1. TABLE RONDE
POLITIQUE D’ARCHIVAGE ET RGPD
Journée AAF « Open data et protection des données personnelles : où
en sommes-nous ? », le 30 mars 2018, Archives nationales
Clothilde HACHIN (CIL, cellule juridique/cellule QMR),
Alexandra PRUM (archiviste, DiDoc - pôle Archives)
2. 2
PRÉSENTATION SANTÉ PUBLIQUE FRANCE
Santé publique France, agence nationale de santé publique:
- établissement public administratif sous tutelle du ministère chargé de la Santé,
- créée par le décret n° 2016-523 du 27 avril 2016 (loi de modernisation du système
de santé (loi n°2016-41 du 26 janvier 2016).
Sa création fait suite à la fusion de 4 établissements en mai 2016 :
- L’InVS (Institut national de Veille Sanitaire),
- L’Inpes (Institut national de prévention et d’éducation pour la santé),
- L’Eprus (Etablissement de préparation et de réponse aux urgences sanitaire),
- Le GIP Adalis (Addictions Drogues Alcool Info Service).
Santé publique France a pour mission de protéger efficacement la santé des populations.
- l'observation épidémiologique et la surveillance de l'état de santé des populations ;
- la veille sur les risques sanitaires menaçant les populations ;
- la promotion de la santé et la réduction des risques pour la santé ;
- le développement de la prévention et de l'éducation pour la santé ;
- la préparation et la réponse aux menaces, alertes et crises sanitaires ;
- le lancement de l'alerte sanitaire.
4. 4
TYPE DE DONNÉES/DOCUMENTS PRODUITS
Traitements de DCP = tous traitements mis en œuvre par les directions « métiers »
ou « supports »: fichiers Excel, BDD, applications, etc.
Le traitement de données est au cœur de l’activité de l’agence
- Investigations en urgence
- Surveillance
- Études (épidémiologique + prévention)
Mais aussi: gestion des réservistes, RH, etc.
Plus de 150 traitements de données à caractère personnel recensés
Dont les 3/4 comportent des DCP sensibles
5. 5
GESTION DES DONNÉES
Procédure de consultation actuelle (CIL <-> Archiviste) :
- en amont pour la validation des formalités préalables
- en aval, lorsque la durée de conservation est échue (mise en œuvre du traitement
archivistique)
Evolutions:
- Définition de durées d’exploitation « standard » par type de traitement (CIL)
- Intégration de ces durées dans les tableaux de gestion (si possible correspond à la
DUA, mais souvent ajout d’un temps nécessaire à la mise en œuvre du traitement
archivistique + besoins nécessaires en interne)
- Réalisation de 2 mémo commun CIL/archiviste, à destination de l’ensemble des agents
1/ « Gestion des DCP »
2/ « L’anonymisation des BDD comportant des DCP »
- Proposition d’un espace « archivage intermédiaire » en accès restreint + règles
associées
- Sensibilisation / proposition de bonnes pratiques de gestion + de documentation des
données
6. 6
RGPD: ACTIONS MISES EN PLACE
Les principales mesures sont:
- Nomination d’un DPO
- Actualisation / formalisation des procédures
- Recensement et cartographie des DCP
- Centralisation des données sensibles sur un serveur dédié
- Analyse des risques et homologation des applications
- Mise en conformité de la documentation des traitements existants (contrats, lettres
d’information des personnes): nouveau droit: limitation, portabilité et exactement
- Sensibilisation de tous les agents à la protection des données
Coordination RSSI- CIL/DPO – Archiviste – DATA
-> pour le recensement/cartographie et la centralisation
7. 7
QUESTIONNEMENT
- Temps nécessaire au traitement archivistique des DCP = comment le justifier?
Considéré comme une autre finalité de traitement?
- Temps nécessaire au traitement archivistique des DCP = comment le quantifier?
- Principe d’anonymisation, à systématiser le plus possible à l’issue du traitement initial?
- Constat: impact de la mise en conformité au RGPD = documentation approfondie
nécessaire concernant la gestion des DCP + mise en place de mesures
organisationnelles tendant à la standardisation de leur gestion
Facilite le contrôle
Notas do Editor
625 agents (dont 130 en Cire + délocalisés) + 2000 réservistes
organisée autour de
-10 directions scientifiques et transversales
-6 directions assurant le support et le soutien à l'activité.
Elle a sous son autorité des Cellules d'intervention en région (x15), placées au plus près des directeurs généraux des agences régionales de santé.
(Centres d’écoute en région-dispositif DADP)
Focus missions: cellule juridique/QMR/RSSI, DiDoc, DATA
Centralisation = mesure de sécurité organisationnelle – ajustement pour la mise en conformité RGPD mais aussi SNDS.
Problématique de la multiplicité des interlocuteurs AD/AN: à évoquer oralement