Avec ce r\u00e8glement on va passer d\u2019une logique de validation a priori par l\u2019autorit\u00e9 de contr\u00f4le, la CNIL en France, tel qu\u2019il \u00e9tait inscrit par exemple dans la loi fran\u00e7aise de 1978 avec les \u00ab formalit\u00e9s pr\u00e9alables \u00bb (d\u00e9claration, autorisation, etc.) \u00e0 une logique de validation a posteriori du traitement impliquant une responsabilit\u00e9 renforc\u00e9e des acteurs mais aussi, et c\u2019est un point essentiel, une plus grande flexibilit\u00e9 et r\u00e9activit\u00e9 pour les administrations et les entreprises. En effet, demain, une entreprise qui souhaitera effectuer un nouveau traitement aura toutes les cartes en main pour pouvoir le mettre en place dans des conditions et des d\u00e9lais dont elle aura la totale ma\u00eetrise. L\u2019entreprise n\u2019aura plus \u00e0 faire de formalit\u00e9s pr\u00e9alables qui peuvent parfois prendre du temps, voire ne pas aboutir ou tout simplement d\u00e9courager. En contrepartie, l\u2019entreprise devra avoir fortement pris en consid\u00e9ration en amont les enjeux de s\u00e9curit\u00e9 des donn\u00e9es.<\/p>\n
Ce faisant, nombre d\u2019organisations devront investir pour \u00eatre en mesure de prouver qu\u2019elles ont fait le n\u00e9cessaire pour garantir la s\u00e9curit\u00e9 des donn\u00e9es. En cas de contr\u00f4le de la CNIL, dont les moyens pour cette mission vont \u00eatre renforc\u00e9s, ou en cas d\u2019incident, comme un piratage de donn\u00e9es, le responsable de traitement devra apporter la preuve que toutes les mesures de protection des donn\u00e9es qui s\u2019imposaient ont \u00e9t\u00e9 prises. Concr\u00e8tement en fonction de la sensibilit\u00e9 des donn\u00e9es et du traitement envisag\u00e9, le responsable de traitement devra avoir effectu\u00e9 une analyse de risque couvrant l\u2019ensemble du p\u00e9rim\u00e8tre dont il a la responsabilit\u00e9 en mesurant en particulier l\u2019impact sur la vie priv\u00e9e que pourrait produire chaque risque identifi\u00e9. L\u2019\u00a0\u00ab\u00a0actif\u00a0\u00bb donn\u00e9es \u00e0 caract\u00e8re personnel devra \u00eatre au centre de cette analyse de risque (PIA\u00a0: \u00e9tudes d\u2019impact sur la vie priv\u00e9e).<\/p>\n
Par ailleurs, ce nouveau r\u00e8glement impose aussi une responsabilit\u00e9 renforc\u00e9e pour les sous-traitants (data-processor, article 28) pour garantir la s\u00e9curit\u00e9 des donn\u00e9es. Il donne un pouvoir accru aux responsables de traitement (data-controller) en mati\u00e8re de contr\u00f4le sur l\u2019activit\u00e9 du sous-traitant, voire la possibilit\u00e9 de r\u00e9aliser des audits dans certains cas. Le sous-traitant doit aussi r\u00e9aliser une analyse de risque sur la partie le concernant qu\u2019il doit transmettre au responsable de traitement. Enfin et surtout, le sous-traitant engage d\u00e9sormais sa responsabilit\u00e9 juridique en cas d\u2019incident, l\u00e0 o\u00f9 auparavant seul le responsable de traitement \u00e9tait responsable.<\/p>\n
Le CASD dans le contexte du RGPD<\/h3>\n
