Accueil  >  Boîte à outils > Traitements automatisés de données à caractère personnel et déclaration CNIL simplifiée

Rubrique Usages et sécurité informatique

Traitements automatisés de données à caractère personnel et déclaration CNIL simplifiée

Le 1er octobre 2012 - Francis

Traitements automatisés de données à caractère personnel

La mise en place d’un ENT nécessite une déclaration à la CNIL, voici un bref aperçu des textes régissant ce type d’outil.

Concernant la déclaration de CLOE, vous pouvez vous reporter à l’article : déclaration CNIL pour CLOE

LA LOI « INFORMATIQUE ET LIBERTES » DU 6 JANVIER 1978

La présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers.Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624&dateTexte=20110404

LA LOI DU 6 AOUT 2004 RELATIVE A LA PROTECTION DES PERSONNES PHYSIQUES A L’EGARD DES TRAITEMENTS DE DONNEES à CARACTERE PERSONNEL :

Dernier Etat à transposer la directive européenne 95/46 CE du 24 octobre 1995 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, la France a fait le choix, symbolique, de maintenir la loi « informatique et libertés » du 6 janvier 1978 tout en la remaniant profondément. http://www.cnil.fr/fileadmin/documents/approfondir/dossier/loi78-17/CNIL-dossier-nouvelleloi.pdf

Arrêté du 30 novembre 2006

Arrêté du 30 novembre 2006 portant création, au sein du ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche, d’un traitement de données à caractère personnel relatif aux espaces numériques de travail (ENT) ( http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/193/ ) (Journal officiel n° 288 du 13 décembre 2006, texte n° 24).

Documentation : Guide informatique et libertés

http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL_Guide_enseignement.pdf

Les principes

Principes de la protection des données personnelles

Les informations que les établissements de l’enseignement secondaire traitent informatiquement pour remplir leurs missions de service public doivent être protégées parce qu’elles relèvent de la vie privée et parce que leur divulgation est susceptible de porter atteinte aux droits et libertés des personnes concernées.

Le principe de finalité : une utilisation encadrée des fichiers

Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions de l’établissement, responsable du traitement. C’est au directeur d’établissement qu’il appartient de fixer la finalité des traitements mis en œuvre pour le compte de son établissement et de la faire respecter.

Le principe de sécurité et de confidentialité

Les données contenues dans les fichiers ne peuvent être consultées que par les services habilités à y accéder en raison de leurs fonctions.Exemple : Veiller à ce que chaque utilisateur ait un mot de passe individuel régulièrement changé et que les modalités d’accès soient précisément définies.

Le responsable du traitement doit prendre toutes les mesures pour empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.Exemple : S’il est fait appel à un prestataire externe, des garanties contractuelles doivent être envisagées (4) .

Le principe du respect du droit des personnes

Toute personne (élèves, enseignants, parents, personnels de l’établissement) doit être informer des données contenues dans les fichiers, a le droit de les faire rectifier et a le droit de s’opposer, pour des motifs légitimes, à ce que des données la concernant soient enregistrées dans un fichier informatique, sauf si celui-ci présente un caractère obligatoire.Exemple : Le fichier de gestion administrative des élèves présentent un caractère obligatoire.