Procédures d’habilitation

Comité du secret statistique

Le Comité du secret statistique (CSS) donne son avis sur les demandes d’accès aux données. Il est compétent pour les données individuelles, issues de la statistique publique ou administratives ou fiscales, ayant trait à la vie personnelle et familiale, les données individuelles d’ordre économique ou financier et peut donner un avis sur l’accès aux données individuelles collectées par les administrations, les organismes publics ou les organismes privés chargés d’une mission de service public.

Le comité se prononce notamment sur les demandes d’accès aux données des institutions suivantes :

Pour l’accès aux sources de données individuelles ci-dessus, l’habilitation est délivrée après avis favorable du CSS, accord du Producteur et des Archives.

Les étapes de la procédure pour accéder aux données sont les suivantes :


Identification des sources de données existantes et nécessaires, description du projet et contact avec le(s) service(s) producteur(s)

01


Pour effectuer une demande d’accès à des données confidentielles, vous devrez vous rendre sur le portail d’accès aux données confidentielles (CDAP). Ce portail vous permettra de créer votre compte et signer un engagement de confidentialité, puis de remplir votre dossier de demande. Dans votre dossier, veillez à faire figurer notamment la liste exhaustive des membres de l’équipe, l’ensemble des sources de données existantes et nécessaires, ainsi qu’une description claire de votre projet.
Après remplissage de votre dossier, vous devrez demander via CDAP l’accord préalable des services producteurs concernés.
Attention aux dates limites de dépôt et envoyez votre demande au(x) service(s) producteur(s) au moins 2 semaines avant la date limite de dépôt.
Pour plus de précision sur la procédure, veuillez consulter la page Procédures du site du Comité du secret.



Soumission du dossier de demande complet envoyé au secrétariat du comité

02


Après accord du(des) service(s) producteur(s), soumettez votre demande au comité via le portail CDAP.
Pour toute question sur la procédure, contactez le secrétariat du Comité du Secret via la messagerie du portail CDAP ou par email : secretariat@comite-du-secret.fr.




Étude du dossier par le comité et avis

03


Le comité donne son avis lors de séances plénières ou de consultations électroniques. Le secrétariat du comité transmet ensuite au responsable du projet l’extrait de compte rendu correspondant à sa demande.



Signature de l’accord par le service producteur et les Archives

04


À la suite d’un avis favorable du comité, les accords sont transmis aux services producteurs et aux Archives de France pour signature. L’accord signé par les Archives est adressé au responsable du projet ainsi qu’au CASD, et clôture la procédure juridique.


Pour l’accès aux données fiscales, la DGFIP émet des autorisations de communication. Ces documents vous seront envoyés directement par la DGFiP, suite à la réception de l’accord signé par les Archives.
Pour l’accès et le traitement de données à caractère personnel, rapprochez-vous de votre correspondant juridique, ou votre délégué à la protection des données le cas échéant, pour déterminer les formalités à effectuer (registre des traitements ou autorisation CNIL dans le cas de données de santé).


Obtention d’une carte d’accès lors d’une séance d’enrôlement et contractualisation auprès du casd

05


Les membres du projet souhaitant effectivement accéder aux données doivent assister à une séance d’enrôlement organisée dans nos locaux (inscription). Il s’agit d’une séance obligatoire de sensibilisation sur les aspects juridiques, statistiques et informatiques, ainsi qu’une prise d’empreinte digitale afin de vous remettre votre carte d’accès. Cet enrôlement standard a une durée de validité de 4 ans, pendant cette période, pour tout nouveau projet vous pouvez assistez à une séance express qui inclut uniquement la remise d’une nouvelle carte d’accès.
En parallèle, le CASD vous contactera afin de mettre en place la contractualisation avec votre institution. Ce processus de contractualisation peut également être concomitant avec la procédure auprès du Comité du Secret Statistique.



Accès aux données

06


Vous pourrez accéder aux données une fois l’ensemble des étapes précédentes accomplies.


Pour plus de précisons, consultez le guide utilisateur du CASD.

Habilitation par le déposant des données

Pour l’accès à certaines sources de données, l’habilitation est délivrée directement par le déposant des données :


Contact avec le déposant des données

01


Commencez par prendre contact avec le service producteur pour demander l’accès aux données souhaitées.



