ExclusifProtection des données personnelles : comment le CNRS agit pour accompagner la recherche
« La mission de déléguée à la protection des données au CNRS
Centre national de la recherche scientifique
prend en compte plusieurs paramètres, dont l’envergure mondiale de l’établissement, sa place dans l’écosystème de l’ESR
Enseignement supérieur et recherche
français et international ainsi que la grande diversité de ses activités et de ses disciplines. La particularité de ma mission est de suivre une très grande variété de traitements de données à caractère personnel », déclare Gaëlle Bujan
Déléguée à la protection des données @ Centre national de la recherche scientifique (CNRS) • Déléguée Protection des Données - DPD @ Centre national de la recherche scientifique (CNRS)
, déléguée à la protection des données du CNRS, à News Tank le 28/06/2018.
Servir la recherche, irriguer les pratiques dans un contexte partenarial et mettre en conformité les traitements, ce sont les objectifs de Gaëlle Bujan.
« Ma nomination au poste de DPD
Délégué à la protection des données
est en lien avec ma connaissance des acteurs de la recherche en tant qu’ancienne déléguée régionale. Les DPD sont souvent des juristes, des informaticiens ou des personnels administratifs. Je fais partie de ces derniers profils. Je pilote le projet, avec pour mission essentielle d’assurer le respect du RGPD
Règlement général sur la protection des données
(Règlement général sur la protection des données) et de la Loi Informatique et Libertés modifiée. C’est une tâche que nous ne pouvons mener seuls : elle concerne plus de 1100 structures de recherche rattachées au CNRS et aux établissements publics et privés avec lesquels nous sommes partenaires. »
Le CNRS a construit, depuis 2011, une politique de protection de la donnée personnelle, sous l’égide de Raymond Duval. Une mission ensuite assurée par Nicolas Castoldi
Directeur délégué auprès du directeur général @ Assistance publique-hôpitaux de Paris (AP-HP)
et Myriam Fadel. L’entrée en application du RGPD correspond à une nouvelle étape d’adaptation des outils en cours, de sensibilisation des bonnes pratiques auprès des chercheurs ainsi qu’à un travail de veille sur un contexte législatif en évolution.
La protection des données : une mission partagée au CNRS
Le CNRS Centre national de la recherche scientifique a très tôt fait le choix de la simplification pour les chercheurs des formalités à accomplir pour le respect de la Loi Informatique et Libertés. Le CIL (correspondant informatique et libertés), fonction créée en 2011, avait des missions d’information, de conseil sur la réglementation, de centralisation des déclarations de traitements de données à caractère personnel et d’intermédiation avec la Cnil Commission nationale de l’informatique et des libertés .
En 2018, Gaëlle Bujan prend la direction d’une équipe de quatre personnes responsables de la protection des données personnelles : ce pôle regroupe une juriste, une assistante juridique, un responsable veille documentaire/diffusion et relations extérieures et une responsable du développement informatique.
Cette équipe travaille avec les directions des affaires juridiques, des systèmes d’information et sécurité des systèmes d’information. Le CNRS peut s’appuyer sur l’ensemble des actions de sensibilisation réalisées depuis 2011, sur une expertise juridique, une documentation construite depuis des années et des relations privilégiées avec la Cnil.
« Certains traitements de données impliquent des compétences croisées. Nous avons l’expertise et la capacité de pouvoir donner aux unités de recherche des outils et des éléments d’analyse, notamment sur la réglementation qui est sujette à de nombreuses évolutions. Notre rôle est d’assister les chercheurs dans la mise en conformité des traitements qui seront réalisés. »
Les axes principaux de la stratégie de la DPD Délégué à la protection des données du CNRS
Mettre à disposition des outils pour améliorer la protection des données personnelles
Avec l’adaptation au RGPD du registre des traitements au CNRS, il peut s’agir d’outils pour réaliser les analyses d’impacts sur la vie privée ou d’autres éléments sur la méthodologie dans le cadre de la recherche.
