Commission nationale de l informatique et des libertés



Documents pareils
MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ ADMINISTRATION. Commission nationale de l informatique et des libertés

Document N 2 Document de travail, n engage pas le Conseil Les durées d assurance validées par les actifs pour leur retraite

DELIBERATION N DU 25 MARS 2015 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

CONSEIL NATIONAL DE L INFORMATION STATISTIQUE. Commission «Services publics et services aux publics»

FICHE N 2 LA GESTION COMMERCIALE DES CLIENTS ET PROSPECTS POUR LE SECTEUR DES ASSURANCES (NS 56)

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

DÉCLARATION D IMMATRICULATION D UNE SOCIÉTÉ CIVILE RÉSERVÉ AU CFE G U I D B E F K T

Vu la Convention Européenne de Sauvegarde des Droits de l Homme et des Libertés Fondamentales du Conseil de l Europe du 4 novembre 1950 ;

Avec la MSA, préparez votre retraite en toute tranquillité

PERSONNALISéE D AUTONOMIE

Sur les informations traitées

Commission nationale de l informatique et des libertés

Santé publique - Protection sociale -

LES DOCUMENTS DE TRAVAIL DU SÉNAT

L Autorité de régulation des communications électroniques et des postes (ci-après «l Autorité»),

Demande de retraite d un fonctionnaire de l Etat ou d un magistrat

LIVRET D ACCUEIL CCAS. des services à la personne. CENTRE COMMUNAL D ACTION SOCIALE Ville de La Verrière. + d infos :

SERVICES À LA PERSONNE LE CESU PRÉFINANCÉ : DES AVANTAGES POUR TOUS

Mots clés : ACTION SOCIALE / AIDES INDIVIDUELLES/AIDE AUX RETRAITES EN SITUATION DE RUPTURE

Programme «financement» - Partie I Données de cadrage

Action sociale. Demande d aide pour Bien vieillir chez soi

AIDES SOCIALES 2015 Cocher la case correspondante à l aide concernée

Les allocataires des minima sociaux: CMU, état de santé et recours aux soins

Formulaire de demande(s) auprès de la MDPH

Programme «financement» - Partie I Données de cadrage

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Vu la Convention de sauvegarde des droits de l homme et des libertés fondamentales du Conseil de l Europe du 4 novembre 1950 ;

FICHE DE RENSEIGNEMENTS

Document N 09 Document de travail, n engage pas le Conseil Les allocataires du minimum vieillesse : parcours et conditions de vie

et développement d applications informatiques

Avec la MSA, préparez votre retraite en toute tranquillité

Demande d adhésion SANTÉ. Régime complémentaire santé Professionnels Indépendants. Offre Santé des Professionnels Indépendants

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

COMMUNICATION POLITIQUE ObligationS légales

DELIBERATION N DU 28 JUILLET 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AVIS FAVORABLE A LA MISE EN ŒUVRE DU

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

«La réforme des retraites en France» Présentation de Gérard Rivière Rencontres de l AFERP1, 18 février 2014, GIE AGIRC-ARRCO

10 JUIN 2015 APPEL D OFFRES ETUDE D EVALUATION A MI-PARCOURS DU DISPOSITIF DES PRETS NUMERIQUES DU PROGRAMME DES INVESTISSEMENTS D AVENIR

Vu la loi n du 23 novembre 2005, portant statut de Bank Al-Maghrib ;

Que retenir de la réforme des retraites 2010?