Le CASD est un service permettant aux utilisateurs (chercheurs, entreprises, datascientist\u2026) de travailler \u00e0 distance, de mani\u00e8re hautement s\u00e9curis\u00e9e, sur des bases de donn\u00e9es confidentielles, dans le respect des lois et des exigences de protection de libert\u00e9s individuelles. Le CASD est une entit\u00e9 du Genes, Groupe des \u00e9coles nationales d\u2019\u00e9conomie et statistique, \u00e9tablissement public, qui regroupe l\u2019Ensae, l\u2019Ensai, le Crest et Ensae-Ensai formation continue (le cepe). Le CASD s\u2019adresse principalement \u00e0 la recherche publique.<\/p>\n
Le CASD fournit un acc\u00e8s s\u00e9curis\u00e9 \u00e0 de nombreuses sources de donn\u00e9es confidentielles confi\u00e9es par diff\u00e9rentes administrations et entreprises priv\u00e9es. Ces sources de donn\u00e9es sont le plus souvent couvertes par un secret professionnel comme le secret des affaires, le secret statistique, le secret fiscal, le secret m\u00e9dical, le secret industriel et commercial.<\/p>\n
Le CASD a mis en place un dispositif ultra s\u00e9curis\u00e9 pour limiter les risques associ\u00e9s \u00e0 la mise \u00e0 disposition de ces donn\u00e9es qui peuvent \u00eatre parfois extr\u00eamement sensibles.<\/p>\n
[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row make_fullwidth=\u00a0\u00bboff\u00a0\u00bb use_custom_width=\u00a0\u00bboff\u00a0\u00bb width_unit=\u00a0\u00bboff\u00a0\u00bb custom_width_px=\u00a0\u00bb1080px\u00a0\u00bb custom_width_percent=\u00a0\u00bb80%\u00a0\u00bb use_custom_gutter=\u00a0\u00bboff\u00a0\u00bb gutter_width=\u00a0\u00bb3″ custom_padding=\u00a0\u00bb0px|0px|0px|0px\u00a0\u00bb allow_player_pause=\u00a0\u00bboff\u00a0\u00bb parallax=\u00a0\u00bboff\u00a0\u00bb parallax_method=\u00a0\u00bbon\u00a0\u00bb make_equal=\u00a0\u00bboff\u00a0\u00bb parallax_1=\u00a0\u00bboff\u00a0\u00bb parallax_method_1=\u00a0\u00bbon\u00a0\u00bb parallax_2=\u00a0\u00bboff\u00a0\u00bb parallax_method_2=\u00a0\u00bbon\u00a0\u00bb parallax_3=\u00a0\u00bboff\u00a0\u00bb parallax_method_3=\u00a0\u00bbon\u00a0\u00bb parallax_4=\u00a0\u00bboff\u00a0\u00bb parallax_method_4=\u00a0\u00bbon\u00a0\u00bb disabled=\u00a0\u00bboff\u00a0\u00bb][et_pb_column type=\u00a0\u00bb4_4″ disabled=\u00a0\u00bboff\u00a0\u00bb parallax=\u00a0\u00bboff\u00a0\u00bb parallax_method=\u00a0\u00bbon\u00a0\u00bb][et_pb_blurb url_new_window=\u00a0\u00bboff\u00a0\u00bb use_icon=\u00a0\u00bboff\u00a0\u00bb icon_color=\u00a0\u00bb#00a8ff\u00a0\u00bb use_circle=\u00a0\u00bboff\u00a0\u00bb circle_color=\u00a0\u00bb#00a8ff\u00a0\u00bb use_circle_border=\u00a0\u00bboff\u00a0\u00bb circle_border_color=\u00a0\u00bb#00a8ff\u00a0\u00bb icon_placement=\u00a0\u00bbtop\u00a0\u00bb animation=\u00a0\u00bbtop\u00a0\u00bb background_layout=\u00a0\u00bblight\u00a0\u00bb text_orientation=\u00a0\u00bbcenter\u00a0\u00bb use_icon_font_size=\u00a0\u00bboff\u00a0\u00bb icon_font_size=\u00a0\u00bb96px\u00a0\u00bb background_color=\u00a0\u00bbrgba(4,97,237,0.08)\u00a0\u00bb use_border_color=\u00a0\u00bbon\u00a0\u00bb border_color=\u00a0\u00bb#ffffff\u00a0\u00bb border_width=\u00a0\u00bb57px\u00a0\u00bb border_style=\u00a0\u00bbsolid\u00a0\u00bb disabled=\u00a0\u00bboff\u00a0\u00bb]<\/p>\n
