L’info www.cdg60.com

La lettre d’information du Correspondant Informatique et Libertés

Éditorial

2

Agenda

Les formalités de déclaration à la CNIL: questions/réponses

3

Modalités de communication de la liste électorale et des tableaux rectificatifs 6

Revue de presse

8 conseils pour la sécurité du système d’information 4

d e s

c o m p é t e n c e s

a u

s e r v i c e

d e

l

’

e m p l o y e u r

7

t e r r i t o r i a l

Louis CORRE Correspondant Informatique et Libertés - CDG60

INFO CIL NUMÉRO 3 - FÉVRIER - AVRIL 2014

5

ÉDITORIAL

YANNICK LECLERE Directeur Général Centre de Gestion de l’Oise de la Fonction Publique Territoriale

ÉDITORIAL De plus en plus de collectivités souhaitent se mettre en conformité à la Loi Informatique et Libertés, et sollicitent la prestation du Correspondant Informatique et Libertés mutualisé, mise en place par le Cdg60, en partenariat avec l’ADICO. En effet, la mutualisation d’un CIL, au delà d’être un facteur de réduction des coûts, permet aussi de faire bénéficier la collectivité d’un interlocuteur privilégié disposant d’une expérience très riche. Avec la loi n°2010-1563 du 16 décembre 2010 relative à la réforme des collectivités territoriales, la mutualisation va être renforcée, notamment par le “schèma de mutualisation des services” (Art. 67). Inscrire la prestation CIL mutualisé du Cdg60, dans ce schèma de mutualisation des services, peut être intéressant pour les EPCI souhaitant guider ses communes dans l’accomplissement de leurs obligations. Depuis la dernière lettre Info CIL, six collectivités ont compris l’importance d’avoir un CIL qui sera à même de les accompagner, de les guider, et de leur prodiguer un service de qualité. Car aujourd’hui, les questions de respect de la vie privée sont de plus en plus essentielles. Et il est du devoir du Cdg60 de vous conseiller de la manière la plus efficiente sur ce sujet. Excellente lecture.

INFO CIL NUMÉRO 3 - FÉVRIER - AVRIL 2014

Louis CORRE

Correspondant Informatique et Libertés mutualisé Centre de Gestion de l’Oise 03 44 10 18 29 [email protected]

INFO CIL NUMÉRO 1 - NOVEMBRE 2012

2

Le Correspondant Informatique et Libertés (CIL) est avant tout l’intermédiaire entre la CNIL et l’organisme qui le désigne. Il a pour mission principale l’interprétation et l’application des normes produites par la CNIL. De formation juridique et ayant suivi les formations de la CNIL, Louis CORRE, sensible à la protection des données personnelles, est le Correcpondant Informatique et Libertés du Cdg60. La CNIL préconise aux organismes traitant des données à caractère personnel de procéder à la désignation d’un CIL. Cet accompagnement permet aux collectivités de se conformer à la loi Informatique et Libertés. Le Centre de Gestion de l’Oise, en partenariat avec l’ADICO (Association pour le Développement Informatique des Collectivités de l’Oise) met à votre disposition un CIL mutualisé afin de répondre à ce besoin.

AGENDA

AGENDA Mars 2014 CIL News - La Newsletter d’information Informatique et Libertés du Cdg60 - n°4

Mai 2014 Info CIL n°4

INFO CIL NUMÉRO 3 - FÉVRIER - AVRIL 2014

3

4

8 C O N S E I L S P O U R L A S É C U R I T É D U S Y S T E M E D ’ I N F O R M AT I O N

8 CONSEILS POUR LA SÉCURITÉ DU SYSTEME D’INFORMATION 1 - Adopter une politique de mot de passe rigoureuse L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu’ils utilisent euxmêmes.

dans un fichier, est fortement recommandé. 4. Identifier précisément qui peut avoir accès aux fichiers L’accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l’exécution des missions qui leur sont confiées. Une vérification périodique des profils des applications et des droits d’accès aux répertoires sur les serveurs est donc nécessaire afin de s’assurer de l’adéquation des droits offerts et de la réalité des fonctions occupées par chacun. 5. Veiller à la confidentialité des données vis-à-vis des prestataires

L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…), afin de pouvoir éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants.

