Protection des donnes nouvelles obligations Rappels des dfinitions
Protection des données, nouvelles obligations
Rappels des définitions, grands principes et acteurs
Rappels : Définitions n Données à caractère personnel : Constitue une donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable : Ø o Directement ou o Indirectement, notamment par référence : à un identifiant, tel que : • un nom Ø à un ou plusieurs éléments spécifiques propres à son identité • un numéro d'identification • physique, physiologique, génétique, psychique • des données de localisation • économique, culturelle ou sociale • un identifiant en ligne n Loi Informatique et Libertés (LIL) vs Règlement général pour la protection des données (RGPD) : définition élargie et plus précise par rapport à la LIL 3
Rappels : Définitions n Traitement : Constitue un traitement de données à caractère personnel : o toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que Ø la collecte Ø l'enregistrement Ø l'organisation, la structuration, Ø la conservation Ø la communication par transmission, la diffusion ou toute autre forme de mise à disposition Ø le rapprochement ou l'interconnexion, Ø l'adaptation ou la modification Ø la limitation Ø l'extraction, la consultation Ø l'effacement ou la destruction l'utili sation n LIL vs RGPD : définition peu modifiée par rapport à la LIL 5
Rappels : Définitions n Fichier : Constitue un fichier de données à caractère personnel : o tout ensemble structuré et stable de données à caractère personnel o accessibles selon des critères déterminés, que cet ensemble soit : Ø centralisé Ø décentralisé ou Ø réparti de manière fonctionnelle ou géographique 7
Rappels : Acteurs n Le responsable du traitement (RT) : o Le·la maire o Le·la président·e de l’EPCI, du syndicat, du Conseil départemental ou du Conseil régional o Définition (Art 4): La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. o La personne dont la responsabilité civile et pénale peut être engagée n Pas de changement dans la définition et la conception du responsable de traitement par rapport à la LIL 8
Rappels : Acteurs n Le Correspondant Informatique et Libertés : o Diffuse la culture Informatique et Libertés o Instaure des bonnes pratiques o Est l’interlocuteur de la CNIL o Sensibilise les agents, la direction, les élus o Tient des registres de traitement et dresse un bilan annuel de ses activités o Désignation facultative pour la collectivité n Changement important avec le RGPD : disparition du CIL au profit du Délégué à la Protection des Données (DPD) 9
Rappels : Les grands principes de la collecte de données n Principe de finalité : indiquer à quoi le fichier va servir. Les données ne peuvent être recueillies que pour une finalité : o Déterminée, explicite et légitime o Correspondant aux missions de la collectivité Autrement dit, ce principe limite la manière dont le responsable du traitement pourra utiliser ou réutiliser ces données dans le futur. n Principe de pertinence : aussi appelé principe de proportionnalité ou de minimisation de la collecte. Seules données strictement nécessaires à la réalisation de l’objectif peuvent être collectées. n Principe de temporalité : aussi appelé principe de conservation. Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de conserver les données et elles doivent être supprimées. 10
Les autres grands principes de la LIL n Sécurité des fichiers Obligation de prendre toutes les mesures nécessaires pour : o Garantir la sécurité des données collectées o Garantir leur confidentialité Obligation d’adapter ces mesures en fonction des risques qui pèsent sur les données n Information des personnes de leurs droits : o Droit d’accéder à ses données o Droit de les rectifier o Droit de s’opposer à leur utilisation n Formalités préalables auprès de la CNIL o Déclaration normale o Demande d’autorisation o Demande d’avis o Simplifications 11
Le Règlement général pour la protection des données (RGPD)
Nouvelles obligations ? n La Loi informatique et Libertés : en vigueur depuis le 6 janvier 1978 o Lien : ICI n Le Règlement général sur la protection des données (RGPD) : en vigueur à partir du 25 mai 2018. o Lien : ICI RGPD aussi appelé GDPR en anglais 13
Le RGPD n Un long processus : o o o 4 ans de négociation, 4 000 amendements, 88 pages Adopté le 27 avril 2016 Publié au JOUE le 4 juin 2016 o Entrée en application des dispositions : 25 mai 2018 n Constat : o o Manque d’harmonisation entre les niveaux de protection au sein de l’UE Évolution rapide des technologies De plus en plus de données collectées Nécessité de susciter ou maintenir la confiance n Des renvois aux droits nationaux : o 56 cas où les États Membres gardent leur pouvoir , notamment : Ø santé, NIR, emploi, Ø exécution d’une mission d’intérêt publique ou exercice de l'autorité publique, Ø archivage, statistiques, recherche scientifiques, recherche historique o Loi informatique et libertés 2 en attente 14