CHARTE INFORMATIQUE LGL

Une évaluation à partir de l Échantillon interrégimes de cotisants de 2005

PRESENTATION DU PROJET DATAWAREHOUSE MARCHE DU TRAVAIL

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Revenu national avant impôts: (100%) Revenu disponible: (74%) Revenu après impôts: (51%)

EXERCICE DU DROIT D ACCES AU FICHIER DES COMPTES BANCAIRES ET ASSIMILES (FICOBA)

Direction de la sécurité sociale. Personne chargée du dossier : Huguette Hatil. La ministre des solidarités et de la cohésion sociale

Vos droits en matière de sécurité sociale. en France

Cahier des Charges AMOA - Cartographie des solutions SI Sophie de Visme

Liste des pièces à fournir pour une demande de prise en charge des frais d hébergement en maison de retraite au titre de l aide sociale

La protection sociale en France

Ministère des affaires sociales et de la santé Ministère de l'économie et des finances

DELIBERATION N DU 3 MAI 2010

Le projet de loi relatif à l adaptation de la société au vieillissement

Article 1. Enregistrement d un nom de domaine

FONDS DE SOLIDARITE POUR LE LOGEMENT DES ALPES-MARITIMES

COMPTE EPARGNE LOGEMENT. Une épargne constructive. Conditions Générales

FRANCE SUISSE LIECHTENSTEIN INFORMATIONS

Direction de la recherche, des études, de l évaluation et des statistiques. collection Études et statistiques. lesretraités et les retraites

EXERCICE DU DROIT D ACCES AU FICHIER DES COMPTES BANCAIRES ET ASSIMILES (FICOBA)

au Chèque emploi service universel bancaire

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

TESA Notice additive générale

Nationale de l'assurance Maladie des Travailleurs Salariés Sécurité Sociale

La Révolution Numérique Au Service De l'hôpital de demain JUIN 2013 Strasbourg, FRANCE

au départ en vacances Un malade, c est toute une famille qui a besoin d aide

Avecvous. Au 1er avril : vos remboursements en un clic. Décomptes santé par Internet. Quels sont les avantages de ce service?

Livret. Maison. handicapées. Maison. de prestations. des personnes. départementale

Par Scannez le formulaire et les documents demandés et envoyez-les à l adresse conseiller@saxobanque.fr.

MAISON DEPARTEMENTALE DES PERSONNES HANDICAPEES D'INDRE ET LOIRE

Le Traitement des Données Personnelles au sein d une Association

Vous avez eu ou élevé des enfants Vos droits

CONFERENCE NATIONALE DU HANDICAP. Relevé des conclusions

Mobilisation en faveur de l emploi des seniors

Rapport d audit interne

REGLEMENT DU PROGRAMME DE FIDELITE COFFEA

CONDITIONS PARTICULIERES

Mutuelle obligatoire p.2. p.4 NUMÉRO 1 - JUILLET 2013

La gouvernance. Président national Régime Social des Indépendants

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Comité chargé de préfigurer la création d un registre national des crédits aux particuliers

Les rachats de contrats d assurance-vie après 60 ans en 2012 FFSA

Rappels sur les missions, l évolution des populations couvertes et les engagements stratégiques

L approche du handicap par les limitations fonctionnelles et la restriction globale d activité chez les adultes de 20 à 59 ans

DOSSIER D INSCRIPTION

FICHE D IMPACT PROJET DE TEXTE REGLEMENTAIRE

Références. Conditions d admission (en plus des conditions générales d admission à l aide sociale) :

Qui dirige la Sécurité sociale?

CE 12. Ministère de l emploi et de la solidarité

Ensemble des mécanismes de prévoyance collective pour faire face aux conséquences financières des risques sociaux.

Ouverture d'un compte de libre passage selon art. 10 OLP

Bien vieillir à domicile : accompagner les seniors

SÉNAT PROPOSITION DE LOI

PROTECTION SOCIALE EN FRANCE

REALISATION DES PRESTATIONS DE MAINTENANCE DU RESEAU INFORMATIQUE ET TELEPHONIQUE DE LA CAISSE MAROCAINE DES RETRAITES

Transcription:

Commission nationale de l informatique et des libertés Délibération n o 2014-284 du 3 juillet 2014 portant avis sur un projet de décret relatif à la mise en œuvre d un traitement de données à caractère personnel concernant un dispositif d enquêtes portant sur la perte d autonomie des seniors, dénommé «Capacités, Aides et Ressources des seniors» («CARE») (demande d avis n o 14009005) NOR : CNIX1507959X La Commission nationale de l informatique et des libertés, Saisie par les ministres des affaires sociales et de la santé, de l économie et des finances et la ministre déléguée chargée des personnes âgées et de l autonomie d une demande d avis concernant la mise en œuvre d un traitement de données à caractère personnel relatif à un dispositif d enquêtes portant sur la perte d autonomie des seniors, dénommé «Capacités, Aides et Ressources des seniors» («CARE») ; Vu la convention n o 108 du Conseil de l Europe pour la protection des personnes à l égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Vu la loi n o 7817 du 6 janvier 1978 modifiée relative à l informatique, aux fichiers et aux libertés, notamment son article 27-1-1 ) ; Vu le décret n o 2005-1309 du 20 octobre 2005 modifié pris pour l application de la loi n o 78-17 du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés ; Après avoir entendu M. Nicolas COLIN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations, Emet l avis suivant : Les ministres des affaires sociales et de la santé, de l économie et des finances et la ministre déléguée chargée des personnes âgées et de l autonomie ont saisi la CNIL d un projet de décret en Conseil d Etat autorisant la mise en œuvre d un traitement automatisé de données à caractère personnel relatif à un dispositif d enquêtes portant sur la perte d autonomie des seniors, dénommé «Capacités, Aides et Ressources des seniors» («GARE»). Le dispositif d enquêtes «GARE» a pour objectifs : de suivre l évolution de la dépendance ; d estimer le reste à charge lié à la dépendance ; et de mesurer l implication de l entourage auprès de la personne âgée. Il comprendra deux phases d enquêtes : l enquête «CARE en ménages» qui sera menée à partir du 1 er mai 2015 concernera 15 000 personnes ; l enquête «CARE en institutions» qui sera menée à partir du 1 er septembre 2016 concernera 5 000 personnes. Le traitement sera mis en œuvre par la direction de la recherche, des études, de l évaluation, des statistiques (DREES), service statistique du ministère des affaires sociales et de la santé. Chacune des deux enquêtes «CARE en ménages» et «CARE en institutions» se décompose en deux volets distincts, qui comprendront : - un volet «Senior» qui : - pour l enquête «CARE en ménages» portera sur les personnes âgées de 60 ans ou plus, vivant en logement ordinaire en France métropolitaine, - et pour l enquête «CARE en institutions» portera sur les personnes âgées de 60 ans ou plus, vivant en établissements d hébergement pour personnes âgées, - et un volet «Aidant» qui, pour les deux enquêtes «CARE en ménages» et «CARE en institutions», portera sur les personnes aidantes, âgées de 18 ans ou plus, déclarées par les personnes âgées précitées. Le dispositif d enquêtes «GARE» nécessite plusieurs appariements de données issues de bases mises en œuvre et maintenues par de multiples acteurs, certains appariements imposant l utilisation du NIR des sujets de l enquête, et le cas échéant de leurs ouvrants droit. En effet, l utilisation du NIR est nécessaire pour apparier les données issues des enquêtes «CARE en ménages» et «CARE en institutions» avec : les données issues du système national d information inter-régimes de l assurance maladie (SNIIRAM) dont la Caisse nationale d assurance maladie des travailleurs salariés (CNAMTS) assume la responsabilité, afin de disposer des consommations de soins des sujets de l enquête ;