![\"\"](\"wp-content\/uploads\/2018\/01\/CASD.jpg\")
<\/p>\n
Les principes qui ont conduit \u00e0 la conception de l\u2019\u00e9quipement CASD peuvent \u00eatre illustr\u00e9s par une analogie avec un \u00e9quipement couramment utilis\u00e9 par les chercheurs dans le domaine de la chimie. Lorsqu\u2019un chimiste doit travailler sur un produit dangereux qui n\u00e9cessite une atmosph\u00e8re particuli\u00e8re, il utilise ce qu\u2019on appelle une bo\u00eete \u00e0 gants (\u00ab\u00a0glovebox\u00a0\u00bb en anglais)\u00a0: il s\u2019agit d\u2019une enceinte \u00e9tanche dans laquelle sont plac\u00e9s les produits et les outils n\u00e9cessaires \u00e0 la manipulation de ceux-ci. De longs gants \u00e9tanches sont int\u00e9gr\u00e9s \u00e0 une paroi transparente de l\u2019enceinte afin que le chercheur puisse glisser ses mains \u00e0 l\u2019int\u00e9rieur de ces gants et puisse ainsi interagir avec les \u00e9l\u00e9ments qui sont pr\u00e9sents dans l\u2019enceinte afin d\u2019en pr\u00e9server le confinement<\/strong>. L\u2019utilisateur est bien identifi\u00e9, il peut voir les produits, il dispose des outils pour manipuler les produits, il peut travailler dans un environnement qui lui est familier. Il ne peut cependant pas introduire, ni extraire de produit sans une proc\u00e9dure particuli\u00e8re. Enfin, il est aussi lui-m\u00eame prot\u00e9g\u00e9 du risque de diss\u00e9mination des produits chimiques.<\/p>\n Cette analogie est tr\u00e8s illustrative de ce qu\u2019est un centre d\u2019acc\u00e8s s\u00e9curis\u00e9 aux donn\u00e9es. L\u2019objectif est de maintenir la confidentialit\u00e9 des donn\u00e9es en les confinant et en garantissant l\u2019identit\u00e9 de l\u2019utilisateur m\u00eame lorsqu\u2019il s\u2019agit d\u2019une utilisation \u00e0 distance. Pour son travail, l\u2019utilisateur peut voir les donn\u00e9es, dispose des outils logiciels pour les manipuler dans de bonnes conditions dans un environnement qui lui est familier. Pour garantir le confinement, le dispositif emp\u00eache techniquement l\u2019utilisateur\u00a0 d\u2019introduire ou de r\u00e9cup\u00e9rer de lui-m\u00eame des fichiers de donn\u00e9es (par t\u00e9l\u00e9chargement, copier\/coller, impression, cl\u00e9s usb\u2026). Des proc\u00e9dures sp\u00e9cifiques sont pr\u00e9vues pour ins\u00e9rer des scripts, des donn\u00e9es ou des nomenclatures, et pour sortir des\u00a0 fichiers de r\u00e9sultats qui ne contiennent plus de donn\u00e9es confidentielles. Le confinement, ainsi qu\u2019une authentification forte, sont n\u00e9cessaires pour garantir un haut niveau de s\u00e9curit\u00e9 et pr\u00e9server la confidentialit\u00e9 des donn\u00e9es.<\/p>\n L\u2019\u00e9quipement CASD est constitu\u00e9 de bo\u00eetiers d\u2019acc\u00e8s sp\u00e9cifiquement con\u00e7us \u00e0 cet effet : les SD-Box, qu\u2019on pourrait comparer aux gants ci-dessus, et une infrastructure centrale s\u00e9curis\u00e9e (l\u2019enceinte de confinement ou \u00ab bulle s\u00e9curis\u00e9e<\/strong> \u00bb), h\u00e9berg\u00e9e dans les locaux du Genes, et accessible uniquement \u00e0 partir de bo\u00eetiers SD-Box. Ce bo\u00eetier et cette infrastructure centrale forment un ensemble ferm\u00e9 et \u00e9tanche dans lequel les utilisateurs authentifi\u00e9s de mani\u00e8re biom\u00e9trique peuvent travailler sur les donn\u00e9es sans qu\u2019\u00e0 aucun moment ils ne puissent les r\u00e9cup\u00e9rer par eux-m\u00eames sous forme de fichiers.