Respectez vos obligations liées la gestion des données personnelles Quelles sont les obligations et recommandations de la CNIL ? Qui est concerné par ces obligations ? Comment respecter ces obligations ?

1. 1
Jeudi 11 juillet 2013
Gestion des données personnelles :
faites face à vos obligations

2. 2
Le dispositif Performance PME TIC ?
Cette action s’insère dans le dispositif régional
Son objectif est de développer la compétitivité des
entreprises par un meilleur usage des Technologies
de l’Information et de la Communication
www.lenumeriquepourmonentreprise.com

3. 3
Gestion des données personnelles : faites face
à vos obligations
• Quelles sont les obligations et recommandations
de la CNIL ?
• Qui est concerné par ces obligations ?
• Comment respecter ces obligations ?

4. 4
La protection des données personnelles au
travail
Une utilisation croissante de :
– Smartphone
– Télétravail
– BYOD…
Complexité à maintenir un équilibre entre contrôle de
l’activité salariée et protection de la vie privée

5. 5
La protection des données clients
• Une traçabilité client de plus en plus importante
• Un recueil d’informations de plus en plus ciblé
• Des obligations à respecter

6. 6
Droits et obligations
• La compréhension du cadre légal est nécessaire
• Une information sur les droits et devoirs de chacun est
importante
• Un organisme d’encadrement :

7. 7
SOMMAIRE
- Définition d’une donnée à caractère personnel,
- Fichiers soumis à la Loi Informatique & Libertés,
- Conditions à respecter lors de la mise en œuvre et de
l’exploitation d’un traitement de données,
- Quelle déclaration pour quel fichier,
- Le Correspondant Informatique et Libertés,
- Les pouvoirs de sanction de la CNIL,
- Liens utiles.
Les obligations en matière de gestion de
données personnelles

8. 8
Article 2 de la Loi du 6 Janvier 1978 modifiée :
« Constitue une donnée à caractère personnel toute information
relative à une personne physique identifiée ou qui peut être
identifiée, directement ou indirectement, par référence à un
numéro d’identification ou à un ou plusieurs éléments qui lui sont
propres. Pour déterminer si une personne est identifiable, il
convient de considérer l’ensemble des moyens en vue de
permettre son identification dont dispose ou auxquels peut avoir
accès le responsable du traitement ou toute autre personne. »
Définition d’une donnée à caractère personnel

9. 9
Données à caractère personnel (exemples)

10. 10
Depuis la réforme de 2004, la Loi Informatique et Libertés
s'applique à tous les fichiers, manuels ou informatisés.
Si la loi n'oblige pas à déclarer les fichiers manuels , il faut
néanmoins garder à l'esprit que :
- les grands principes de collecte loyale, d’objectivité, de qualité,
d’information, de sécurité… sont applicables à ces fichiers papier ;
- les règles d'accès aux informations, de rectification et de
suppression, sont également applicables; les sanctions applicables
sont identiques pour un traitement papier ou informatisé…
Fichiers soumis à la Loi Informatique & Libertés

11. 11
Lors de sa création :Lors de sa création :
 respect des principes de loyauté, de finalité, de légitimité, de nécessité et derespect des principes de loyauté, de finalité, de légitimité, de nécessité et de
proportionnalité, de transparence, de sécurité et de confidentialité, de qualitéproportionnalité, de transparence, de sécurité et de confidentialité, de qualité
des données traitées et de durée limitée fixée pour leur conservation,des données traitées et de durée limitée fixée pour leur conservation,
 respect des procédures de consultation et d’information obligatoires desrespect des procédures de consultation et d’information obligatoires des
instances représentatives du personnel pour les traitements ayant uneinstances représentatives du personnel pour les traitements ayant une
incidence sur l’activité des salariés,incidence sur l’activité des salariés,
 dépôt d’une déclaration préalable auprès de la CNIL sauf dispense dedépôt d’une déclaration préalable auprès de la CNIL sauf dispense de
déclaration ou de formalités préalables lorsqu’un CIL a été désigné dansdéclaration ou de formalités préalables lorsqu’un CIL a été désigné dans
l’entreprise,l’entreprise,
 information des personnes au sujet du traitement dont elle font l’objet et deinformation des personnes au sujet du traitement dont elle font l’objet et de
ses caractéristiques afin de leur permettre d’exercer leurs droits d’accès, deses caractéristiques afin de leur permettre d’exercer leurs droits d’accès, de
rectification, de suppression et/ou d’opposition.rectification, de suppression et/ou d’opposition.
Conditions à respecter lors de la mise en œuvre et
l’exploitation d’un traitement de données

