Fil d'actualité du Service Informatique et libertés du CNRS

Correspondant Informatique et Libertés

Centre national de la recherche scientifique

Accueil du siteDéclaration au CILComment inscrire un traitement dans le registre du CIL ?

Comment inscrire un traitement dans le registre du CIL ?

Page publiée le 20 octobre 2011, mise à jour le 10 avril 2017

Les inscriptions doivent être faites auprès du Correspondant informatique et libertés du CNRS à l’aide du "Formulaire de déclaration d’un traitement" et envoyées avec les documents d’information complémentaire à cil.demandes-chez-cnrs.fr

Tous les traitements de données à caractère personnel doivent être inscrits préalablement à leur mise en oeuvre dans le registre du Correspondant Informatique et Libertés

Le Correspondant Informatique et Libertés analyse le formulaire d’inscription du traitement et en fonction de la la finalité du traitement et la nature des données collectées soit il donne son autorisation pour la mise en œuvre du traitement et l’inscrit au registre CNRS soit il instruit une demande d’autorisation ou d’avis préalables auprès de la CNIL.

En effet pour les données sensibles et les traitements susceptibles de porter atteinte aux droits et libertés des personnes limitativement énumérés par la loi, la mise en oeuvre de ces traitements est soumise à une autorisation de la CNIL ou à un acte réglementaire pris après avis de la CNIL.

Les traitements ayant pour fin la recherche dans le domaine de la santé sont soumis à l’autorisation préalable de la CNIL. Les traitements de données de santé à caractère personnel à des fins d’évaluation ou d’analyse des pratiques ou des activités de soins et de prévention sont soumis à des dispositions spécifiques de la loi [1]

En pratique

Remplissez le Formulaire d’inscription d’un traitement au registre du CIL

Formulaire à télécharger

PDF - 861.9 ko

Remplissez le formulaire (pdf intéractif), enregistrez-le et envoyez le à cil.demandes-chez-cnrs.fr.

Aide pour la compréhension des rubriques du formulaire

quelques définitions
  • une donnée à caractère personnel : « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement »
  • un traitement : « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »
Service chargé de la mise en œuvre du traitement
C’est le service chargé de l’exploitation informatique du fichier. Dans la plupart des cas, il est à la même adresse que le siège social de l’organisme. Dans les grosses entités, il peut avoir une adresse différente qu’il est important de mentionner.

Si le traitement est assuré par un tiers ou un service n’appartenant pas à l’entité déclarante le préciser et compléter l’information dans un document annexe en précisant les noms, prénoms ou raison sociale, coordonnées.

Personnes concernées par le traitement
Ce sont les personnes dont les données personnelles sont collectées :
  • salariés CNRS
  • salariés autre organisme ou entreprise partenaire, doctorants
  • usagers d’une application utilisant ces données
  • adhérents d’un service, abonnés d’une lettre, d’une liste de diffusion
  • clients ou contacts actuels ou potentiels
  • visiteurs d’un lieu, d’une manifestation
  • participants à un colloque
  • panel de personnes étudiées dans un cadre de recherche
  • etc.
Finalité du traitement effectué
La finalité est l’objectif principal d’une application informatique de données personnelles. Exemples de finalité : gestion des recrutements, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.
Technologies particulières utilisées collectant des informations à caractère personnel
  • dispositif sans contact (par ex. RFID [2], NFC [3])
  • carte à puce
  • vidéosurveillance
  • mécanisme d’anonymisation
  • géo localisation (par ex. GPS [4])
  • nanotechnologie
Description du traitement
voir des exemples de traitements effectués au CNRS
  • site internet,
  • intranet,
  • bases de données (fichier excel, mysql, etc.)
  • enquêtes
  • collecte et traitement de données
  • etc.
Rapprochements et interconnexions avec d’autres traitements
On peut définir l’interconnexion comme la mise en relation automatisée d’informations provenant de fichiers ou de traitements qui étaient au préalable distincts. La loi soumet à autorisation de la CNIL les traitements d’inter­connexion des fichiers de données à caractère personnel dont la finalité principale est différente. voir l’article concerné
Type de données personnelles traitées
  • état civil, identité
  • vie personnelle (habitudes de vie, situation familiale)
  • vie professionnelle (CV, scolarité, formation professionnelle, distinctions, publications, etc.)
  • informations d’ordre économique et financier
  • (revenus, situation financière, situation fiscale, etc.)
  • données de connexion (adresses IP, logs, etc.)
  • données de localisation (déplacements, données GPS, GSM, etc.)
  • N° de sécurité sociale (NIR)
  • infractions, condamnations, mesures de sureté
  • opinions religieuses
  • opinions philosophiques
  • opinions politiques
  • opinions syndicales
  • vie sexuelle
  • données de santé
  • origine raciale ou ethnique
  • photographies, vidéos, enregistrements audio
  • données comportementales, de mode de vie
  • etc
Origine des données
Comment les données ont-elles été collectées ?
  • directement auprès de la personne
  • de manière indirecte à préciser
Durée nécessaire de conservation
Combien de temps sont conservées les données sur support informatique ou manuel ? Les données à caractère personnel doivent être conservées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Pour information :
Référentiel non officiel de la CNIL des durées de conservation :


Télécharger le document

PDF - 674.6 ko
Référentiel durées de conservation

http://www.afcdp.net/IMG/pdf/Refere...


