Capital Games organise une conférence le mercredi 22 mai, de 9h à 17h au Centre de Conférences de Microsoft, à Issy-les-Moulineaux. Elle permettra aux professionnels du jeu vidéo de monter en compétences sur les nouvelles méthodes de production de jeux connectés, parmi lesquelles l'analyse de données.
Présentation du cabinet Altana sur la Réglementation des données.
2. La loi du 6 janvier 1978 institue la CNIL, autorité administrative indépendante, et pose les grands
principes s’appliquant à l’informatique et aux fichiers afin de veiller à ce qu’ils soient au service du
citoyen et ne portent atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée,
ni aux libertés individuelles ou publiques.
La loi du 6 août 2004 : une refonte de la loi de 1978
les grands principes restent inchangés (L. 6 janvier 1978)
un renforcement des droits des personnes
un allègement des formalités déclaratives :
o augmentation du nombre de normes simplifiées, formulaires pour les déclarations
normales allégées
o suppression des formalités de déclaration par la mise en place d’un correspondant à la
protection des données au sein des entreprises
un renforcement du contrôle de la CNIL pour certains traitements (autorisation / autorisation
unique)
de nouveaux pouvoirs coercitifs et de sanction
d’une politique d’information en 1978 à une politique de contrôle et de sanction en
2004.
2
Préliminaire
3. Fichiers : tout ensemble structuré et stable de
données à caractère personnel accessibles selon des
critères déterminés
Traitement : toute opération de collecte,
enregistrement, organisation, conservation,
adaptation ou modification, extraction, consultation,
utilisation, communication par transmission, diffusion
ou toute autre forme de mise à disposition,
rapprochement, interconnexion, verrouillage,
effacement, destruction
Concerne les fichiers automatisés et manuels
3
Qu’est-ce qu’un fichier / traitement de données ?
4. toute information relative à une personne physique
identifiée ou susceptible de l’être, directement ou indirectement
données virtuelles (profil -avatar- lié au compte réel)
par référence à un numéro d’identification (ex : numéro de sécurité
sociale, numéro de téléphone) ou un ou plusieurs éléments qui leur
sont propres (ex : biométrie génétique)
le cas particulier des données dites « sensibles » (origines sociales ou
ethniques, opinions politiques, philosophiques ou religieuses ou
appartenance syndicale des personnes, relatives à la santé ou à la vie
sexuelle) : interdiction de les collecter ou de les traiter (article 8), sauf
exceptions (consentement, intérêt public)
le cas particulier des données d’infractions, de condamnation, de
mesure de sûreté : interdiction de les collecter ou de les traiter sauf
exceptions (juridictions, autorisations)
Encadrer la traçabilité et protéger la vie privée
4
Qu’est-ce que des données à caractère personnel ?
5. 5
Qu’est-ce qu’un responsable de traitement sujet à la
loi Informatique et Libertés ?
L’autorité, l’organisme, le service qui détermine les finalités du
traitement et qui donne les moyens nécessaires à sa mise en
œuvre
Établi sur le territoire français (installation stable, quelle que soit
sa forme juridique, filiale, succursale)
ou
Recours à des moyens de traitement situés sur le territoire
français (à l’exclusion de traitements qui ne sont utilisés qu’à des
fins de transit sur ce territoire ou sur celui d’un État membre de
la Communauté européenne)
6. Les traitements de données à caractère personnel « font l’objet d’une
déclaration auprès de la CNIL »
Les déclarations ordinaires
Les déclarations simplifiées (55 normes simplifiées)
Les demandes d’autorisations
Les autorisations uniques (26 autorisations uniques)
Les demandes d’avis sur les fichiers sensibles du secteur public (une
surveillance de la CNIL)
Délai : la CNIL dispose d’un délai de 2 mois éventuellement renouvelable
une fois, pour rendre son autorisation. A l’expiration du délai, la demande
d’autorisation est réputée rejetée si la CNIL ne s’est pas prononcée dans
l’intervalle.
En 2012 :
48 833 déclarations simplifiées de fichiers traitées par la CNIL – 316
autorisations données
6
Comment déclarer un traitement de données à caractère personnel ?
7. Comment mettre en œuvre la loi « informatique et libertés » dans la vie des
affaires ?