Les interventions des divers sous-traitants du système d’information d’un responsable de traitement doivent présenter les garanties suffisantes en terme de sécurité et de confidentialité à l’égard des données auxquels ceux-ci peuvent, le cas échéant, avoir accès. La loi impose ainsi qu’une clause de confidentialité soit prévue dans les contrats de sous-traitance. Les éventuelles interventions d’un prestataire sur des bases de données doivent se dérouler en présence d’un salarié du service informatique et être consignées dans un registre. Les données qui peuvent être considérées « sensibles » au regard de la loi, par exemple des données de santé ou des données relatives à des moyens de paiement, doivent au surplus faire l’objet d’un chiffrement.

3. Sécuriser les postes de travail

6. Sécuriser le réseau local

Les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum) ; les utilisateurs doivent également être incités à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau. Par ailleurs, le contrôle de l’usage des ports USB sur les postes « sensibles », interdisant par exemple la copie de l’ensemble des données contenues

Un système d’information doit être sécurisé vis-à-vis des attaques extérieures.

2. Concevoir une procédure de création et de suppression des comptes utilisateurs

Un premier niveau de protection doit être assuré par des dispositifs de sécurité logique spécifiques tels que des routeurs filtrants (ACL), pare-feu, sonde anti intrusions, etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour

INFO CIL NUMÉRO 3 - FÉVRIER - AVRIL 2014

mettre à jour ces outils, tant sur le serveur que sur les postes des agents. La messagerie électronique doit évidemment faire l’objet d’une vigilance particulière. Les connexions entre les sites parfois distants d’une collectivité locale doivent s’effectuer de manière sécurisée, par l’intermédiaire des liaisons privées ou des canaux sécurisés par technique de « tunneling » ou VPN (réseau privé virtuel). Il est également indispensable de sécuriser les réseaux sans fil compte tenu de la possibilité d’intercepter à distance les informations qui y circulent : utilisation de clés de chiffrement, contrôle des adresses physiques des postes clients autorisés, etc. Enfin, les accès distants au système d’information par les postes nomades doivent faire préalablement l’objet d’une authentification de l’utilisateur et du poste. Les accès par internet aux outils d’administration électronique nécessitent également des mesures de sécurité fortes, notamment par l’utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS. 7. Sécuriser l’accès physique aux locaux L’accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités. 8. Anticiper et formaliser une politique de sécurité du système d’information L’ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l’ensemble des agents ou des salariés. Sa rédaction requiert l’inventaire préalable des éventuelles menaces et vulnérabilités qui pèsent sur un système d’information. Il convient de faire évoluer régulièrement ce document, au regard des modifications des systèmes et outils informatiques utilisés par l’organisme concerné. Enfin, le paramètre « sécurité » doit être pris en compte en amont de tout projet lié au système d’information.

L A

L b i t s d

A l ( s d

C r l t p a t e d d c

L E S F O R M A L I T É S D E D É C L A R AT I O N A L A C N I L

LES FORMALITÉS DE DÉCLARATION A LA CNIL / QUESTIONS/RÉPONSES Pourquoi, quand et qui doit effectuer les déclarations des fichiers de données personnelles ? La déclaration des fichiers contenant des données à caractère personnel est une obligation légale (art. 22 de la loi Informatique et Libertés), qui a plusieurs objectifs : - Elle assure à la CNIL que le fichier est conforme à la loi ; - Elle pose le principe de transparence face aux administrés ; - Elle participe à la sensibilisation du responsable de traitement, aux principes de protection des données ; - C’est un élément de sécurité juridique, notamment pour les élus dont la responsabilité pénale peut être engagée. La loi pose le principe que la déclaration doit être effectuée au préalable de la mise en œuvre du traitement. Bien sur, une « régularisation » est possible à n’importe quel moment. C’est au responsable de traitement de procéder à la déclaration. Il s’agit de l’organe exécutif d’une collectivité (ex : maire ou président de l’EPCI concerné). Que doit-on déclarer à la CNIL ? Tout fichier informatisé contenant des données qui concernent et permettent d’identifier directement ou indirectement des personnes physiques (ex : nom, prénom, numéro de téléphone, adresse…). Pour simplifier les procédures, la loi a dispensé certains fichiers les plus courants de déclaration. Cependant, cela ne dispense en rien de respecter les dispositions de la loi Informatique et Libertés. Et concernant les fichiers papiers ? En principe, ces traitements ne sont pas soumis à l’obligation de déclaration. Toutefois, certains traitements jugés « sensibles » doivent faire l’objet de demande d’autorisation. Il s’agit, dans ce cas, des traitements de données relatives aux origines raciales ou ethniques, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale, la santé ou la vie sexuelle des personnes.