Délais de conservation des archives des documents administratifs des délégations, des services et des unités du CNRS
http://www.cil.cnrs.fr/CIL/spip.php...

Echange de données
oui ou non
si oui
  • avec d’autres services au sein de l’organisme (CNRS) déclarant
  • avec des entités extérieures au CNRS
Destinataire des données
Organismes auxquels sont transmis les données.
Service auprès duquel s’exercent les droits des personnes concernées

Coordonnées du service chargé de répondre aux demandes de droit d’accès

  • nom ou raison sociale
  • mail
  • téléphone
  • adresse éventuelle
Dispositions existantes pour assurer la sécurité des données
  • accès physique au traitement protégé
  • procédé d’authentification des utilisateurs (mot de passe, carte à puce, certificat, signature, ...)
  • journalisation des connexions
  • traitement réalisé sur un réseau interne non relié à internet
  • données ou canal de transport chiffrés si échanges en réseau
Transfert des données vers pays hors UE
Transfert de tout ou partie des données traitées vers un pays hors de l’Union européenne et n’assurant pas un niveau de protection suffisant voir l’article concerné
Oui ou non
Si oui préciser le pays
Information publique sur le traitement
oui ou non
Si oui : Comment sont informées les personnes concernées de leurs droits (accès, opposition, rectification) ? voir la rubrique correspondante
  • mentions légales sur formulaire
  • mentions sur site internet
  • affichage
  • envoi de courrier personnalisé
  • autres mesures à préciser

Consultez sur le site les pages des réponses aux questions les plus fréquentes sur les traitements concernant


Notes

[1] Articles 62 à 66 de la loi.

[2] La radio-identification plus souvent désignée par le sigle RFID (de l’anglais Radio Frequency IDentification) est une méthode pour mémoriser et récupérer des données à distance en utilisant des marqueurs appelés « radio-étiquettes » (« RFID tag » ou « RFID transponder » en anglais). Les radio-étiquettes sont de petits objets, tels que des étiquettes autoadhésives, qui peuvent être collés ou incorporés dans des objets ou produits et même implantés dans des organismes vivants (animaux, corps humain). Les radio-étiquettes comprennent une antenne associée à une puce électronique qui leur permet de recevoir et de répondre aux requêtes radio émises depuis l’émetteur-récepteur. Ces puces électroniques contiennent un identifiant et éventuellement des données complémentaires. Cette technologie d’identification peut être utilisée pour identifier les objets, comme avec un code à barres (on parle alors d’étiquette électronique) ; les personnes, en étant intégrée dans les passeports, carte de transport, carte de paiement (on parle alors de carte sans contact).source wikipedia

[3] La communication en champ proche (Near Field Communication), habituellement appelée NFC , est une technologie de communication sans-fil à courte portée et haute fréquence, permettant l’échange d’informations entre des périphériques jusqu’à une distance d’environ 10 cm. Cette technologie est une extension de la norme ISO/CEI 14443 standardisant les cartes de proximité utilisant la RFID (Radio Frequency IDentification), qui combinent l’interface d’une carte à puce et un lecteur au sein d’un seul périphérique. Un périphérique NFC est capable de communiquer autant avec le matériel ISO/CEI 14443 existant qu’avec un autre périphérique NFC, et est tout autant compatible avec les infrastructures sans-contact existantes déjà en utilisation dans les transports en commun et les terminaux de paiement. La NFC est à la base conçue pour un usage dans les téléphones mobiles.source wikipedia

[4] Le Global Positioning System (GPS) – que l’on peut traduire en français par « système de positionnement mondial » – est un système de géolocalisation fonctionnant au niveau mondial. En 2010, il est avec GLONASS, un système de positionnement par satellites entièrement opérationnel et accessible au grand public. source wikipedia couplé avec GSM/GPRS [[Global System for Mobile Communications, selon la liste des sigles en télécommunications et la liste des sigles de la téléphonie mobile. Le General Packet Radio Service ou GPRS est une norme pour la téléphonie mobile dérivée du GSM permettant un débit de données plus élevé. On le qualifie souvent de 2,5G. Le G est l’abréviation de génération et le 2,5 indique que c’est une technologie à mi-chemin entre le GSM (2e génération) et l’UMTS (3e génération). source wikipedia