Collecte des données : loyale et licite (Cass. 14 mars 2006) pour une finalité précise
Proportionnalité et pertinence des données (données adéquates et non excessives) et mise à jour
si nécessaire à la finalité (données exactes et complètes)
Ex: si l’application développée porte sur un jeu de type « quizz », les numéros de téléphones du
carnet d’adresse du propriétaire de Smartphone n’ont pas à être collectés
Obligation de déclaration préalable auprès de la CNIL
Mise en œuvre du traitement
Consentement de la personne (ou respect d’une obligation légale ou sauvegarde de la vie de la
personne concernée) ou exécution d’une mission de service public ou exécution soit d’un contrat
soit de mesures précontractuelles ou réalisation de l’intérêt légitime
Destinataires identifiés expressément
Conservation limitée des données
Sécurité des données
Respect des droits des personnes (droit d’information, d’accès, de modification et d’opposition)
7
8. 8
Règles de sécurité des données
Obligations de sécurité et de confidentialité
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des
risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès » (article 34 loi Informatique et libertés)
De nombreuses règles sont à respecter pour que les données soit en sécurité :
politique de mot de passe rigoureuse
Identifier précisément qui peut avoir accès aux fichiers
mise en place d’une procédure de création et de suppression des comptes utilisateurs (but : éviter
l’accès aux données d’une personne qui ne serait plus dans le service concerné par les traitements)
Sécuriser les postes de travail : verrouillage automatique, verrouillage manuel systématique des
employés
Sécuriser le réseau local contre les attaques extérieures
Sécuriser l’accès physique aux locaux
Anticiper le risque de perte ou de divulgation des données
Mettre en place une politique de sécurité des systèmes informatiques, accessible aux salariés
Mettre en place une politique d’archivage électronique
Sensibiliser les utilisateurs aux risques informatiques concernant les données personnelles
Veiller à la confidentialité des donnés vis-à-vis des prestataires et sous traitants
NB: les autorités de protection des données personnelles privilégient l’intégration de la protection de la
vie privée directement dans la conception et le fonctionnement des systèmes (Privacy by Design)
9. Quelles questions se poser avant la création d’un fichier ?
Identifier les traitements, leur finalité, la durée de conservation des données
Compléter le formulaire standard de déclaration CNIL
Anticiper, autant que faire se peut, les futures « nouvelles » finalités et les
évolutions techniques ou technologiques
Faire valider les informations contenues dans le formulaire (i) par les
opérationnels en charge du traitement/fichier, (ii) par le service informatique et
(iii) par le service juridique ou le conseil (avocat)
Effectuer la déclaration auprès de la CNIL (ou la faire exécuter par la voie d’un
Conseil)
Conserver une copie de toutes les déclarations et les classer/archiver dans un seul
endroit (classeur, etc.). Une solution pratique : les scanner et les classer dans un
fichier numérique
Régulièrement, s’assurer de la mise à jour des déclarations
Ne pas hésiter à solliciter les conseils et l’assistance du Conseil habituel de la
société en la matière.
9
Méthodologie de la création d’un fichier
10. Contrôle de la mise en œuvre des traitements par la CNIL
A – Instruction des plaintes
Procédure : 1. recueil d’observations du responsable 2. phase contradictoire 3. transmission aux
services de contrôle (4 sections) 4. réponse avec les procédures de modification proposées en cas de
faute ou d’erreur
Plainte en ligne depuis le 14 juin 2010 accessible via cnil.fr
En 2012 : 6017 plaintes reçues (chiffre le plus élevé jamais enregistré par la CNIL). Intérêt de
plus en plus marqué des personnes pour la protection de leurs données et de la sensibilité de
cette question à l'ère du numérique(44% des plaintes ont été reçues via cnil.fr en 2012).
B – Contrôles sur place
Accès de 6h à 21h aux lieux, locaux, enceintes, installations ou établissements servant à la mise en
œuvre d’un traitement (information préalable du Procureur territorialement compétent mais pas du
responsable du traitement)
Obligation de collaboration à la charge du responsable de traitement. En cas d’opposition du
responsable des lieux : possibilité d’obtenir une autorisation du président du TGI territorialement
compétent par voie d’ordonnance sur requête (non contradictoire)
Communication, copie, « saisie » sur place de tous documents, accès aux programmes informatiques et
aux données
Assistance d’experts
10
11. 11
Quelles sont les sanctions du non respect de la loi informatique et libertés ?
Des sanctions graduelles
Formalités,
données sensibles, droits
des personnes, flux
transfrontières, données
interdites,
vie privée
12. La notifications des violations de données personnelles : une nouvelle mission
Transposition en droit français d’une directive européenne : nouvel article 34 Bis de la loi « Informatique et Libertés » du 6 janvier 1978 transposé en droit
français par l’ordonnance du 24 août 2011 (Décret d’application n°2012-436 du 30 mars 2012)
Obligation pour les fournisseurs de services de communications électroniques (les opérateurs devant être déclarés auprès de l’ARCEP) [dans le cadre de son
activité de fourniture de services de communications électroniques ouverts au public] de notifier les violations de données à caractère personnel aux autorités nationales
compétentes, et dans certains cas, aux personnes concernées.