les données issues des bases de données des caisses de retraite, à savoir la Caisse nationale d assurance vieillesse (CNAV) et de la Caisse centrale de la mutualité sociale agricole (CCMSA), afin de recueillir directement auprès de ces organismes les prestations versées par eux ; les données d état civil issues du répertoire national de l identification des personnes physiques (RNIPP) dont l INSEE assume la responsabilité, afin de suivre la mortalité des sujets de l enquête. Par ailleurs, d autres appariements de données, qui ne nécessitent pas l utilisation du NIR des sujets de l enquête, sont organisés. Il s agit de relier les données issues du dispositif d enquêtes «CARE» avec : les données fiscales issues des bases de données de la Direction générale des finances publiques (DGFIP), des bases de données de la Caisse nationale d allocations familiales (CNAF), de la CNAV, de la CCMSA et du RSI afin de disposer de données relatives aux revenus imposables et non imposables des membres du ménage du sujet de l enquête, les données issues de la base permanente des équipements (SPE) détenue par l INSEE, afin de disposer d informations relatives à l accessibilité des équipements et services depuis le logement du sujet de l enquête, et les données administratives issues des bases de données des conseils généraux sur l allocation personnalisée d autonomie (APA), l aide sociale à l hébergement (ASH) et la prestation de compensation du handicap (PCH), afin d améliorer le calcul du restant à charge lié à la dépendance. Le texte soumis à la CNIL pour avis est pris en application de l article 27-I-1 de la loi du 6 janvier 1978 modifiée qui soumet à un décret en Conseil d État, pris après avis motivé et publié de la CNIL, les traitements de données à caractère personnel mis en œuvre pour le compte de l État qui portent sur des données parmi lesquelles figure le numéro d inscription des personnes au répertoire national d identification des personnes physiques (NIR). Sur la finalité du traitement : Aux termes de l article 1 er du projet de décret, celui-ci a vocation à autoriser «la mise en œuvre par la DREES du ministère des affaires sociales et de la santé d un traitement automatisé de données individuelles relatives à une enquête nationale portant sur la perte d autonomie des seniors, dite «Capacités, Aides et Ressources des seniors» ou CARE. Le traitement a pour finalité de suivre l évolution de la dépendance, d estimer le reste à charge lié à la dépendance pour les personnes âgées concernées et de recenser les aides humaines et techniques nécessaires à la prise en charge de la dépendance». La commission considère que, eu égard à l intérêt de santé publique que présente cette étude, la création de ce traitement et les finalités ainsi poursuivies sont déterminées et légitimes. Sur les modalités d organisation du dispositif d enquêtes «GARE» : L article 2 du projet de décret précise : qu une première collecte d informations par enquête aura lieu en 2015, auprès de personnes âgées de 60 ans ou plus vivant à domicile, qu une seconde collecte aura lieu auprès de personnes âgées de 60 ou plus séjournant de manière permanente dans des établissements d hébergement pour personnes âgées au second semestre 2016, et que des enquêtes ultérieures pourront être mises en œuvre auprès des sujets de l enquête sous réserve de leur accord. Sur ce dernier point, la commission prend acte, qu à sa demande, l article 2 du projet de décret précise que des formalités préalables seront réalisées auprès de la CNIL. Sur la nature des données traitées : L article 3 du projet de décret énumère les données collectées directement auprès des sujets de l enquête. Ces données concernent : l identification des personnes (à savoir, leurs nom de naissance, nom d usage, prénoms, sexe, date et lieu de naissance, NIR), le cas échéant l identification de l ouvrant droit de la personne faisant l objet de l enquête (à savoir ses nom de naissance, nom d usage, prénoms, date et lieu de naissance et NIR), l état de santé et le recours aux soins, les limitations fonctionnelles et les restrictions d activité, les différentes formes d aides techniques nécessaires et/ou utilisées, la situation familiale, les revenus et prestations, les dépenses contraintes, les différentes formes d aides humaines reçues, professionnelle et/ou de l entourage et leur coût, et le cas échéant, l identification (nom d usage, prénom, adresse postale et coordonnées téléphoniques) des personnes de leur entourage qui leur apportent de l aide. Compte tenu des appariements permettant un enrichissement du traitement de données à caractère personnel projeté, la commission prend acte, qu à sa demande, l article 3 du projet de décret sera complété afin de préciser les données collectées indirectement et traitées par la DREES dans le cadre de l enquête «CARE», à savoir : l adresse postale du sujet de l enquête ;

