00:00Bonjour à toutes et tous. Dans cette nouvelle saison de Paroles d'experts de la Minumeco,
00:04explorons comment mettre en œuvre un numérique plus responsable dans nos administrations.
00:11Dans chaque ministère, le traitement de données personnelles est omniprésent et bien entendu très important.
00:17C'est d'autant plus vrai dans la sphère sécurité sociale.
00:20Nous allons écouter Ève Julien, DPO de la Direction de la Sécurité Sociale, nous expliquer ses missions.
00:24On doit désigner dans des grandes structures, soit un DPD et un DPO, c'est la même chose mais c'est en anglais.
00:30DPO c'est le sigle en anglais, Data Protection Officer, et DPD c'est le délégué à la protection des données.
00:35On utilise l'un ou l'autre alternativement.
00:38En général, c'est une seule personne. Parfois dans les grosses structures, on peut avoir un adjoint.
00:44Le rôle du DPD est défini par le RGPD et l'objectif c'est vraiment d'informer et de conseiller
00:50ceux qui mettent en œuvre les traitements de données.
00:53Donc il y a un rôle d'appui, de conseil au quotidien.
00:57Et il a aussi un rôle de vérification et de contrôle de la bonne application du RGPD.
01:02C'est aussi l'interlocuteur privilégié, par exemple de la CNIL en France,
01:06donc de l'autorité qui contrôle l'application du RGPD.
01:09Donc si par exemple il y a une difficulté, imaginons une situation où on a un problème de fuite de données
01:16ou de divulgation de données, ce sera l'interlocuteur naturel de la CNIL sur tous ces sujets-là.
01:21Les données personnelles sont à la fois précieuses et sensibles.
01:24Elles permettent de mieux concevoir les politiques publiques ou des services aux usagers,
01:28mais leur utilisation doit être strictement encadrée pour concilier à la fois l'efficacité
01:32et le respect des droits fondamentaux.
01:34Quand par exemple, nous à la DSS, on a besoin de se dire,
01:38ben voilà, on va mettre en place une nouvelle prestation ou un nouvel avantage,
01:41où on va créer un nouveau droit pour les usagers, pour les assurer,
01:45on sait qu'on va avoir besoin de données à caractère personnel pour dimensionner le projet,
01:50donc en amont.
01:51Et ensuite, en aval, pour être sûr qu'on a bien touché le cœur de cible.
01:55Si par exemple, on met en place un dispositif pour aider des personnes
01:59qui ont besoin de compléments de revenus,
02:02il faut qu'on soit certain qu'on a bien identifié la population la plus vulnérable,
02:06celle qui a vraiment besoin de ces éléments-là.
02:09Donc le RGPD, il est là pour aider ceux qui sont responsables dans les structures
02:13à trouver un équilibre entre protection et utilisation et exploitation de ces données.
02:17Donc ce que nous dit le RGPD, c'est qu'on a un certain nombre de principes,
02:21par exemple le principe de minimisation,
02:22c'est-à-dire qu'on ne doit collecter ou traiter que les données dont on a vraiment besoin.
02:27Le RGPD prévoit d'autres principes protecteurs en plus de celui de minimisation.
02:32Si vous voulez en savoir plus, consultez le MOOC sur mentor.gouv.fr
02:36dédié au numérique responsable et à la gestion de projets numériques.
02:40On a un certain nombre de catégories,
02:42on a une espèce de grosse patate qui sont les données à caractère personnel.
02:47Et ça, alors il faut être très vigilant sur ce point,
02:49mais ce qu'on appelle données à caractère personnel,
02:52c'est un périmètre extrêmement large.
02:54Donc ça englobe à la fois des données nominatives,
02:57mon nom et mon prénom, Ève-Julien, ma date de naissance.
03:00Ça englobe également des données qui sont indirectement identifiantes,
03:03c'est-à-dire qui permettent de remonter jusqu'à moi.