<\/p>\n [\/et_pb_blurb][\/et_pb_column][\/et_pb_row][et_pb_row make_fullwidth=\u00a0\u00bboff\u00a0\u00bb use_custom_width=\u00a0\u00bboff\u00a0\u00bb width_unit=\u00a0\u00bboff\u00a0\u00bb custom_width_px=\u00a0\u00bb1080px\u00a0\u00bb custom_width_percent=\u00a0\u00bb80%\u00a0\u00bb use_custom_gutter=\u00a0\u00bboff\u00a0\u00bb gutter_width=\u00a0\u00bb3″ custom_padding=\u00a0\u00bb0px|0px|0px|0px\u00a0\u00bb allow_player_pause=\u00a0\u00bboff\u00a0\u00bb parallax=\u00a0\u00bboff\u00a0\u00bb parallax_method=\u00a0\u00bbon\u00a0\u00bb make_equal=\u00a0\u00bboff\u00a0\u00bb parallax_1=\u00a0\u00bboff\u00a0\u00bb parallax_method_1=\u00a0\u00bbon\u00a0\u00bb parallax_2=\u00a0\u00bboff\u00a0\u00bb parallax_method_2=\u00a0\u00bbon\u00a0\u00bb parallax_3=\u00a0\u00bboff\u00a0\u00bb parallax_method_3=\u00a0\u00bbon\u00a0\u00bb parallax_4=\u00a0\u00bboff\u00a0\u00bb parallax_method_4=\u00a0\u00bbon\u00a0\u00bb admin_label=\u00a0\u00bbrow\u00a0\u00bb disabled=\u00a0\u00bboff\u00a0\u00bb][et_pb_column type=\u00a0\u00bb4_4″ disabled=\u00a0\u00bboff\u00a0\u00bb parallax=\u00a0\u00bboff\u00a0\u00bb parallax_method=\u00a0\u00bbon\u00a0\u00bb][et_pb_text background_layout=\u00a0\u00bblight\u00a0\u00bb text_orientation=\u00a0\u00bbleft\u00a0\u00bb admin_label=\u00a0\u00bbTexte\u00a0\u00bb use_border_color=\u00a0\u00bboff\u00a0\u00bb border_style=\u00a0\u00bbsolid\u00a0\u00bb disabled=\u00a0\u00bboff\u00a0\u00bb]<\/p>\n Le CASD poursuit aussi une strat\u00e9gie de certification pour formaliser et garantir son niveau de s\u00e9curit\u00e9 (h\u00e9bergeur de donn\u00e9es de sant\u00e9, ISO27001, GDPR\u2026). Maintenir un niveau de s\u00e9curit\u00e9 \u00e9lev\u00e9 sur tous les composants du service demande une implication forte des \u00e9quipes que ce soit pour la veille technologique, la recherche et le d\u00e9veloppement (R&D) ou pour l\u2019exploitation courante. Cela exige donc une garantie de moyen qui se traduit dans les contrats que signe le CASD avec les d\u00e9tenteurs de donn\u00e9es par une obligation de r\u00e9sultats.<\/p>\n Ces exigences deviennent de fait des obligations dans le cadre du nouveau r\u00e8glement europ\u00e9en (RGPD). Le CASD a r\u00e9alis\u00e9 et continue de r\u00e9aliser des analyses de risque exhaustives sur l\u2019ensemble des traitements dont il a la responsabilit\u00e9. Un des principes fondamentaux du CASD est de limiter au strict n\u00e9cessaire la surface d\u2019exposition de ses services afin, bien entendu, de limiter les risques pour les donn\u00e9es. C\u2019est ainsi que l\u2019infrastructure du CASD, appel\u00e9e \u00ab\u00a0bulle s\u00e9curis\u00e9e\u00a0\u00bb, est totalement ind\u00e9pendante de tout autre syst\u00e8me d\u2019information\u00a0: elle fonctionne en circuit ferm\u00e9 avec des boitiers totalement d\u00e9di\u00e9s (appel\u00e9s SD-Box) qui ne communiquent que via des tunnels chiffr\u00e9s. Cette restriction de la surface d\u2019exposition permet aussi de concentrer ses efforts sur un p\u00e9rim\u00e8tre de s\u00e9curit\u00e9 plus restreint et de le ma\u00eetriser de bout en bout.