Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Présentation de Santé publique France

2,716 views

Published on

Journée du 30 mars 2018 de l'AAF "Open data et protection des données personnes: où en sommes-nous ?"

Published in: Data & Analytics
  • Be the first to comment

  • Be the first to like this

Présentation de Santé publique France

  1. 1. TABLE RONDE POLITIQUE D’ARCHIVAGE ET RGPD Journée AAF « Open data et protection des données personnelles : où en sommes-nous ? », le 30 mars 2018, Archives nationales Clothilde HACHIN (CIL, cellule juridique/cellule QMR), Alexandra PRUM (archiviste, DiDoc - pôle Archives)
  2. 2. 2 PRÉSENTATION SANTÉ PUBLIQUE FRANCE Santé publique France, agence nationale de santé publique: - établissement public administratif sous tutelle du ministère chargé de la Santé, - créée par le décret n° 2016-523 du 27 avril 2016 (loi de modernisation du système de santé (loi n°2016-41 du 26 janvier 2016). Sa création fait suite à la fusion de 4 établissements en mai 2016 : - L’InVS (Institut national de Veille Sanitaire), - L’Inpes (Institut national de prévention et d’éducation pour la santé), - L’Eprus (Etablissement de préparation et de réponse aux urgences sanitaire), - Le GIP Adalis (Addictions Drogues Alcool Info Service). Santé publique France a pour mission de protéger efficacement la santé des populations. - l'observation épidémiologique et la surveillance de l'état de santé des populations ; - la veille sur les risques sanitaires menaçant les populations ; - la promotion de la santé et la réduction des risques pour la santé ; - le développement de la prévention et de l'éducation pour la santé ; - la préparation et la réponse aux menaces, alertes et crises sanitaires ; - le lancement de l'alerte sanitaire.
  3. 3. 3 ORGANIGRAMME
  4. 4. 4 TYPE DE DONNÉES/DOCUMENTS PRODUITS Traitements de DCP = tous traitements mis en œuvre par les directions « métiers » ou « supports »: fichiers Excel, BDD, applications, etc. Le traitement de données est au cœur de l’activité de l’agence - Investigations en urgence - Surveillance - Études (épidémiologique + prévention) Mais aussi: gestion des réservistes, RH, etc. Plus de 150 traitements de données à caractère personnel recensés Dont les 3/4 comportent des DCP sensibles
  5. 5. 5 GESTION DES DONNÉES Procédure de consultation actuelle (CIL <-> Archiviste) : - en amont pour la validation des formalités préalables - en aval, lorsque la durée de conservation est échue (mise en œuvre du traitement archivistique) Evolutions: - Définition de durées d’exploitation « standard » par type de traitement (CIL) - Intégration de ces durées dans les tableaux de gestion (si possible correspond à la DUA, mais souvent ajout d’un temps nécessaire à la mise en œuvre du traitement archivistique + besoins nécessaires en interne) - Réalisation de 2 mémo commun CIL/archiviste, à destination de l’ensemble des agents 1/ « Gestion des DCP » 2/ « L’anonymisation des BDD comportant des DCP » - Proposition d’un espace « archivage intermédiaire » en accès restreint + règles associées - Sensibilisation / proposition de bonnes pratiques de gestion + de documentation des données
  6. 6. 6 RGPD: ACTIONS MISES EN PLACE Les principales mesures sont: - Nomination d’un DPO - Actualisation / formalisation des procédures - Recensement et cartographie des DCP - Centralisation des données sensibles sur un serveur dédié - Analyse des risques et homologation des applications - Mise en conformité de la documentation des traitements existants (contrats, lettres d’information des personnes): nouveau droit: limitation, portabilité et exactement - Sensibilisation de tous les agents à la protection des données Coordination RSSI- CIL/DPO – Archiviste – DATA -> pour le recensement/cartographie et la centralisation
  7. 7. 7 QUESTIONNEMENT - Temps nécessaire au traitement archivistique des DCP = comment le justifier? Considéré comme une autre finalité de traitement? - Temps nécessaire au traitement archivistique des DCP = comment le quantifier? - Principe d’anonymisation, à systématiser le plus possible à l’issue du traitement initial? - Constat: impact de la mise en conformité au RGPD = documentation approfondie nécessaire concernant la gestion des DCP + mise en place de mesures organisationnelles tendant à la standardisation de leur gestion  Facilite le contrôle

×