03:06Ça peut être mon poids, ça peut être ma fonction actuellement.
03:11Donc ça, c'est le deuxième cercle, en quelque sorte.
03:14Et on a un cercle encore un peu plus large,
03:17qui sont des données qui ne sont pas forcément directement identifiantes,
03:21mais qui permettent de remonter jusqu'à un individu.
03:23Au-delà des aspects juridiques,
03:24la protection des données personnelles soulève d'autres enjeux transversaux,
03:28notamment en matière d'environnement,
03:30de souveraineté numérique
03:31et de responsabilité des acteurs impliqués dans leur traitement.
03:34On a cette problématique d'impact environnemental
03:37et qui va de pair avec les problématiques de débergement des données
03:42et de souveraineté,
03:44puisqu'on a une attention accrue sur où est-ce que ces données sont localisées,
03:51sachant que le RGPD nous dit que ça doit être sur le territoire de l'Union européenne
03:54ou alors sur un territoire qui présente un niveau au moins équivalent de protection.
04:01Donc ce sujet impact environnemental,
04:03ce sujet souveraineté sur les données
04:04et aussi son corollaire qui est les enjeux de propriété.
04:09Alors c'est un terme impropre parce qu'il n'y a pas de propriété des données,
04:13mais qui en est vraiment responsable
04:15avec souvent des sujets de chaînes de prestataires
04:19ou de chaînes de délégation de responsabilité.
04:22Oui, oui, c'est des enjeux qu'on doit prendre en compte
04:26et qu'on prend de plus en plus en compte.
04:29Et en général, on les intègre dans les formalités
04:32qu'on doit accomplir.
04:33Dans le cadre du RGPD, on a par exemple un registre de traitement
04:37qui est une sorte de carte d'identité de tous les traitements
04:40que la structure met en œuvre.
04:43Et puis, on a aussi, suivant la nature des traitements
04:46qu'on ait en place, une analyse d'impact à rédiger.
04:49Et là aussi, c'est une espèce de carte d'identité,
04:51mais un peu plus détaillée.
04:52Et on doit s'assurer qu'on tient compte de tous ces éléments-là.
04:57Donc à la fois des questions de sécurité et de localisation des données,
05:01de qui est vraiment responsable de ces données.
05:04Et on doit pouvoir retracer qui est responsable,
05:06à quel moment, où elles sont stockées,
05:08comment elles sont conservées.
05:10Est-ce qu'on a prévu de les supprimer ou de les archiver ?
05:13Et si oui, comment est-ce que ça se fera ?
05:16Et puis, le sujet environnemental commence progressivement
05:19à être intégré à ces problématiques-là.
05:22Parce qu'il y a un vrai sujet de sûreté
05:25et de disponibilité des données.
05:27Si les enjeux RGPD semblent éloigner
05:29des préoccupations métiers ou techniques,
05:32elles doivent pourtant être pensées
05:33dès le départ d'un projet numérique.
05:35Il faut prendre ces enjeux au sérieux,
05:38les prendre le plus en amont possible.
05:40Ça aide d'une part à bien dimensionner le projet,
05:43à réduire au maximum le risque juridique
05:46qu'on prend collectivement
05:47et qu'on fait prendre aux données.
05:50Et surtout, ça permet de ne pas rompre
05:52la confiance du public.
05:54Penser aux enjeux RGPD
05:55dès la conception d'un projet,
05:57c'est réduire les risques,
05:58préserver la confiance des usagers
06:00et renforcer le sens de l'action publique.
06:02Les données ne sont pas qu'un outil,
06:03elles sont au cœur de la relation
06:04entre institutions et citoyens.
06:07Agents publics, pour améliorer vos pratiques,
06:09retrouvez toutes les ressources disponibles
06:10sur ecoresponsable.numérique.gouv.fr.
06:13Sous-titrage Société Radio-Canada
06:16...
06:19...
06:21...
06:23...
06:25...
06:29...
