Aller au contenu principal
#protection des données

« La réussite passe par la confiance de nos publics dans notre capacité à respecter leurs données »

#40 #42 #19 #France entière

Comment assurer la protection et la confidentialité des données dans le cadre d’un projet mis en œuvre en un temps record ? C’est ce que nous raconte Gildine Croizé, déléguée à la protection des données de la Cnam. test

Article publié le 03/07/2020
Gildine Croizé, déléguée à la protection des données de la Cnam

« Nous avons été efficaces parce que la question de la protection des données a été posée dès l’origine » explique Gildine Croizé. Car lorsqu’elle arrive en fin de course, au moment où les projets sont pratiquement aboutis, la protection de données peut apparaître aux équipes comme une contrainte, qui engendre un travail supplémentaire. « Pour le contact tracing, poursuit Gildine Croizé, c’était d’emblée un enjeu majeur du dispositif, notre capacité à garantir la sécurité et la confidentialité est indispensable  pour que le public accepte le dispositif et y adhère ».

Cnam, Cnil, ministère : au service d’une conformité très dynamique

Quand les pouvoirs publics demandent à l’Assurance Maladie de mettre en œuvre le contact tracing, les contours exacts du dispositif ne sont pas encore définis. A fortiori, les données qu’il contiendra et les modalités d’accès restent à dessiner. Pour Gildine Croizé, ce sont donc des aller-retours entre la Cnam, le ministère et la Cnil, qui commencent. « Côté Cnam, nous avons travaillé de façon très soudée avec toutes les parties prenantes ; cela permettait de prendre en compte à la fois les contraintes du dispositif informatique, mais surtout les besoins des agents qui auraient à l’utiliser ».

Elle échange en permanence avec le ministère pour l’encadrement réglementaire, à tous les niveaux, du contact tracing : projet de loi et impacts des amendements proposés par l’Assemblée nationale sur le dispositif, décret en Conseil d’Etat fixant précisément la liste des données pouvant être traitées et les personnes habilitées à y accéder ou à en être destinataire.

Côté Cnil, Gildine Croizé était en contact régulier avec les services de cette autorité administrative indépendante pour intégrer au dispositif, dès sa conception et au fur et à mesure, les grands principes de la protection des données et de la vie privée, condition de la confiance et de l’adhésion de nos publics.  «Travailler en étroite collaboration avec elle est non seulement une nécessité puisqu’elle a un rôle de garant de la liberté des citoyens en matière informatique, mais aussi et surtout un atout puisqu’elle dispose d’une expertise technique et réglementaire très pointue ».

Protection, minimisation, confidentialité

L’objectif de tous ces échanges est de respecter au mieux les règles fondamentales de la protection  des données pour en faire un atout et non une contrainte pour le dispositif. « L’un des principes clés est la minimisation. L’idée est de n’avoir que les données strictement nécessaires à la réalisation de la mission confiée », explique Gildine Croizé. Sur le papier, le principe a l’air simple, mais dans la réalité, il pose de constantes questions d’arbitrages. « Par exemple, pour permettre aux agences régionales de santé de réaliser les investigations de  clusters, nous devons savoir si les personnes ont participé à des rassemblements de plus de 10 personnes. En revanche, collecter à notre niveau la finalité de ces rassemblements serait une atteinte à la vie privée puisqu’on intègrerait dans nos fichiers des données potentiellement sensibles sur les personnes qui ne sont pas utiles au dispositif de contact tracing. » Cette minimisation s’applique également au temps de conservation des données, qui doit être proportionné à leur utilité dans le cadre du dispositif.

« Le second grand principe pour nous est la sécurité et la confidentialité des données que nous gérons. Nous travaillons sur des systèmes informatiques internes, que nous maîtrisons de bout en bout ». La Cnam est ainsi garante du respect des grands principes en matière de confidentialité et de sécurité des données du dispositif. Cette responsabilisation suppose la mise en place de mesures techniques et organisationnelles appropriées au regard de la nature des données qui sont traitées. Cette approche, souligne Gildine Croizé, ne concerne pas seulement l’informatique, elle s’applique aussi aux processus métiers et donc aux collaborateurs impliqués dans le dispositif : « C’est bien parce que c’est l’essence même du métier des collaborateurs de l’Assurance Maladie de traiter des données de santé en toute confidentialité, conformément aux règles du secret professionnel auxquels ils sont astreints, que nous pouvons mettre en place en confiance un dispositif de ce type en garantissant la confidentialité et la sécurité des données des personnes. »

Une réussite collective

Pour Gildine Croizé, la clé de la réussite a été la grande transversalité. « Nous avons donné, dans un contexte difficile et sur des délais courts, l’exemple de ce que nous pouvons faire de mieux quand nous travaillons véritablement ensemble. » Ce travail transversal, fondé sur des équipes resserrées travaillant en mode agile, s’est fait sur toute la chaîne  de la conception du contact tracing jusqu’à sa mise en œuvre. « Nous avons, explique-t-elle, prêté une grande attention à la façon dont nos préconisations allaient avoir un impact sur la façon de travailler des enquêteurs et nous avons analysé soigneusement leurs remontées ». Cette prise en compte du terrain dans la conception du dispositif , conclut-elle, facilite et rend plus efficace la sensibilisation des enquêteurs sur la protection des données : « La clé de la réussite repose aussi sur l’investissement des délégués à la protection des données désignés dans chacun des organismes, et sur les managers de la sécurité des systèmes d’information (MSSI) pour que les collaborateurs s’approprient pleinement cette dimension fondamentale de notre rôle : garantir la confidentialité et la sécurité des données de santé ».

 

 

 

Ceci pourrait également vous intéresser