ses revenus fiscaux et sociaux ; sa consommation de soins et son statut vital ; ainsi que les équipements et services situés à proximité de son lieu de vie. Ces données n appellent pas d observation de la part de la commission, dès lors qu elles sont pertinentes, adéquates et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément aux dispositions de l article 6-3 de la loi du 6 janvier 1978 modifiée. Sur la durée de conservation des données : L article 8 du projet de décret prévoit deux durées de conservations distinctes, en fonction des données et des finalités poursuivies. Concernant les données d identification des sujets de l enquête (à savoir leurs nom, prénoms, date et lieu de naissance, NIR) et le cas échéant de leurs ouvrants droit (à savoir ses nom, prénoms, date et lieu de naissance et NIR), une durée de conservation de cinq ans, après la fin de la collecte des données, est prévue. La commission prend acte de ce que cette durée de conservation a vocation à permettre, d une part, les appariements de données, et d autre part, la réalisation d études ultérieures. Eu égard aux deux finalités poursuivies, justifiant une conservation pendant cinq ans, cette durée de conservation n appelle pas d observation de la part de la commission. En revanche, concernant le NIR des sujets de l enquête, l article 8 du projet de décret en Conseil d État prévoit une durée de conservation de quinze ans et ce afin de suivre leur mortalité. Sur ce point, la commission prend acte qu à sa demande et afin notamment de respecter les dispositions de l article 6-5 de la loi du 6 janvier 1978 modifiée que l article 8-11 du projet de décret précisera que le NIR des sujets de l enquête sera supprimé dès l obtention de la mention du décès de la personne et le cas échéant passé le délai maximum de quinze ans. Par ailleurs, la commission prend acte qu à sa demande, conformément à l article 6-5 de la loi du 6 janvier 1978 modifiée, le projet de décret ne prévoit plus la conservation des données directement ou indirectement identifiantes par la DREES mais uniquement la conservation des données indirectement identifiantes. En effet, le ministère, à la demande de la commission, s engage à modifier le projet de décret en précisant que la DREES conservera les données issues de l enquête, à l exception des données directement identifiantes des sujets de l enquête. Dès lors, qu il s agit de données à caractère personnel, la commission demande que le projet de décret précise leur durée de conservation, ou au contraire que les données seront rendues totalement anonymes à l issue des durées de conservation précitées. Ensuite, la commission prend acte que l article 8 du projet de décret précise que «le NIR des personnes enquêtées sera conservé à l INSEE pendant quinze ans dans un fichier distinct». Cependant, cette précision ne semble pouvoir s appliquer qu à l enquête «CARE en ménages», le prestataire chargé de la mise en œuvre de l enquête «CARE en institutions» n étant pas désigné. La commission propose que cette mention soit complétée, afin de prendre en compte l enquête «CARE en institutions», le projet de décret portant création d un traitement de données relatif au dispositif d enquêtes «CARE», incluant les deux enquêtes. Enfin, la commission prend acte qu à sa demande le projet de décret, dans ses articles 3, 5 et 8-11, précisera que les données d identification des sujets enquêtés, et les collectées et traitées dans le cadre du dispositif d enquêtes «CARE».seront conservées séparément. Sur les destinataires des données : L article 6 du projet de décret en Conseil d Etat précise que la DREES est rendue destinataire des fichiers de données individuelles ( ) «ne permettant aucune identification directe ou indirecte des personnes auprès desquelles l enquête a été réalisée». Sur ce point, la commission prend acte qu à sa demande le projet de décret sera modifié afin de préciser que la DREES ne sera rendue destinataire que des données ne permettant pas une identification directe des personnes, et que seules les données suivantes leur seront transmises : l état de santé et le recours aux soins ; les limitations fonctionnelles et les restrictions d activité ; les différentes formes d aides techniques nécessaires et/ou utilisées ; la situation familiale, les revenus et prestations, les dépenses contraintes ; les différentes formes d aides humaines reçues, professionnelle et/ou de l entourage et leur coût ; les revenus fiscaux et sociaux ; la consommation de soins et le statut vital ; ainsi que les équipements et services situés à proximité des lieux de vie des sujets de l enquête. Par ailleurs, l article 7 du projet de décret en Conseil d Etat précise que : les archives de France, conformément aux dispositions du code du patrimoine sont destinataires des données indirectement identifiantes collectées dans le cadre du dispositif d enquêtes «CARE», et que les données sont communicables dans les conditions prévues par le décret d application de la loi n o 51-711 du 7 juin 1951 sur l obligation, la coordination et le secret en matière de statistiques.