<\/p>\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row make_fullwidth=\u00a0\u00bboff\u00a0\u00bb use_custom_width=\u00a0\u00bboff\u00a0\u00bb width_unit=\u00a0\u00bboff\u00a0\u00bb custom_width_px=\u00a0\u00bb1080px\u00a0\u00bb custom_width_percent=\u00a0\u00bb80%\u00a0\u00bb use_custom_gutter=\u00a0\u00bboff\u00a0\u00bb gutter_width=\u00a0\u00bb3″ custom_padding=\u00a0\u00bb0px|0px|0px|0px\u00a0\u00bb allow_player_pause=\u00a0\u00bboff\u00a0\u00bb parallax=\u00a0\u00bboff\u00a0\u00bb parallax_method=\u00a0\u00bbon\u00a0\u00bb make_equal=\u00a0\u00bboff\u00a0\u00bb parallax_1=\u00a0\u00bboff\u00a0\u00bb parallax_method_1=\u00a0\u00bbon\u00a0\u00bb parallax_2=\u00a0\u00bboff\u00a0\u00bb parallax_method_2=\u00a0\u00bbon\u00a0\u00bb parallax_3=\u00a0\u00bboff\u00a0\u00bb parallax_method_3=\u00a0\u00bbon\u00a0\u00bb parallax_4=\u00a0\u00bboff\u00a0\u00bb parallax_method_4=\u00a0\u00bbon\u00a0\u00bb disabled=\u00a0\u00bboff\u00a0\u00bb][et_pb_column type=\u00a0\u00bb4_4″ disabled=\u00a0\u00bboff\u00a0\u00bb parallax=\u00a0\u00bboff\u00a0\u00bb parallax_method=\u00a0\u00bbon\u00a0\u00bb][et_pb_blurb url_new_window=\u00a0\u00bboff\u00a0\u00bb use_icon=\u00a0\u00bboff\u00a0\u00bb icon_color=\u00a0\u00bb#00a8ff\u00a0\u00bb use_circle=\u00a0\u00bboff\u00a0\u00bb circle_color=\u00a0\u00bb#00a8ff\u00a0\u00bb use_circle_border=\u00a0\u00bboff\u00a0\u00bb circle_border_color=\u00a0\u00bb#00a8ff\u00a0\u00bb icon_placement=\u00a0\u00bbtop\u00a0\u00bb animation=\u00a0\u00bbtop\u00a0\u00bb background_layout=\u00a0\u00bblight\u00a0\u00bb text_orientation=\u00a0\u00bbcenter\u00a0\u00bb use_icon_font_size=\u00a0\u00bboff\u00a0\u00bb icon_font_size=\u00a0\u00bb96px\u00a0\u00bb background_color=\u00a0\u00bbrgba(4,97,237,0.08)\u00a0\u00bb use_border_color=\u00a0\u00bbon\u00a0\u00bb border_color=\u00a0\u00bb#ffffff\u00a0\u00bb border_width=\u00a0\u00bb57px\u00a0\u00bb border_style=\u00a0\u00bbsolid\u00a0\u00bb disabled=\u00a0\u00bboff\u00a0\u00bb]<\/p>\n Pour les entreprises, le nouveau r\u00e8glement europ\u00e9en entra\u00eenera certainement des mutations profondes de leurs syst\u00e8mes d\u2019information pour limiter davantage, \u00e0 l\u2019instar de que fait le CASD, les risques qui pourraient peser sur les donn\u00e9es \u00e0 caract\u00e8re personnel qu\u2019elles d\u00e9tiennent. Nous devrions assister dans les prochaines ann\u00e9es \u00e0 l\u2019\u00e9mergence de \u00ab\u00a0bulles s\u00e9curis\u00e9es\u00a0\u00bb dans les entreprises pour les traitements sur des donn\u00e9es particuli\u00e8rement sensibles. C\u2019est m\u00eame une pr\u00e9conisation des services de la CNIL.