12. 12
Pendant son exploitation :Pendant son exploitation :
 la mise à jour régulière des données,la mise à jour régulière des données,
 la protection des transferts et des échanges de données,la protection des transferts et des échanges de données,
A l’expiration de la durée nécessaire à l’obtention de la finalité :A l’expiration de la durée nécessaire à l’obtention de la finalité :
 la destruction des données ou leur archivage en vue d’être traitées à des finsla destruction des données ou leur archivage en vue d’être traitées à des fins
historiques, statistiques ou scientifiques mais sous réserve de conditionshistoriques, statistiques ou scientifiques mais sous réserve de conditions
d’utilisation et d’accès (chiffrage ou cryptage et accès limités).d’utilisation et d’accès (chiffrage ou cryptage et accès limités).
Il est interdit de réutiliser les données collectées et traitées à l’expiration de laIl est interdit de réutiliser les données collectées et traitées à l’expiration de la
durée de conservation prévue pour le traitement.durée de conservation prévue pour le traitement.
Conditions à respecter lors de la mise en œuvre et d
l’exploitation d’un traitement de données

13. 13
Quelle déclaration pour quel fichier
Pour simplifier et faciliter le processus déclaratif, la CNIL a établi des règles et des critères d’application qui vontPour simplifier et faciliter le processus déclaratif, la CNIL a établi des règles et des critères d’application qui vont
aider au choix de la bonne méthode et du bon supportaider au choix de la bonne méthode et du bon support

14. 14
Dès lors que le traitement de données n’est pas dispensé, ne correspond pas à une Norme Simplifiée ou, n’est pasDès lors que le traitement de données n’est pas dispensé, ne correspond pas à une Norme Simplifiée ou, n’est pas
conforme à une Autorisation ou à un Acte Réglementaire Uniqueconforme à une Autorisation ou à un Acte Réglementaire Unique
Quelle déclaration pour quel fichier

15. 15
Le Correspondant Informatique et Libertés
A l’occasion de sa réforme en 2004, la Loi Informatique et Libertés a introduit la
fonction de Correspondant Informatique et Libertés pour les entreprises privées
et les établissements publics.
• Il peut (ou doit) être désigné au sein de l’entreprise ou être externalisé,
• Il peut être mutualisé (syndicats/groupement professionnels, GIE,
organisme professionnel ou organisme regroupant des responsables de
traitements d’un même secteur d’activités, ….).
• Il veille à l’application de la loi : tenue et mise à jour de la liste des
traitements de l’entreprise, réalisation d’un bilan annuel, information du
responsable des traitements sur des manquements constatés, instruction des
demandes d’accès, de modification et/ou de suppression des données,
• Il permet une simplification des formalités administratives,
• Il est le garant de la sécurité juridique, renforce la sécurité informatique,
affirme un engagement éthique et citoyen et valorise le patrimoine
informationnel de l’entreprise.

16. 16
Les pouvoirs de sanction de la CNIL
Lorsque des manquements à la loi sont portés à sa connaissance (suite à une
mission de contrôle ou à une plainte), la formation contentieuse de la CNIL
peut prononcer à l’égard du responsable de traitement fautif :
 Un avertissement , qui peut être rendu public.
 Une sanction pécuniaire (sauf pour les traitements de l’État) d’un montant maximal
de 150.000€, et, en cas de récidive, jusqu’à 300.000 €. Cette sanction peut être rendue
publique ; la formation contentieuse peut également ordonner l'insertion de sa
décision dans la presse, aux frais de l'organisme sanctionné.
 Une injonction de cesser le traitement,
 Un retrait de l’autorisation accordée par la CNIL en application de l’article 25 de la
loi

17. 17
Les pouvoirs de sanction de la CNIL
En cas d'urgence et d'atteinte aux droits et libertés définies à l'article 1er de la
loi, la formation contentieuse peut décider, à l'issue d'une procédure
contradictoire :
 l'interruption de mise en œuvre du traitement,
 L'avertissement,
 le verrouillage des données pour trois mois,
 pour certains fichiers sensibles de l'Etat, l'information du Premier Ministre
afin qu'il prenne les mesures nécessaires pour mettre fin aux manquements.
En cas d’atteinte grave et immédiate aux droits et libertés, le président de la
CNIL peut demander, par référé, à la juridiction compétente, d’ordonner toute
mesure de sécurité nécessaire.
La CNIL peut également dénoncer au Procureur de la République les infractions
à la loi informatique et libertés, prévues aux articles 226-16 à 226-24 du Code
pénal.

18. 18
Liens utiles
www.cnil.fr/documentation/guideswww.cnil.fr/documentation/guides www.cnil.fr/documentation/fiches-pratiqueswww.cnil.fr/documentation/fiches-pratiques

19. 19
Continuons à échanger …
: twitter.com/competitic
: communauté competitic
: lenumeriquepourmonentreprise.com

20. 20
Découvrez les usages des
TIC, les actualités, l’agenda
des évènements et les
entreprises de la filière TIC
régionale sur le « portail
des usages »
Consultez le support de
cette présentation :
www.lenumeriquepourmonentreprise.com