Sur ce point, le projet de décret n appelle pas d observation particulière de la commission dès lors qu il s agit d organismes légalement habilités à demander communication des données traitées conformément aux dispositions de l article 3-II de la loi du 6 janvier 1978 modifiée. Sur l information des personnes : L article 4 du projet de décret précise que les NIR seront recueillis par les enquêteurs auprès des sujets de l enquête, après avoir reçu, sous la responsabilité de la DREES, une information suffisante sur les conditions d utilisation et de conservation de cette donnée. Par ailleurs, l article 9 du projet de décret dispose que les droits d accès et de rectification, tels que prévus aux article 39 et 40 de la loi du 6 janvier 1978 modifiée s exerce : auprès de la direction générale de l INSEE ou des directions régionales et interrégionales de l INSEE pour les personnes faisant l objet de l enquête «CARE en ménages», et auprès du prestataire sous la responsabilité de la DREES pour les personnes faisant l objet de l enquête «CARE en institutions». La commission note qu en raison du caractère obligatoire attaché à l enquête «GARE en ménages», le droit d opposition ne s applique pas au traitement lié à cette enquête. Cependant le caractère obligatoire n est attaché qu à l enquête «CARE en ménages». La commission prend acte, qu à sa demande, l article 9-II du projet de décret relatif aux droits des personnes précisera que les sujets de l enquête seront informés du caractère obligatoire ou non de l enquête dans la lettre-avis qui leur sera adressée, impliquant le cas échéant une absence de droit d opposition. Par ailleurs, à la demande de la commission, l article 2 du projet de décret en Conseil d Etat, portant autorisation de mise en œuvre du traitement de données à caractère personnel relatif au dispositif d enquêtes «CARE», sera complété et précisera que les sujets de l enquête seront informés par l envoi d une lettre-avis accompagnée d un dépliant d informations et qu une lettre de relance en cas de non réponse leur sera adressée. Sur ce point, eu égard aux engagements pris par le ministère, le projet de décret n appelle pas d observation de la part de la commission, les mentions d informations précisées à l article 32 de la loi du 6 janvier 1978 modifiée étant reprises dans les dépliants d informations versés au dossier de demande d avis. Sur les droits d accès, de rectification et d opposition des personnes : L article 9 du projet de décret en Conseil d Etat précise les modalités d exercice des droits des personnes, qui s exerceront auprès de la direction générale de l INSEE ou des directions régionales ou interrégionales de l INSEE, et ce uniquement pour les sujets de l enquête «GARE en ménages». Concernant l enquête «CARE en institutions», l article 9 du projet de décret précise uniquement que les droits des personnes s exerceront auprès du «prestataire sous la responsabilité de la DREES». Or, l article 29-2 de la loi du 6 janvier 1978 modifiée impose que l acte autorisant la création du traitement précise «le service auprès duquel s exerce le droit d accès». En conséquence, la commission prend acte, qu à sa demande, le projet de décret précisera que le service auprès duquel les personnes faisant l objet de l enquête «GARE en institutions» pourront exercer leurs droits, sera identifié au sein de la lettre-avis qui leur sera adressée. Sur la sécurité des données et la traçabilité des actions : L article 5 alinéa 2 du projet de décret dispose que «le rapprochement des informations collectées par enquête avec les données administratives est précédé d un chiffrement du NIR permettant de garantir la confidentialité des données». Si le chiffrement du NIR permet d en garantir la confidentialité lors de son transfert, les rapprochements avec les données du SNIIRAM ne peuvent être réalisés après le double hachage du NIR en clair et des éléments d identité de l assuré. En conséquence, la commission demande que l article 5 du projet de décret précise que le chiffrement du NIR permet d en garantir la confidentialité lors des transferts. La commission prend acte, qu à sa demande, un article 10 a été ajouté au sein du projet de décret précisant que le responsable de traitement garantit la sécurisation des transferts de données et met en place une politique de gestion d habilitations d accès aux données. Les conditions de conservation des données ainsi que les modalités d accès n étant pas précisées, la commission demande que cet article soit complété afin de préciser les objectifs de sécurité que le responsable de traitement devra mettre en œuvre. Elle recommande à cet égard qu une étude des risques pesant sur la vie privée des personnes soit menée. La commission estime que les objectifs de sécurité qui devront être pris en compte sont les suivants : empêcher les utilisations inadaptées des matériels et logiciels ; empêcher que le matériel ou le logiciel soit observé ; empêcher les modifications du matériel et des logiciels ; éviter la perte ou le vol du matériel ou des logiciels ; empêcher les écoutes des canaux informatiques ou papier ;