Bien sur, l’absence de déclaration ne dispense pas le responsable du traitement « manuel » de respecter les grands principes de la loi (légitimité de la finalité ; pertinence des données ; durée de conservation limité ; obligation de sécurité ; respect des droits des personnes). Dans quel cas doit-on modifier une déclaration ? Il faut signaler à la CNIL toute modification substantielle du traitement. Celle-ci considère qu’il s’agit de modification portant sur les coordonnées de l’organisme déclarant, la finalité du traitement, les informations enregistrées ainsi que les destinataires. En revanche, le changement d’un dirigeant de la collectivité n’est pas considéré comme substantiel. Quel sont les différents régimes de déclaration ? - Norme simplifiée (art 24) : Ce sont les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés, la Commission nationale de l’informatique et des libertés établit et publie, après avoir reçu le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs, des normes destinées à simplifier l’obligation de déclaration. Il s’agit, donc, d’un engagement de conformité à une norme simplifiée. - Déclaration normale, régime de base (article 23 de la loi) : Le responsable de traitement doit déclarer certains traitements auprès de la Cnil. Aux termes de l’article 23 de la loi du 6 janvier 1978 modifiée, « la déclaration comporte l’engagement que le traitement satisfait aux exigences de la loi ». Il appartient à la personne responsable du traitement de le déclarer préalablement à la mise en œuvre du traitement ou fichier.

d’exclure du bénéfice d’un droit, d’une prestation ou d’un contrat (ex : fichiers de parents « mauvais payeurs » des factures de cantine scolaire). - la demande d’avis (articles 26 et 27) pour certains traitements intéressant la sureté de l’Etat, défense ou sécurité publique, pour les traitements aux fins de recherche ou de poursuite d’une infraction pénale, pour l’utilisation du NIR (numéro de sécurité sociale), la consultation du répertoire national d’identification des personnes physiques, ou encore la mise ne place d’un téléservice de l’administration électronique utilisant un identifiant d’une personne physique. Peut-on simplifier les déclarations ? La difficulté rencontrée au moment d’effectuer les formalités préalable réside dans le choix de la déclaration. En effet, il faut vérifier si le traitement relève de la dispense, d’une norme simplifiée, d’une déclaration normale, d’une demande d’autorisation ou encore d’une demande d’avis. La désignation d’un Correspondant Informatique et Libertés permet de bénéficier d’un allègement considérable des formalités. La collectivité qui désigne un CIL est exonérée de l’obligation de déclaration préalable des traitements ordinaires et courants. Seuls les traitements identifiés comme sensibles dans la loi demeurent soumis à autorisation et continuent de faire l’objet de formalités. Cependant, le CIL accompagnera la collectivité dans ses démarches afin d’être un réel facteur de simplification des formalités administratives.

Les autres formalités sont : - la demande d’autorisation (article 25) pour certains traitements qui enregistrent des données dites sensibles (définition à l’article 8, comme par exemple, origine raciale ou ethnique ; opinion philosophique, politique, syndicale, ou religieuse ; vie sexuelle ou santé des personnes). Ou encore des traitements susceptibles

INFO CIL NUMÉRO 3 - FÉVRIER - AVRIL 2014

5

6

M O D A L I T É S D E C O M M U N I C AT I O N D E L A L I S T E É L E C T O R A L E ...

