Demandez votre abonnement gratuit d'un mois !

ExclusifProtection des données personnelles : comment le CNRS agit pour accompagner la recherche

News Tank Éducation & Recherche - Paris - Actualité n°123502 - Publié le 28/06/2018 à 11:00
- +
©  D.R.
©  D.R.

« La mission de déléguée à la protection des données au CNRS Centre national de la recherche scientifique prend en compte plusieurs paramètres, dont l’envergure mondiale de l’établissement, sa place dans l’écosystème de l’ESR Enseignement supérieur et recherche français et international ainsi que la grande diversité de ses activités et de ses disciplines. La particularité de ma mission est de suivre une très grande variété de traitements de données à caractère personnel », déclare Gaëlle Bujan Déléguée à la protection des données @ Centre national de la recherche scientifique (CNRS) • Déléguée Protection des Données - DPD @ Centre national de la recherche scientifique (CNRS)
, déléguée à la protection des données du CNRS, à News Tank le 28/06/2018.

Servir la recherche, irriguer les pratiques dans un contexte partenarial et mettre en conformité les traitements, ce sont les objectifs de Gaëlle Bujan.

« Ma nomination au poste de DPD Délégué à la protection des données est en lien avec ma connaissance des acteurs de la recherche en tant qu’ancienne déléguée régionale. Les DPD sont souvent des juristes, des informaticiens ou des personnels administratifs. Je fais partie de ces derniers profils. Je pilote le projet, avec pour mission essentielle d’assurer le respect du RGPD Règlement général sur la protection des données (Règlement général sur la protection des données) et de la Loi Informatique et Libertés modifiée. C’est une tâche que nous ne pouvons mener seuls : elle concerne plus de 1100 structures de recherche rattachées au CNRS et aux établissements publics et privés avec lesquels nous sommes partenaires. »

Le CNRS a construit, depuis 2011, une politique de protection de la donnée personnelle, sous l’égide de Raymond Duval. Une mission ensuite assurée par Nicolas Castoldi Directeur délégué auprès du directeur général @ Assistance publique-hôpitaux de Paris (AP-HP)
et Myriam Fadel. L’entrée en application du RGPD correspond à une nouvelle étape d’adaptation des outils en cours, de sensibilisation des bonnes pratiques auprès des chercheurs ainsi qu’à un travail de veille sur un contexte législatif en évolution.


La protection des données : une mission partagée au CNRS

Le CNRS Centre national de la recherche scientifique a très tôt fait le choix de la simplification pour les chercheurs des formalités à accomplir pour le respect de la Loi Informatique et Libertés. Le CIL (correspondant informatique et libertés), fonction créée en 2011, avait des missions d’information, de conseil sur la réglementation, de centralisation des déclarations de traitements de données à caractère personnel et d’intermédiation avec la Cnil Commission nationale de l’informatique et des libertés .

En 2018, Gaëlle Bujan prend la direction d’une équipe de quatre personnes responsables de la protection des données personnelles : ce pôle regroupe une juriste, une assistante juridique, un responsable veille documentaire/diffusion et relations extérieures et une responsable du développement informatique.

Cette équipe travaille avec les directions des affaires juridiques, des systèmes d’information et sécurité des systèmes d’information. Le CNRS peut s’appuyer sur l’ensemble des actions de sensibilisation réalisées depuis 2011, sur une expertise juridique, une documentation construite depuis des années et des relations privilégiées avec la Cnil.

« Certains traitements de données impliquent des compétences croisées. Nous avons l’expertise et la capacité de pouvoir donner aux unités de recherche des outils et des éléments d’analyse, notamment sur la réglementation qui est sujette à de nombreuses évolutions. Notre rôle est d’assister les chercheurs dans la mise en conformité des traitements qui seront réalisés. »

Les axes principaux de la stratégie de la DPD Délégué à la protection des données du CNRS

44 correspondants régionaux dans un réseau « Métier »

La mission de protection des données personnelles est soutenue dans les unités de recherche par 44 correspondants à la protection des données personnelles. Leur rôle est d’être en lien avec les unités et de se faire le relais d’information en proximité avec les équipes de recherche. Ils participent aussi à des remontées d’informations régulières sur les pratiques et les besoins des équipes de recherche.

« Sur le terrain, au plus près des unités, des délégations régionales et des Instituts, les correspondants ont été choisis par leurs responsables pour leurs compétences dans les domaines juridiques, du partenariat, des systèmes d’information, du fonctionnement quotidien des unités de recherche, de la sécurité des systèmes d’information. »

Ce réseau « métier » à l’image d’autres réseaux au CNRS, vise un accompagnement de proximité des unités.

« Les correspondants ont accès à toute la documentation constituée par l’équipe de la DPD et sont réunis chaque année pour échanger sur les pratiques, sur les thèmes d’actualité. Nombre d’entre eux ont participé à l’atelier de la Cnil sur le RGPD Règlement général sur la protection des données en 2018.

Pour les unités, les correspondants sont les premiers interlocuteurs dans leurs démarches avant que la DPD et son équipe prennent le relais selon la complexité. »

L’ensemble des traitements des données est centralisé par la déléguée à la protection des données dans le registre des traitements. Ce document est partagé et alimenté par les retours de terrain des unités de recherche.

