatique & Libertés
Droit d’opposition
• Toute personne a le droit de s’opposer, pour des
motifs légitimes, au traitement de ses données,
sauf si le traitement répond à une obligation
légale (Ex : Star).
• Deux formes pour la demande :
Par écrit (courrier ou courriel)
Sur place
• Nécessité de motiver sa demande.
• Contestation possible de la légitimité du motif
par l’ABES ou les établissements.
• Nécessité de justifier de son identité.
• Délai de 2 mois pour répondre à la demande.
Journée des Correspondants Autorités – 2 octobre 2014
23
Correspondant Autorités et Loi Informatique & Libertés
Préconisations ABES et droit d’opposition
• Nom et prénom
Difficile de justifier leur suppression dans le cadre d’un
catalogue bibliographique dont la qualité dépend aussi de la
qualité des autorités.
 Refuser d’accéder à cette demande en expliquant la raison.
• Date de naissance
Sa présence permet de gérer les problèmes d’homonymie et
donc d’améliorer la qualité du catalogue.
 Dans un 1er temps, refuser d’accéder à cette demande en
expliquant la raison.
 Dans un 2nd temps, si la personne insiste, masquer la date
de naissance tout en la conservant dans le catalogue, mais
en informer clairement la personne.
Journée des Correspondants Autorités – 2 octobre 2014
24
Correspondant Autorités et Loi Informatique & Libertés
Préconisations ABES et zones de texte libre
• Ne pas inscrire de commentaires sensibles dans
les zones de texte libre.
• Ne pas utiliser les zones de texte libre pour y noter
des données personnelles telles que nom, prénom
et date de naissance.
Journée des Correspondants Autorités – 2 octobre 2014
25
Correspondant Autorités et Loi Informatique & Libertés
En résumé, pour le traitement des demandes :
• Demander la pièce d’identité officielle (carte d’identité ou
passeport).
• Si droit de rectification, demander le justificatif de la nouvelle
valeur.
• Si droit d’opposition, faire préciser le motif de la demande.
• Traiter la demande à l’aide de messages et formules types
fournis par l’ABES (formations à distance, documents disponibles)
En cas de problème, ne pas hésiter à s’adresser au CIL ABES.
• Respecter le délai de traitement de 2 mois, à compter de la
réception de toutes les informations nécessaires.
• Après traitement de la demande :
– Supprimer tous les justificatifs.
– Informer le CIL ABES de la nature de la demande, du traitement
effectué ainsi que du délai, selon une procédure à venir (début 2015).
Coordonnées du CIL ABES : [email protected]
Journée des Correspondants Autorités – 2 octobre 2014
26
Démarche de l’ABES
auprès de la CNIL
Journée des Correspondants Autorités – 2 octobre 2014
27
Démarche de l’ABES auprès de la CNIL
Objectif : obtenir une position de principe de la CNIL
• Diffusion de l’Information Scientifique et Technique
L’ABES pourrait-elle appliquer pour ses catalogues le même principe que
pour les thèses qui bénéficient d’une obligation légale de signalement ?
 Permettrait de refuser systématiquement la suppression d’une notice
bibliographique.
• Qualité des catalogues
L’ABES pourrait-elle systématiquement refuser la suppression de la date
de naissance dans les notices d’autorité ?
 Permettrait de s’en tenir à la 1ère solution évoquée précédemment et
d’avoir une cohérence dans les notices d’autorité.
• Licence Etalab et réutilisation des données publiques
Les données personnelles telles que nom, prénom et date de naissance
des auteurs ne pourraient-elles pas être considérées comme des
données « dites » publiques ?
 Permettrait de ne pas avoir à demander le consentement
systématique des personnes concernées.
Journée des Correspondants Autorités – 2 octobre 2014
28
Démarche de l’ABES auprès de la CNIL
La licence ETALAB
«…Ne sont également pas des informations publiques
susceptibles
d’être
réutilisées
celles
qui
contiennent des données à caractère personnel,
sauf lorsque les personnes intéressées y ont
consenti, ou lorsqu’elles ont fait l’objet d’une
anonymisation par l’administration, ou lorsqu’une
disposition légale ou réglementaire le permet
(dans ces trois cas, la réutilisation est subordonnée
au respect de la loi n°78-17 du 6 janvier 1978). »
Journée des Correspondants Autorités – 2 octobre 2014
29
Merci
de votre attention !
Journée des Correspondants Autorités – 2 octobre 2014
30