MODALITÉS DE COMMUNICATION DE LA LISTE ÉLECTORALE ET DES TABLEAUX RECTIFICATIFS La publicité de la liste électorale et de ses tableaux rectificatifs est organisée par le Code électoral. Celuici déroge largement aux règles d’accès aux données nominatives et à la préservation de la vie privée. Cependant, un certain nombre de règles encadrent cette communication. La communication de la liste électorale et des tableaux rectificatifs : une obligation. Les articles L. 28 et R. 16 du Code électoral permettent à tout électeur d’obtenir communication de toute liste électorale. En ce qui concerne les tableaux rectificatifs, l’article R. 10 du Code électoral dispose que : « Tout requérant peut en prendre communication, le recopier et le reproduire par la voie de l’impression. Le jour même du dépôt, le tableau est affiché par le maire aux lieux accoutumés, où il devra demeurer pendant dix jours ». La circulaire du 25 juillet 2013 a levé l’ambiguïté de l’utilisation du terme « requérant » par l’article R. 10 du Code électoral, en autorisant très largement tant la consultation que la reproduction du dit tableau : « Toute personne peut prendre communication du tableau du 10 janvier, le recopier, l’imprimer ou en faire une photo ». En revanche, la consultation de la liste électorale n’obéit pas au même principe puisqu’est expressément mentionnée l’exigence de la qualité d’électeur. Ainsi, tout électeur peut prendre communication et copie de la liste électorale à la mairie, ou à la préfecture pour l’ensemble des communes du département à la condition de s’engager à ne pas en faire un usage purement commercial. En revanche, rien n’empêche que celle-ci soit communiquée à titre onéreux à ceux qui en font la demande. Il est donc possible de faire appliquer le décret 2001-493 du 6 juin 2001 qui définit les coûts de reproduction. Il est surtout, nécessaire, avoir une égalité totales des traitements entre les demandeurs, tant pour le prix que pour les modalités de communication.

Une communication large mais encadrée. Il est exigé de celui qui demande la communication de la liste électorale de remplir une attestation, où il s’engage à ne pas faire un usage strictement commercial des informations contenues dans ces listes. La Commission d’accès aux documents administratifs (CADA) considère que « le caractère purement commercial ou non de l’usage des listes s’apprécie au regard de l’objet de la réutilisation envisagée et de l’activité dans laquelle elle s’inscrit, la forme juridique du réutilisateur et le caractère onéreux ou non de l’usage constituant à cet égard de simples indices. Doivent être regardées comme purement commerciales non seulement la commercialisation des données, le cas échéant après retraitement, mais aussi leur utilisation dans le cadre d’une activité à but exclusivement lucratif » (CADA, avis n° 20091074, 2 avril 2009). De plus, l’affichage des tableaux rectificatifs est contrôlé par le juge administratif, saisi par le préfet en application de l’article L. 20 du Code électoral. Bien que le Conseil d’Etat a considéré que l’absence d’affichage pouvait entrainer l’annulation de l’élection, il est interdit de publier ce tableau sur internet. En effet, la CNIL, par la délibération n° 2012-320 du 20 septembre 2012, a porté un avertissement public à l’encontre de la commune de Montreuil (93) pour avoir publié sur internet leur tableau rectificatif. En raison de l’indexation par les moteurs de recherche de la liste, celle-ci était devenue consultable après les 10 jours de publication légale, en dépit du fait que la commune avait pourtant bien procédé au retrait du document de son site internet dans les délais. Ainsi, la liste électorale et les tableaux la modifiant bénéficient d’une dérogation aux règles usuelles de communication des données personnelles. Cependant, cette communication est encadrée et justifiée par la possibilité qui est offerte de contrôler la qualité de la liste et d’en purger toute suspicion d’électeur fictivement inscrit.

INFO CIL NUMÉRO 3 - FÉVRIER - AVRIL 2014

Les Élections 2014 vu par l’observatoire de la CNIL Comme pour les élections présidentielles et législatives de 2012, la CNIL déploie son « observatoire des élections » afin d’accompagner les partis et les candidats à se mettre en conformité de la Loi Informatique et Libertés. Cet observatoire a pour mission : - D’accompagner les partis et les candidats dans la mise en place de leurs opérations de communication politique, en leur fournissant des outils et conseils pratiques pour se conformer à la loi « Informatique et Libertés » ; - de réagir rapidement aux pratiques qui pourraient révéler une méconnaissance de la loi « Informatique et Libertés », en assurant un traitement rapide des témoignages reçus et, le cas échéant, en menant des contrôles ; - de réagir rapidement aux pratiques qui pourraient révéler une méconnaissance de la loi « Informatique et Libertés », en assurant un traitement rapide des témoignages reçus et, le cas échéant, en menant des contrôles ; - de renseigner les électeurs sur leurs droits, en mettant à disposition des fiches pratiques sur le site internet de la CNIL ; - de proposer aux pouvoirs publics des pistes d’amélioration du cadre juridique existant en matière de communication politique. La CNIL a mis à disposition des collectivités un guide pratique relatif à la communication politique rappelant les obligations légales et les bonnes pratiques/ http://www.cnil.fr/fileadmin/documents/Guides_pratiques/ CNIL_Politique.pdf