« Le CNRS a un registre de traitement des données depuis 2011. Il centralise tout ce qui est fait par les équipes de recherche et l’administration du CNRS. Nous travaillons en ce moment à son adaptation. »

Une feuille de route déterminée par le « privacy by design » et le « privacy by default »

Consacrer l’importance des concepts de « privacy by design » et de « privacy by default », est un des objectifs du Règlement européen sur la protection des données. Ces termes anglo-saxons désignent le fait de considérer la protection de la vie privée dès la conception des technologies permettant le traitement de données et d’assurer le plus haut niveau de protection des données par défaut.

L’article 25 du RGPD, intitulé « Protection des données dès la conception et protection des données par défaut », détaille ces principes.

Sur le « privacy by design » 

« Le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que : la pseudonymisation et la minimisation des données. » 

Sur le « privacy by default » 

« Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

Cela s’applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité.

En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. »

Pour Gaëlle Bujan, ces principes nécessitent de s’organiser pour encadrer les traitements de données personnelles au CNRS.

« J’ai construit une feuille de route pour effectuer la mise en conformité. Mon objectif est de permettre à la communauté scientifique de conduire ses activités en protégeant la vie privée des personnes qui nous confient leurs données personnelles. En intégrant les principes de protection des données dès le départ, nous simplifions toute la chaîne de traitement de la donnée, jusqu’à sa valorisation vers l’open access. »

Cibler les risques et les enjeux prioritaires

« Le CNRS traite énormément de données. Nous les construisons, nous les collectons, nous les diffusons. Le RGPD n’impacte pas les données issues des mesures d’ondes gravitationnelles ou les données mathématiques seules par exemple. Par contre, nous devons travailler de manière beaucoup plus rapprochée sur certaines disciplines qui sont amenées à traiter naturellement des données à caractère personnel », selon Gaëlle Bujan.

La déléguée à la protection des données distingue :

  • Les sciences humaines et sociales : très souvent, les projets de recherche manipulent des données issues d’entretiens ou d’enquêtes. Le RGPD va amener les responsables de traitement à définir précisément les finalités et les types de données récoltées. Cela a été le cas avec une étude sur les variations du langage sur Twitter et les caractéristiques sociales des usagers qui reposent sur des données relatives à la vie personnelle des personnes interrogées. Anticiper le volume de données réellement nécessaires, encadrer la durée de conservation, ce sont des objectifs pour la DPD avant le début de l’enquête.
  • Les sciences de la vie et la santé : les données personnelles sont ici concernées par le RGPD, mais aussi par la Loi Jardé. C’est le cas de la recherche clinique.
  • Les programmes de recherche pluridisciplinaires  : c’est le cas de programme associant des sciences humaines et sociales avec des sciences physiques, ou de la biologie par exemple.

1000 personnes suivies pendant 10 ans, c’est l’objectif du programme de recherche « 13 novembre » mené par le CNRS, Hesam Université et l’Inserm, pour mobiliser la recherche sur les conséquences des attentats de Paris.

Cette étude inédite par son ampleur et son caractère pluridisciplinaire intègre notamment « des guides d’entretiens construits en commun par des historiens, des sociologues, des psychologues, des psychopathologues et des neuroscientifiques, afin que le matériel recueilli soit utilisable par chacune des disciplines », ainsi qu’une étude biomédicale portée par l’Inserm et l’étude ESPA, portée par Santé Publique France, pour « analyser, par le biais d’un web questionnaire, l’impact psychotraumatique des attentats sur les personnes directement exposées, mais également la validité des circuits de soins », annonce le communiqué de presse du programme de recherche en date du 13/06/2016.

Gaëlle Bujan


Consulter la fiche dans l‘annuaire

Parcours

Centre national de la recherche scientifique (CNRS)
Déléguée à la protection des données
Centre national de la recherche scientifique (CNRS)
Déléguée Protection des Données - DPD
Centre national de la recherche scientifique (CNRS)
Adjointe au délégué régional Ile-de-France Ouest et Nord
Institut de recherche pour le développement (IRD)
Adjointe au secrétaire général
Institut de recherche pour le développement (IRD)
Administratrice du centre de recherche d’Ile-de-France, puis directrice du service d’administration
Région Bretagne
Responsable de la recherche

Établissement & diplôme

Université de Rennes 1
DEA d’économie industrielle et des échanges mondiaux

Fiche n° 29639, créée le 23/03/2018 à 10:47 - MàJ le 29/06/2018 à 19:31

Centre national de la recherche scientifique (CNRS)

Le CNRS est le principal organisme de recherche français.


Catégorie : Organismes publics de recherche
Entité(s) affiliée(s) :
- CNRS Sciences humaines & sociales (INSHS)
- CNRS Mathématiques (Insmi)
- CNRS Sciences informatiques (INS2I)
- CNRS Innovation (CNRS Innovation)
- Institut de l'information scientifique et technique - INIST (Inist)
- CNRS Biologie (INSB)
- CNRS Chimie (INC)
- CNRS Écologie & Environnement (Inee)
- CNRS Ingénierie (Insis)
- CNRS Nucléaire & Particules (IN2P3)
- CNRS Terre & Univers (Insu)
- CNRS Physique (INP)


Adresse du siège

3 rue Michel-Ange
75794 Paris Cedex 16 France


Consulter la fiche dans l‘annuaire

Fiche n° 1955, créée le - MàJ le 09/09/2021 à 12:31

©  D.R.
©  D.R.