]
Notification à la CNIL
o Quand ? Dans tous les cas de « violation de données personnelles » quel que soit leur degré de gravité (data security breach), c’est-à-dire « toute
violation de sécurité entrainant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, ou l’accès non autorisé à
des données personnelles ». La notification est effectuée sans délai. La CNIL dispose de deux mois pour se prononcer
o Quoi ? Le responsable de traitement doit notifier à la CNIL, par lettre recommandée avec accusé de réception :
la nature et les conséquences de la violation,
les mesures déjà prises ou proposées pour remédier à la violation,
l’identification et les coordonnées des personnes auprès desquelles des informations supplémentaires peuvent être obtenues,
si possible, une estimation du nombre de personnes susceptibles d’être concernées par la violation.
Notification aux personnes concernées en cas de risque d’atteinte aux données à caractère personnel ou à la vie privée
o Quand? Dans tous les cas où la violation peut porter « atteinte aux données à caractère personnel ou à la vie privée » de l’abonné ou de tout autre
personne. La notification est effectuée sans délai, ou lorsqu’elle est imposée par la CNIL (injonction de la CNIL), dans un délai fixe qui ne peut excéder 1
mois.
o Quoi ? Le responsable de traitement doit notifier aux personnes concernées, par tout moyen permettant d’apporter la preuve de l’accomplissement de
cette formalité: (i) la nature de la violation, (ii) l’identification et les coordonnées des personnes auprès desquelles des informations supplémentaires
peuvent être obtenues, (iii) les mesures recommandées pour atténuer les conséquences négatives de la violation.
Réflexion actuelle sur l’extension de l’obligation à tous les secteurs (considérant 59 de la Directive 2009/136/CE ; article 31 projet de
Règlement sur la protection des données personnelles; article 14 proposition de Directive sur la sécurité des réseaux et de l’information);
Projet de Directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans
l'Union du 7 février 2013
L’article 226-17-1 Code Pénal sanctionne le défaut de notification par 5 ans d'emprisonnement et de 300 000 € d'amende
12
13. Le transfert de données
Hors UE
Le principe
Pas de transfert si l’État n’assure pas un niveau de protection suffisant.
«Pays équivalent»,« Pays adéquat », « Pays non adéquat »
Les exceptions :
o l’existence de clauses contractuelles ou de règles internes reconnues par la CNIL
o interprétation stricte des exceptions de l’article 69 (consentement exprès, exécution
d’un contrat, sauvegarde de la vie de la personne…)
Quid du Cloud ?
Vers un pays non reconnu comme adéquat
Plusieurs possibilités s’offrent à l’entreprise :
Les BCR (règles internes d’entreprises)
Les clauses contractuelles types
Les systèmes régionaux (exemple des Safe harbor)
La standardisation : les normes ISO
13
14. Les recommandations du G29 sur les applications mobiles
Dans un avis publié le 14 mars 2013, le groupe des CNIL européennes (G29) a formulé des
recommandations à l'égard des 4 grandes catégories d'acteurs impliqués dans l'écosystème des
Smartphones :
les développeurs d'applications,
les fournisseurs de système d'exploitation et les fabricants de terminaux mobiles,
les magasins d'applications
les tiers (comme les régies publicitaires ou les opérateurs de télécommunications)
Ces recommandations portent en particulier sur :
La nécessaire limitation des données traitées dans le cadre de l'utilisation de Smartphones : minimisation des
données collectées (seules les données nécessaires au fonctionnement de l'application doivent être recueillies)
L'impératif de transparence à l'égard des utilisateurs : pour ce faire, de véritables privacy policies doivent être
élaborées par les développeurs d'application, des standards (en particulier de sécurité et de règles d'accès aux
données) et des règles simples d'utilisation doivent être proposés
L'amélioration de la maîtrise des informations par les utilisateurs : leur consentement exprès doit être recueilli
avant tout téléchargement d'une application, de même qu'avant toute modification substantielle de ses conditions
de mise en œuvre
L'attention réservée à certaines informations : la collecte de données " sensibles ", financières ou permettant
d'établir le profil social d'une personne devra donner lieu à une réflexion approfondie sur le respect des droits
fondamentaux de la personne concernée et à une information spécifique
La CNIL va s'attacher, en concertation avec les acteurs concernés, à rendre ces recommandations opérationnelles et
effectives.
14