REVUE DE PRESSE

REVUE DE PRESSE “Les documents cadastraux sont-ils librement communicables à tout usager qui en fait la demande ?” La Gazette - 16 décembre 2013, page 47

La CNIL condamne Google à 150.000 Euros d’amende Lefigaro.fr - 8 janvier 2014

L’article L.107 A du Livre des procédures fiscales (LPF) confère une assise législative à la communication des informations de la matrice cadastrale. Cette communication ne peut être que ponctuelle pour préserver la vie privée des personnes et permettre aux services de l’administration fiscale et aux communes de refuser les demandes portant sur un nombre excessif d’informations, notamment celles présentées par les investisseurs ou prospecteurs qui visent à obtenir la communication de l’intégralité des documents cadastraux se rapportant à un secteur donné. Les articles R.107 A-1 à R.107 A-7 du LPF précisent les règles de communication des relevés de propriété issus de la matrice cadastrale. Les services de l’administration fiscale comme les communes ne peuvent pas déroger aux dispositions législatives et réglementaires précitées et délivrer, en dehors des conditions posées par la réglementation, des renseignements à des entreprises privées qui ne sont pas chargées de l’exécution d’un service public.

La Commission nationale de l’informatique et des libertés en France (Cnil) a annoncé avoir sanctionné de l’amende maximale de 150.000 euros le géant américain Google, qui refuse toujours de rendre conforme au droit français sa politique de confidentialité des données sur internet. La sanction pécuniaire s’accompagne de l’obligation de publier “un communiqué relatif à cette décision sur la page d’accueil de google.fr sous huit jours à compter de la notification” de cette décision, et ce pendant 48 heures, a précisé la Cnil. Le contentieux concerne la politique de confidentialité de Google qui a fusionné en mars 2012 une soixantaine de règles d’utilisation en une seule, regroupant ainsi les informations de ses services autrefois séparés, comme la messagerie Gmail et le réseau communautaire Google+. La Cnil avait alors demandé à Google de faire état de la finalité des données personnelles qu’il collecte lorsqu’un internaute utilise ses services ou surfe sur son moteur de recherche, et qu’il définisse une durée de conservation de ces données. Elle demandait aussi que le groupe informe et demande leur accord préalable aux utilisateurs avant d’installer dans leurs terminaux des “cookies”, ces fichiers mouchards qui suivent l’internaute à la trace et permettent le ciblage publicitaire. En septembre 2013, la Cnil avait constaté que Google n’avait “pas effectué les modifications demandées”. Dans ce contexte, la présidente de la Cnil, Isabelle Falque-Pierrotin, avait indiqué qu’elle allait “désigner un rapporteur aux fins d’engager une procédure formelle de sanction, telle que prévue par la loi Informatique et Libertés” dans un délai de trois mois. La Cnil n’est pas la seule à avoir Google dans son collimateur : les nouvelles règles de confidentialité ont été attaquées d’une seule voix fin 2012 par les 27 autorités européennes de protection des données, qui l’ont toutes sommé de se mettre en conformité avec la directive européenne Informatique et Libertés. Six d’entre elles - celles de France, d’Allemagne, du Royaume-Uni, d’Italie, d’Espagne et des Pays-Bas - sont allées plus loin en avril et sont “passées à l’action”, chacune en vertu des procédures en vigueur dans leur pays. Ainsi, l’organisme espagnol de surveillance d’internet a ordonné à Google le 19 décembre de payer une amende de 900.000 euros pour de “graves violations” de la vie privée.

INFO CIL NUMÉRO 3 - FÉVRIER - AVRIL 2014

7