Ce qui change : - Une nouvelle logique de responsabilité - Les droits des personnes renforcés - Un risque aggravé de sanctions - Un Délégué à la Protection des Données (DPD) obligatoire
Une nouvelle logique de responsabilité n Réflexion sur la protection des données dès la création / conception d’un service : « Privacy by design » : o Dès la conception d’un service et par défaut o Mise en œuvre de mesures techniques et / organisationnelles o Veiller à limiter la quantité de données traitées n Suppression des obligations de déclarations préalables pour les traitements sans risque pour la vie privée o Logique de responsabilisation des élu·e·s (RT) o Obligations de mettre en place des mesures de protection, de les documenter et de démontrer la conformité à tout moment (mise en conformité dynamique et permanente) o Maintien des déclarations préalables pour les demandes d’autorisation 16
Une nouvelle logique de responsabilité n Etudes d’impact sur la vie privée (EIVP) obligatoires : o pour les traitements « à risques » , traitant des données sensibles ou reposant sur du profilage o pour faire apparaître les caractéristiques du traitement, les risques et les mesures adoptées pour protéger les données o Documentation CNIL sur les EIVP : ICI Aussi appelé « PIA » pour Privacy Impact Assessment en anglais n Partage des responsabilités : le sous-traitant aussi doit respecter le RGPD o Potentielle co-responsabilité o Obligation de désigner un DPD et de tenir un registre des traitements o Obligation de conseil pour permettre la conformité au RGPD (EIVP, failles de sécurité, audit, destruction des données) 17
Les droits des personnes renforcés n Obligation d’information dans des termes clairs o L’information doit être claire, intelligible et facilement accessible o Les personnes doivent donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer, de façon « non ambigüe » o La charge de la preuve pèse sur le responsable du traitement n Obligation d’information en cas de perte de données : o Obligation d’informer la CNIL dans les 72 heures o Obligation d’informer les personnes concernées si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes o Droit à réparation du préjudice, auprès de l’élu·e (RT) ou de son soustraitant n Délais pour faire droit à une demande : « dans les meilleurs délais » et au plus tard en 1 mois 18
Un risque aggravé de sanctions n L’élu·e et le sous-traitant peuvent faire l’objet de sanctions administratives : jusqu’à 20 millions d’euros pour le responsable du traitement et de 2 à 4 % du chiffre d’affaires annuels du soustraitant n Des sanctions pénales toujours en vigueur : o Article L 226 -16 à L 226 -24 et articles R 625 -10 à R 625 -13 du code pénal o Peine d’amendes à peines de prison avec sursis n En cas de non-conformité, le risque est ailleurs : réputation, image, perte de confiance, climat social n Loi République numérique et loi Informatiques et Libertés 2 (à venir) pour adapter précisions en droit français o https: //www. cnil. fr/fr/hertz-france-sanction-pecuniaire-pour-violation-de-donneespersonnelles 19
Un délégué à la protection des données obligatoire
Le délégué à la protection des données n Désignation obligatoire du délégué à la protection des données, sans seuil de dispense. n Profil : o Doit être qualifié : qualités professionnelles, connaissances spécialisées du droit et des pratiques en matière de protection de données o Doit bénéficier d’actions de formation continue n Obligations pour la collectivité de : o fournir au DPD les ressources nécessaires à ses missions o l’associer d’une manière appropriée et en temps utile à toutes les questions relatives à la protection des données o lui donner accès aux données o lui permettre de se former 21
Le délégué à la protection des données DPD (ou DPO en anglais) n Informer, conseiller et accompagner, afin de faire respecter le règlement européen et le droit national dans sa collectivité n Sensibiliser aux enjeux de la protection des données personnelles n Superviser des audits internes sur la protection des données personnelles n Conseiller le responsable sur l'opportunité de réaliser une analyse d’impact sur la vie privée (EIVP) et d'en vérifier l'exécution n n Recevoir les réclamations relatives à la protection des données et y répondre n Tenir le registre des traitements et dresser le bilan annuel Coopérer avec la CNIL et être son point de contact dans la collectivité Missions élargies par rapport au CIL : plus grandes responsabilités ! 22