<\/p>\n [\/et_pb_blurb][\/et_pb_column][\/et_pb_row][et_pb_row make_fullwidth=\u00a0\u00bboff\u00a0\u00bb use_custom_width=\u00a0\u00bboff\u00a0\u00bb width_unit=\u00a0\u00bboff\u00a0\u00bb custom_width_px=\u00a0\u00bb1080px\u00a0\u00bb custom_width_percent=\u00a0\u00bb80%\u00a0\u00bb use_custom_gutter=\u00a0\u00bboff\u00a0\u00bb gutter_width=\u00a0\u00bb3″ custom_padding=\u00a0\u00bb0px|0px|0px|0px\u00a0\u00bb allow_player_pause=\u00a0\u00bboff\u00a0\u00bb parallax=\u00a0\u00bboff\u00a0\u00bb parallax_method=\u00a0\u00bbon\u00a0\u00bb make_equal=\u00a0\u00bboff\u00a0\u00bb parallax_1=\u00a0\u00bboff\u00a0\u00bb parallax_method_1=\u00a0\u00bbon\u00a0\u00bb parallax_2=\u00a0\u00bboff\u00a0\u00bb parallax_method_2=\u00a0\u00bbon\u00a0\u00bb parallax_3=\u00a0\u00bboff\u00a0\u00bb parallax_method_3=\u00a0\u00bbon\u00a0\u00bb parallax_4=\u00a0\u00bboff\u00a0\u00bb parallax_method_4=\u00a0\u00bbon\u00a0\u00bb admin_label=\u00a0\u00bbrow\u00a0\u00bb disabled=\u00a0\u00bboff\u00a0\u00bb][et_pb_column type=\u00a0\u00bb4_4″ disabled=\u00a0\u00bboff\u00a0\u00bb parallax=\u00a0\u00bboff\u00a0\u00bb parallax_method=\u00a0\u00bbon\u00a0\u00bb][et_pb_text background_layout=\u00a0\u00bblight\u00a0\u00bb text_orientation=\u00a0\u00bbleft\u00a0\u00bb admin_label=\u00a0\u00bbTexte\u00a0\u00bb use_border_color=\u00a0\u00bboff\u00a0\u00bb border_style=\u00a0\u00bbsolid\u00a0\u00bb disabled=\u00a0\u00bboff\u00a0\u00bb]<\/p>\n D\u00e9j\u00e0, le CASD commence \u00e0 r\u00e9pondre \u00e0 de nombreuses sollicitations d\u2019organismes de recherche afin de leur fournir un service de bulle s\u00e9curis\u00e9e<\/strong>. Une telle technologie permet notamment de concentrer l\u2019investissement n\u00e9cessaire en s\u00e9curit\u00e9 sur l\u2019institution d\u00e9tentrice des donn\u00e9es sans avoir besoin d\u2019en r\u00e9aliser davantage dans les institutions utilisatrices souvent nombreuses et dispers\u00e9es comme cela est particuli\u00e8rement le cas dans le domaine de la recherche en sant\u00e9.<\/p>\n Cette technologie pourrait \u00e9galement trouver des d\u00e9veloppements dans la cr\u00e9ation dans le contexte de la recherche scientifique de r\u00e9seaux de centres s\u00e9curis\u00e9s \u00e0 l\u2019int\u00e9rieur des espaces nationaux ou de l\u2019espace europ\u00e9en (pour ce dernier facilit\u00e9 par l\u2019homog\u00e9n\u00e9isation induite par le RGDP) permettant l\u2019utilisation conjointe de donn\u00e9es personnelles et sensibles d\u00e9tenues dans des centres diff\u00e9rents.<\/p>\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":" RGPD ou le principe du \u00ab\u00a0trust and control\u00a0\u00bb L\u2019entr\u00e9e en vigueur en mai 2018 du nouveau r\u00e8glement europ\u00e9en sur la protection des donn\u00e9es personnelles (RGPD) destin\u00e9 \u00e0 homog\u00e9n\u00e9iser cette protection et \u00e0 en faciliter le transfert \u00e0 l\u2019int\u00e9rieur de l\u2019espace europ\u00e9en, va \u00e9galement op\u00e9rer un renversement important en mati\u00e8re de responsabilit\u00e9 des diff\u00e9rents acteurs pour […]<\/p>\n","protected":false},"author":115,"featured_media":2809,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":" L\u2019entr\u00e9e en vigueur en mai 2018 du nouveau r\u00e8glement europ\u00e9en sur la protection des donn\u00e9es personnelles (RGPD) destin\u00e9 \u00e0 homog\u00e9n\u00e9iser cette protection et \u00e0 en faciliter le transfert \u00e0 l\u2019int\u00e9rieur de l\u2019espace europ\u00e9en, va \u00e9galement op\u00e9rer un renversement important en mati\u00e8re de responsabilit\u00e9 des diff\u00e9rents acteurs pour \u00a0l\u2019acc\u00e8s et le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel. Plus contraignant pour l\u2019Etat et les entreprises, ce r\u00e8glement va dans le sens d\u2019une plus grande responsabilisation des acteurs collecteurs ou producteurs des donn\u00e9es selon un principe cher aux Anglo-saxons, le principe du \u00ab trust and control \u00bb\u00a0<\/strong>: une plus grande flexibilit\u00e9, voire agilit\u00e9, pour les administrations et les entreprises en \u00e9change d\u2019une responsabilisation renforc\u00e9e et de moyens de contr\u00f4le du r\u00e9gulateur eux aussi renforc\u00e9s.\u00a0 \u00a0<\/p> Avec ce r\u00e8glement on va passer d\u2019une logique de validation a priori par l\u2019autorit\u00e9 de contr\u00f4le, la CNIL en France, tel qu\u2019il \u00e9tait inscrit par exemple dans la loi fran\u00e7aise de 1978 avec les \u00ab formalit\u00e9s pr\u00e9alables \u00bb (d\u00e9claration, autorisation, etc.) \u00e0 une logique de validation a posteriori du traitement impliquant une responsabilit\u00e9 renforc\u00e9e des acteurs mais aussi, et c\u2019est un point essentiel, une plus grande flexibilit\u00e9 et r\u00e9activit\u00e9 pour les administrations et les entreprises. En effet, demain, une entreprise qui souhaitera effectuer un nouveau traitement aura toutes les cartes en main pour pouvoir le mettre en place dans des conditions et des d\u00e9lais dont elle aura la totale ma\u00eetrise. L\u2019entreprise n\u2019aura plus \u00e0 faire de formalit\u00e9s pr\u00e9alables qui peuvent parfois prendre du temps, voire ne pas aboutir ou tout simplement d\u00e9courager. En contrepartie, l\u2019entreprise devra avoir fortement pris en consid\u00e9ration en amont les enjeux de s\u00e9curit\u00e9 des donn\u00e9es.\u00a0 \u00a0<\/p> Ce faisant, nombre d\u2019organisations devront investir pour \u00eatre en mesure de prouver qu\u2019elles ont fait le n\u00e9cessaire pour garantir la s\u00e9curit\u00e9 des donn\u00e9es. En cas de contr\u00f4le de la CNIL, dont les moyens pour cette mission vont \u00eatre renforc\u00e9s, ou en cas d\u2019incident, comme un piratage de donn\u00e9es, le responsable de traitement devra apporter la preuve que toutes les mesures de protection des donn\u00e9es qui s\u2019imposaient ont \u00e9t\u00e9 prises. Concr\u00e8tement en fonction de la sensibilit\u00e9 des donn\u00e9es et du traitement envisag\u00e9, le responsable de traitement devra avoir effectu\u00e9 une analyse de risque couvrant l\u2019ensemble du p\u00e9rim\u00e8tre dont il a la responsabilit\u00e9 en mesurant en particulier l\u2019impact sur la vie priv\u00e9e que pourrait produire chaque risque identifi\u00e9. L\u2019\u00a0\u00ab\u00a0actif\u00a0\u00bb donn\u00e9es \u00e0 caract\u00e8re personnel devra \u00eatre au centre de cette analyse de risque (PIA\u00a0: \u00e9tudes d\u2019impact sur la vie priv\u00e9e).