Développer la culture de la protection de la donnée à caractère personnel
Des temps de sensibilisation sont organisés : il s’agit d’intervenir dans les unités de recherche pour accompagner les pratiques des chercheurs ou de faire des interventions en distanciel.
Le service de la DPD a récemment dispensé une séquence d’information de deux heures par webinaire à destination du réseau des informaticiens d’un Institut du CNRS.
Mettre en place des mesures techniques et organisationnelles pour la protection des données
Le CNRS a mis en place une campagne de chiffrement sur les supports de données utilisés par les chercheurs et l’institution développe une offre de services sécurisée à destination des chercheurs pour assurer la sécurité des données.
L’entrée en application du RGPD entraîne aussi une révision des procédures en cas d’hébergement des données, d’intrusions sur les serveurs et de relation avec les sous-traitants.
Construire des politiques de protection de données
Le CNRS gère des données scientifiques et administratives, qui ne sont pas sujettes aux mêmes obligations de conservation et de protection.
Pour la Déléguée à la protection des données, il est nécessaire de tenir compte de chaque nature de données et de se conformer au RGPD.
44 correspondants régionaux dans un réseau « Métier »
La mission de protection des données personnelles est soutenue dans les unités de recherche par 44 correspondants à la protection des données personnelles. Leur rôle est d’être en lien avec les unités et de se faire le relais d’information en proximité avec les équipes de recherche. Ils participent aussi à des remontées d’informations régulières sur les pratiques et les besoins des équipes de recherche.
« Sur le terrain, au plus près des unités, des délégations régionales et des Instituts, les correspondants ont été choisis par leurs responsables pour leurs compétences dans les domaines juridiques, du partenariat, des systèmes d’information, du fonctionnement quotidien des unités de recherche, de la sécurité des systèmes d’information. »
Ce réseau « métier » à l’image d’autres réseaux au CNRS, vise un accompagnement de proximité des unités.
« Les correspondants ont accès à toute la documentation constituée par l’équipe de la DPD et sont réunis chaque année pour échanger sur les pratiques, sur les thèmes d’actualité. Nombre d’entre eux ont participé à l’atelier de la Cnil sur le RGPD Règlement général sur la protection des données en 2018.
Pour les unités, les correspondants sont les premiers interlocuteurs dans leurs démarches avant que la DPD et son équipe prennent le relais selon la complexité. »
L’ensemble des traitements des données est centralisé par la déléguée à la protection des données dans le registre des traitements. Ce document est partagé et alimenté par les retours de terrain des unités de recherche.
« Le CNRS a un registre de traitement des données depuis 2011. Il centralise tout ce qui est fait par les équipes de recherche et l’administration du CNRS. Nous travaillons en ce moment à son adaptation. »
Une feuille de route déterminée par le « privacy by design » et le « privacy by default »
Consacrer l’importance des concepts de « privacy by design » et de « privacy by default », est un des objectifs du Règlement européen sur la protection des données. Ces termes anglo-saxons désignent le fait de considérer la protection de la vie privée dès la conception des technologies permettant le traitement de données et d’assurer le plus haut niveau de protection des données par défaut.
L’article 25 du RGPD, intitulé « Protection des données dès la conception et protection des données par défaut », détaille ces principes.
Sur le « privacy by design »
« Le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que : la pseudonymisation et la minimisation des données. »
Sur le « privacy by default »
« Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité.
En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. »
Pour Gaëlle Bujan, ces principes nécessitent de s’organiser pour encadrer les traitements de données personnelles au CNRS.