CIL vs Délégué à la protection des données 7 1 0 2 Le CIL : Correspondant 8 1 0 2 Le DPD : Délégué à la Protection des informatique et libertés Données ou Data Protection Officer (DPO) o Il diffuse la culture « Informatique et Libertés » et instaure des bonnes pratiques dans la collectivité. o o Informer, conseiller et accompagner au sein de sa structure, afin de faire respecter le règlement européen et le droit national en matière de protection des données personnelles Il est l’interlocuteur de la CNIL au sein de la collectivité et veille au respect de la loi Informatique et Libertés. Il sensibilise les agents, la direction et les élus. o Sensibiliser au sein de sa structure aux enjeux de la protection des données personnelles o Superviser des audits internes sur la protection des données personnelles o Conseiller le responsable sur l'opportunité de réaliser une analyse d’impact sur la vie privée (EIVP) et d'en vérifier l'exécution o Recevoir les réclamations relatives protection des données et y répondre o Coopérer avec l'autorité de contrôle (la CNIL) et être son point de contact au sein de sa structure o o Il tient des registres de traitement et dresse un bilan annuel de ses activités Sa désignation était facultative jusqu’à présent 23 à la
Le délégué à la protection des données n Possibilité de : o Externaliser un DPD : avocat, prestataire o Mutualiser un DPD : à l’échelle de l’EPCI, à l’échelle d’un département, etc. Ø Mutualiser pour éviter le conflit d’intérêt : DGS ≠ DPD Ø Mutualiser pour disposer o • des ressources nécessaires • d’un DPD formé et habitué aux problématiques de protection des données • d’un DPD indépendant Désigner le DPD dès maintenant avec prise d’effet au 25/05/2018 (pas de transfert automatique d’un statut à l’autre) 24
1. Evaluer la situation 1. Recenser les traitements de données à caractère personnel 2. Evaluer le niveau de sensibilité dans la collectivité 3. Cartographier les données 4. Prendre connaissance des formalités déjà effectuées auprès de la CNIL 2. Lister les points de non-conformité 1. Confrontation au référentiel légal 2. Confrontation au référentiel technique 3. Préparation du plan d’actions 4. Mise en œuvre du plan d’actions Méthodologie inspirée de « Sensibilisation méthodologique à la mise en place d’un DPO externe » par Arnaud Tessalonikos et Jean-Marc Allouet
Évaluer la situation
Echanges avec les services n Réalisation des actions nécessite des échanges et des allers-retours avec les collègues n Possibilité de modifier les outils mis à disposition pour échanger avec les services n Garder des traces des échanges avec les services (documentation de la mise en conformité) n Mettre au propre les outils quand les échanges sont terminés 27
Action 1 : Recenser les traitements de données à caractère personnel n Diffuser le questionnaire aux services OUTIL : « 1. 1 Recensement questions services. doc » n Analyser les réponses n Reporter les réponses dans le tableau de recensement OUTIL : « 1. 1 Reporter les traitements. xlsx » n Remplir le registre des traitements OUTIL : « 1. 1 Registre RGPD. xlsx » OUTIL : « 1. 1 Registre traitements Mégalis. xls » 28
Action 2 : Evaluer le niveau de sensibilité dans la collectivité n Les principes de base de la loi Informatique et libertés sont-ils connus des agents et des élus ? n Les élu·e·s connaissent-ils·elles leur responsabilité ? n Un correspondant informatique et libertés est-il présent dans la collectivité ? OUTIL : « 1. 2 Questionnaire sur la protection des données. pptx » 29
Action 3 : Cartographier les données n Lister ce qui est utilisé dans la collectivité en matière de : o Logiciels o Applications o Matériel o Contrats conclus avec les prestataires informatiques o Contrats conclus avec les prestataires de site internet o Contrats de maintenance OUTIL : « 1. 3 Cartographier les données. xlsx » 30
Action 4 : Prendre connaissance des formalités déjà effectuées auprès de la CNIL n Consulter la liste des formalités déjà effectuées auprès de la CNIL OUTIL : 1. 4 Démarches déjà réalisées auprès de la CNIL n S’adresser au service des correspondants de la CNIL 31
Lister les points de non-conformité
Action 1 : Confrontation au référentiel légal n Sur 10 thèmes principaux réaliser un auto-diagnostic sur la conformité des pratiques actuelles aux obligations du RGPD : o Le DPD o La documentation de la conformité o La collecte des données o Les marchés publics o Les droits des personnes concernées o La sensibilisation des agents o Les droits des mineurs o La sensibilisation des élus o Le privacy by-design o La perte de données n Objectif double : o S’évaluer o Disposer d’éléments pour la suite (préparer le plan d’action) OUTIL : « 2. 1 Auto-diagnostic referentiel legal. xlsx» 33
Action 2 : Confrontation au référentiel technique n Sur 14 thèmes principaux réaliser un auto-diagnostic sur l’état des mesures de sécurité informatique dans la collectivité o Analyser les risques o Protéger les locaux o Authentifier mes utilisateurs o Protéger le réseau informatique interne o Gérer les habilitations et sensibiliser mes utilisateurs o Sécuriser les serveurs et applications o Gérer la sous-traitance o Sécuriser les postes de travail o Archiver o Sécuriser l’informatique mobile o o Sauvegarder et prévoir la continuité d’activité Sécuriser les échanges avec d’autres organismes o Encadrer la maintenance o Tracer les accès et gérer les incidents n Objectif double également : o S’évaluer o Disposer d’éléments pour la suite (préparer le plan d’action) OUTIL : « 2. 2 Auto-diagnostic sécurité informatique. xlsx» 34
