Journée du 30 mars 2018 de l'AAF "Open data et protection des données personnes: où en sommes-nous ?"

1. TABLE RONDE
POLITIQUE D’ARCHIVAGE ET RGPD
Journée AAF « Open data et protection des données personnelles : où
en sommes-nous ? », le 30 mars 2018, Archives nationales
Clothilde HACHIN (CIL, cellule juridique/cellule QMR),
Alexandra PRUM (archiviste, DiDoc - pôle Archives)

2. 2
PRÉSENTATION SANTÉ PUBLIQUE FRANCE
Santé publique France, agence nationale de santé publique:
- établissement public administratif sous tutelle du ministère chargé de la Santé,
- créée par le décret n° 2016-523 du 27 avril 2016 (loi de modernisation du système
de santé (loi n°2016-41 du 26 janvier 2016).
Sa création fait suite à la fusion de 4 établissements en mai 2016 :
- L’InVS (Institut national de Veille Sanitaire),
- L’Inpes (Institut national de prévention et d’éducation pour la santé),
- L’Eprus (Etablissement de préparation et de réponse aux urgences sanitaire),
- Le GIP Adalis (Addictions Drogues Alcool Info Service).
Santé publique France a pour mission de protéger efficacement la santé des populations.
- l'observation épidémiologique et la surveillance de l'état de santé des populations ;
- la veille sur les risques sanitaires menaçant les populations ;
- la promotion de la santé et la réduction des risques pour la santé ;
- le développement de la prévention et de l'éducation pour la santé ;
- la préparation et la réponse aux menaces, alertes et crises sanitaires ;
- le lancement de l'alerte sanitaire.

3. 3
ORGANIGRAMME

4. 4
TYPE DE DONNÉES/DOCUMENTS PRODUITS
Traitements de DCP = tous traitements mis en œuvre par les directions « métiers »
ou « supports »: fichiers Excel, BDD, applications, etc.
Le traitement de données est au cœur de l’activité de l’agence
- Investigations en urgence
- Surveillance
- Études (épidémiologique + prévention)
Mais aussi: gestion des réservistes, RH, etc.
Plus de 150 traitements de données à caractère personnel recensés
Dont les 3/4 comportent des DCP sensibles

5. 5
GESTION DES DONNÉES
Procédure de consultation actuelle (CIL <-> Archiviste) :
- en amont pour la validation des formalités préalables
- en aval, lorsque la durée de conservation est échue (mise en œuvre du traitement
archivistique)
Evolutions:
- Définition de durées d’exploitation « standard » par type de traitement (CIL)
- Intégration de ces durées dans les tableaux de gestion (si possible correspond à la
DUA, mais souvent ajout d’un temps nécessaire à la mise en œuvre du traitement
archivistique + besoins nécessaires en interne)
- Réalisation de 2 mémo commun CIL/archiviste, à destination de l’ensemble des agents
1/ « Gestion des DCP »
2/ « L’anonymisation des BDD comportant des DCP »
- Proposition d’un espace « archivage intermédiaire » en accès restreint + règles
associées
- Sensibilisation / proposition de bonnes pratiques de gestion + de documentation des
données

6. 6
RGPD: ACTIONS MISES EN PLACE
Les principales mesures sont:
- Nomination d’un DPO
- Actualisation / formalisation des procédures
- Recensement et cartographie des DCP
- Centralisation des données sensibles sur un serveur dédié
- Analyse des risques et homologation des applications
- Mise en conformité de la documentation des traitements existants (contrats, lettres
d’information des personnes): nouveau droit: limitation, portabilité et exactement
- Sensibilisation de tous les agents à la protection des données
Coordination RSSI- CIL/DPO – Archiviste – DATA
-> pour le recensement/cartographie et la centralisation

7. 7
QUESTIONNEMENT
- Temps nécessaire au traitement archivistique des DCP = comment le justifier?
Considéré comme une autre finalité de traitement?
- Temps nécessaire au traitement archivistique des DCP = comment le quantifier?
- Principe d’anonymisation, à systématiser le plus possible à l’issue du traitement initial?
- Constat: impact de la mise en conformité au RGPD = documentation approfondie
nécessaire concernant la gestion des DCP + mise en place de mesures
organisationnelles tendant à la standardisation de leur gestion
 Facilite le contrôle