<\/p> \u00a0Par ailleurs, ce nouveau r\u00e8glement impose aussi une responsabilit\u00e9 renforc\u00e9e pour les sous-traitants (data-processor, article 28) pour garantir la s\u00e9curit\u00e9 des donn\u00e9es. Il donne un pouvoir accru aux responsables de traitement (data-controller) en mati\u00e8re de contr\u00f4le sur l\u2019activit\u00e9 du sous-traitant, voire la possibilit\u00e9 de r\u00e9aliser des audits dans certains cas. Le sous-traitant doit aussi r\u00e9aliser une analyse de risque sur la partie le concernant qu\u2019il doit transmettre au responsable de traitement. Enfin et surtout, le sous-traitant engage d\u00e9sormais sa responsabilit\u00e9 juridique en cas d\u2019incident, l\u00e0 o\u00f9 auparavant seul le responsable de traitement \u00e9tait responsable.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0<\/p> Le CASD est un service permettant aux utilisateurs (chercheurs, entreprises, datascientist\u2026) de travailler \u00e0 distance, de mani\u00e8re hautement s\u00e9curis\u00e9e, sur des bases de donn\u00e9es confidentielles, dans le respect des lois et des exigences de protection de libert\u00e9s individuelles. Le CASD est une entit\u00e9 du Genes, Groupe des \u00e9coles nationales d\u2019\u00e9conomie et statistique, \u00e9tablissement public, qui regroupe l\u2019Ensae, l\u2019Ensai, le Crest et Ensae-Ensai formation continue (le cepe). Le CASD s\u2019adresse principalement \u00e0 la recherche publique.<\/p> Le CASD fournit un acc\u00e8s s\u00e9curis\u00e9 \u00e0 de nombreuses sources de donn\u00e9es confidentielles confi\u00e9es par diff\u00e9rentes administrations et entreprises priv\u00e9es. Ces sources de donn\u00e9es sont le plus souvent couvertes par un secret professionnel comme le secret des affaires, le secret statistique, le secret fiscal, le secret m\u00e9dical, le secret industriel et commercial.<\/p> Le CASD a mis en place un dispositif ultra s\u00e9curis\u00e9 pour limiter les risques associ\u00e9s \u00e0 la mise \u00e0 disposition de ces donn\u00e9es qui peuvent \u00eatre parfois extr\u00eamement sensibles.<\/p>","_et_gb_content_width":"","_exactmetrics_skip_tracking":false,"_exactmetrics_sitenote_active":false,"_exactmetrics_sitenote_note":"","_exactmetrics_sitenote_category":0,"footnotes":""},"categories":[99,135],"tags":[],"class_list":["post-2803","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-big-data","category-tribune","et-has-post-format-content","et_post_format-et-post-format-standard"],"_links":{"self":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts\/2803","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/users\/115"}],"replies":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2803"}],"version-history":[{"count":0,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/posts\/2803\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=\/wp\/v2\/media\/2809"}],"wp:attachment":[{"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2803"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2803"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/variances.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2803"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}RGPD ou le principe du \u00ab\u00a0trust and control\u00a0\u00bb<\/h3>
Le CASD dans le contexte du RGPD<\/h3>