réduire les risques liés à des personnes habilitées à accéder aux données (par exemple éviter l influence ou la pression pouvant être exercée sur ces personnes) ; le cas échéant, protéger les documents papier contre les accès illégitimes. S agissant plus spécifiquement de l enquête «CARE en ménages», le dossier technique et les compléments fournis à l appui de la demande d avis précisent que seules les personnes spécifiquement habilitées disposent d un accès aux données. Pour ce faire, le personnel de la DRESS s authentifie au moyen d une carte à puce personnelle associée à un code secret. Les cartes sont attribuées aux agents lors de leur prise de fonction, et reprise lors du départ de l agent. De plus, l accès au fichier de données nécessite de renseigner un mot de passe composé de huit caractères, et comportant au moins un chiffre et un caractère spécial. Au sein du groupe des écoles nationales d économie et statistique (Genes), les personnes habilitées à accéder aux données doivent disposer d un boîtier spécifique («SD-Box»), boîtier fourni par le Genes permettant l accès à un espace de stockage dédié au dispositif d enquêtes «GARE», sur les serveurs du centre d accès sécurisé distant aux données (CASD). L authentification doit être réalisée par le recours à un dispositif biométrique. Les modalités d accès aux données par le personnel habilité de l INSEE, de la CNAMTS, de la CCMSA et de la CNAV ne sont pas précisées. La commission rappelle que ces personnels habilités doivent être authentifiés avant tout accès aux données. Aucune mesure n est prévue, ou n a été décrite dans le dossier, pour tracer les activités réalisées sur les données. La commission demande que soient mises en œuvre des mesures permettant d assurer qu aucun comportement déviant ou anormal ne puisse avoir lieu sans être détecté. Les transferts de données sont sécurisés, soit par le recours à des protocoles sécurisés, soit par le chiffrement des données préalablement à leur inscription sur les supports matériels utilisés pour leur transmission, soit par une combinaison de protocoles sécurisés et de chiffrement des données. L algorithme de chiffrement utilisé est un algorithme asymétrique. S agissant des clés secrètes utilisées pour chiffrer les données, la commission rappelle que les clés privées doivent être conservées secrètes par les destinataires des données. La commission prend acte du fait que les données transmises à la DRESS sont transmises en main propre sur matériel chiffré. Au sein de la DRESS, les données conservées sont des données indirectement identifiantes. Elles sont conservées sur un serveur sécurisé à accès physique et logique restreint. Les données sont conservées au sein du Genes dans un espace sécurisé, pour lequel un audit a été réalisé par une entreprise externe au Genes. Les modalités de suppression des données ne sont pas précisées dans le dossier. Les modalités de suppression des données par les différents intervenants du système (INSEE, Genes, CNAMTS, CNAV, CCMSA et DRESS) ne sont pas précisées dans le dossier, La commission demande à ce que les modalités de suppression définitive des données, une fois celles-ci transmises à la DRESS, ou à l issu de la durée de conservation, soient prévues et mises en œuvre. Les autres points du projet de décret n appellent pas, en l état et au regard de la loi du 6 janvier 1978 modifiée, d autres observations de la commission. La présidente, I. FALQUE-PIERROTIN

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back