Préparation du plan d’actions
S’appuyer sur le travail effectué n Travail de synthèse des différents livrables : o Recensement des traitements o Évaluation du niveau de sensibilité dans la collectivité o Cartographie des données o Déclarations déjà réalisée auprès de la CNIL o Auto-diagnostics 36
Un constat, une nécessité n Un constat : mise en conformité intégrale au 25 mai 2018 difficile n Une nécessité : définir des priorités n Des critères à prendre en compte 37
Des critères à prendre en compte n Quelles sont les ressources humaines disponibles ? n Quel est le budget disponible pour la mise en conformité ? n De combien de temps dispose-t-on ? n Quel est le niveau d’exposition au risque ? o Risque juridique o Risque en terme d’image, réputation, perte de confiance o Risque pour la sécurité informatique En s’appuyant notamment sur les auto-diagnostiques n Objectif : mise en évidence des axes de travail prioritaires OUTIL : « 3. Evaluation_par_action. xlsx» 38
Le plan d’actions n Elaboration du plan d’actions o Définition des priorités o En orientations / axes stratégiques Chaque collectivité aura un plan d’action différent ! n Validation du plan d’actions par la direction générale o Indépendance du DPD OUTIL : « 3. Plan_d_actions_. xlsx 39
Mise en œuvre du plan d’actions
Un projet comme un autre n S’appuyer sur le plan d’actions : objectifs clairs et indicateurs mesurables o Attentes, délais, calendrier et moyens ? o Indicateurs / livrables pour mesurer l’avancement ? n Identifier un· chef·fe de projet o Idéalement le·la futur·e DPD o Positionnement : bonnes connaissances des services de la collectivité, connaissances juridiques et techniques / informatiques o Disposera du temps nécessaire : 20 à 30 % de son temps pendant 6 mois et 10 % de son temps par la suite o Disposera de moyens : formation, communication, etc. n S’appuyer sur un « sponsor » de la démarche : élu·e ou DGS / DGA n Communiquer sur le projet o D’autant plus utile que tous les services de la collectivité sont impactés 41
Mise en œuvre n Fiches actions n Groupes de travail : mettre en commun les compétences au démarrage et de façon pérenne n Potentiellement, plusieurs actions démarrent en même temps. n Ne pas hésiter à communiquer au fur et à mesure de la mise en œuvre OUTIL : « 4. Fiche action type. doc » 42
Documentation CNIL n Règlement européen du 27 avril 2016 : o https: //www. cnil. fr/fr/reglement-europeen-protection-donnees n Règlement européen : se préparer en 6 étapes o https: //www. cnil. fr/fr/principes-cles/reglement-europeen-se-preparer-en-6 -etapes o https: //www. cnil. fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv 2. pdf n En quoi les collectivités territoriales sont-elles impactées par le règlement européen sur la protection des données ? o https: //www. cnil. fr/fr/RGPD-quel-impact-pour-les-collectivites-territoriales n Devenir délégué à la protection des données : o https: //www. cnil. fr/fr/devenir-delegue-la-protection-des-donnees n Documenter la conformité : o https: //www. cnil. fr/fr/documenter-la-conformite 43
Documentation CNIL n Modèle de registre règlement européen : https: //www. cnil. fr/sites/default/files/atoms/files/registre-reglement-publie. xlsx n Etudes d’impact sur la vie privée (PIA en anglais) : o PIA-1, la méthode : Comment mener une étude d'impact sur la vie privée o PIA-2, l'outillage : Modèles et bases de connaissances de l'étude d'impact sur la vie privée o PIA-3, les bonnes pratiques : Mesures pour traiter les risques sur les libertés et la vie privée n Le droit à la portabilité en question : o https: //www. cnil. fr/fr/le-droit-la-portabilite-en-questions 44
Glossaire n CIL : correspondant informatique et libertés n CNIL : commission informatique et libertés n DPO : data protection officier = délégué à la protection des données en anglais n EIVP : étude d’impact sur la vie privée n EM : Etats membres de l’Union européenne n LIL : loi informatique et libertés n PIA : privacy impact assessment = étude d’impact sur la vie privée en anglais n RGPD : règlement général à la protection des données n RT : responsable du traitement 45
Contact n Mathilde Maglia Chargée de mission promotion des services numériques mathilde. maglia@megalis. bretagne. bzh 02 99 12 51 70 – 06 14 37 45 66 n Guillaume Mouty Chargé de mission promotion des services numériques guillaume. mouty Ou : accompagnement@megalis. bretagne. bzh Ou : Formulaire de contact sur le site Internet : https: //www. megalisbretagne. org/jcms/mw_14303/megalis-formulaire-dedemande-jsp? dcontexte=mw_14373&dtype 1=mw_14390#zone. Contenu 46
- Slides: 46