« J’ai construit une feuille de route pour effectuer la mise en conformité. Mon objectif est de permettre à la communauté scientifique de conduire ses activités en protégeant la vie privée des personnes qui nous confient leurs données personnelles. En intégrant les principes de protection des données dès le départ, nous simplifions toute la chaîne de traitement de la donnée, jusqu’à sa valorisation vers l’open access. »
Cibler les risques et les enjeux prioritaires
« Le CNRS traite énormément de données. Nous les construisons, nous les collectons, nous les diffusons. Le RGPD n’impacte pas les données issues des mesures d’ondes gravitationnelles ou les données mathématiques seules par exemple. Par contre, nous devons travailler de manière beaucoup plus rapprochée sur certaines disciplines qui sont amenées à traiter naturellement des données à caractère personnel », selon Gaëlle Bujan.
La déléguée à la protection des données distingue :
- Les sciences humaines et sociales : très souvent, les projets de recherche manipulent des données issues d’entretiens ou d’enquêtes. Le RGPD va amener les responsables de traitement à définir précisément les finalités et les types de données récoltées. Cela a été le cas avec une étude sur les variations du langage sur Twitter et les caractéristiques sociales des usagers qui reposent sur des données relatives à la vie personnelle des personnes interrogées. Anticiper le volume de données réellement nécessaires, encadrer la durée de conservation, ce sont des objectifs pour la DPD avant le début de l’enquête.
- Les sciences de la vie et la santé : les données personnelles sont ici concernées par le RGPD, mais aussi par la Loi Jardé. C’est le cas de la recherche clinique.
- Les programmes de recherche pluridisciplinaires : c’est le cas de programme associant des sciences humaines et sociales avec des sciences physiques, ou de la biologie par exemple.
13 novembre : un projet de recherche inédit, un cas pour les données à caractère personnel
1000 personnes suivies pendant 10 ans, c’est l’objectif du programme de recherche « 13 novembre » mené par le CNRS, Hesam Université et l’Inserm, pour mobiliser la recherche sur les conséquences des attentats de Paris.
Cette étude inédite par son ampleur et son caractère pluridisciplinaire intègre notamment « des guides d’entretiens construits en commun par des historiens, des sociologues, des psychologues, des psychopathologues et des neuroscientifiques, afin que le matériel recueilli soit utilisable par chacune des disciplines », ainsi qu’une étude biomédicale portée par l’Inserm et l’étude ESPA, portée par Santé Publique France, pour « analyser, par le biais d’un web questionnaire, l’impact psychotraumatique des attentats sur les personnes directement exposées, mais également la validité des circuits de soins », annonce le communiqué de presse du programme de recherche en date du 13/06/2016.
Gaëlle Bujan
Déléguée à la protection des données @ Centre national de la recherche scientifique (CNRS)
Déléguée Protection des Données - DPD @ Centre national de la recherche scientifique (CNRS)
Consulter la fiche dans l‘annuaire
Parcours
Déléguée à la protection des données
Déléguée Protection des Données - DPD
Déléguée régionale Aquitaine
Déléguée régionale Alsace
Adjointe au délégué régional Ile-de-France Ouest et Nord
Adjointe au secrétaire général
Administratrice du centre de recherche d’Ile-de-France, puis directrice du service d’administration
Responsable de la recherche
Établissement & diplôme
DEA d’économie industrielle et des échanges mondiaux
Fiche n° 29639, créée le 23/03/2018 à 10:47 - MàJ le 29/06/2018 à 19:31
Centre national de la recherche scientifique (CNRS)
Le CNRS est le principal organisme de recherche français.
Catégorie : Organismes publics de recherche
Entité(s) affiliée(s) :
- CNRS Innovation (CNRS Innovation)
- Institut de l'information scientifique et technique - INIST (Inist)
Adresse du siège
3 rue Michel-Ange75794 Paris Cedex 16 France
Consulter la fiche dans l‘annuaire
Fiche n° 1955, créée le - MàJ le 13/11/2024 à 12:42
© News Tank Éducation & Recherche - 2024 - Code de la propriété intellectuelle : « La contrefaçon (...) est punie de trois ans d'emprisonnement et de 300 000 euros d'amende. Est (...) un délit de contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d'une oeuvre de l'esprit en violation des droits de l'auteur. »