Envoi du document d’habilitation au CASD par le déposant des données

02


Une fois le document d’habilitation établi par le déposant des données, celui-ci le transmet au CASD pour entamer les démarches en vue de l’accès effectif aux données.


Pour l’accès et le traitement de données à caractère personnel, rapprochez-vous de votre correspondant juridique, ou votre délégué à la protection des données le cas échéant, pour déterminer les formalités à effectuer (registre des traitements ou autorisation CNIL dans le cas de données de santé).


Obtention d’une carte d’accès lors d’une séance d’enrôlement et contractualisation auprès du CASD

03


Les membres du projet souhaitant effectivement accéder aux données doivent assister à une séance d’enrôlement organisée dans nos locaux (inscription). Il s’agit d’une séance obligatoire de sensibilisation sur les aspects juridiques, statistiques et informatiques, ainsi qu’une prise d’empreinte digitale afin de vous remettre votre carte d’accès. Cet enrôlement standard a une durée de validité de 4 ans, pendant cette période, pour tout nouveau projet vous pouvez assistez à une séance express qui inclut uniquement la remise d’une nouvelle carte d’accès.
En parallèle, le CASD vous contactera afin de mettre en place la contractualisation nécessaire à l’accès.



Accès aux données

04


Vous pourrez accéder aux données une fois l’ensemble des étapes précédentes accomplies.


Pour plus de précisons, consultez le guide utilisateur du CASD.

Violation de la confidentialité et sanctions

Attention : en cas de rupture de la confidentialité lors du traitement des données mises à disposition, l’utilisateur encourt des poursuites.

Les sanctions d’ordre pénal, selon les dispositions juridiques suivantes :

  • Les articles 226-13 et 226-14 du code pénal sur l’atteinte au secret professionnel (secret statistique, fiscal, des affaires, etc.), stipulent que « la révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire, est punie d’un an d’emprisonnement et de 15 000 euros d’amende » ;
  • Les articles 226-16 à 226-24 du code pénal sur les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques dans le cas des informations relatives à des entreprises individuelles ;

Les traitements interdits par le RGPD pour les projets hébergés au CASD :

  • Un traitement ayant pour objectif, final ou intermédiaire, de ré-identifier une ou plusieurs personnes physiques
  • Un traitement ayant pour objectif, final ou intermédiaire, d’aboutir à prendre une décision à l’encontre d’une personne physique identifiée

Conséquences en cas d’infraction à la Loi Informatique et Libertés : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (section 5 du chapitre VI du titre II du livre II du code pénal).

Conséquences en cas d’infraction au RGPD : des amendes administratives, lesquelles peuvent aller jusqu’à 20 000 000 euros ou, pour le cas des entreprises, 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.

Le CASD est tenu de mettre en place des règles contractuelles à respecter lors du traitement des données par les utilisateurs afin :

– d’assurer le respect de la protection des données confidentielles auxquelles les utilisateurs autorisés ont accès avec l’utilisation de la SD-Box,

– de répondre aux exigences de sécurité, gage de confiance pour les producteurs de données qui les déposent au CASD afin de les mettre à disposition des utilisateurs,

– et de respecter la conformité aux normes de sécurité mises en place dans le cadre de ses certifications de sécurité ISO 27001, ISO 27701 notamment.

Ces règles concernent notamment :

  • la localisation de la SD-Box,
  • son utilisation,
  • la protection de l’affichage des écrans,
  • l’utilisation de la carte pour l’authentification,
  • le caractère exclusivement personnel de la session de travail,
  • l’interdiction de copie ou photographie d’écran (y compris en l’absence de données confidentielles)
  • et tout autre usage de nature à porter atteinte à la protection et la confidentialité des données.

En cas de non-respect de ces règles, des sanctions sont appliquées, allant

  • du rappel des règles, à
  • la suspension provisoire de l’accès de l’utilisateur fautif jusqu’à nouvel enrôlement,
  • des suspensions fixes de 3 à 6 mois voire définitives pour l’utilisateur, l’ensemble du projet (ou l’établissement de l’utilisateur si ce dernier est impliqué), avec notification au producteur et aux autorités habilitantes en fonction de la nature de l’infraction et de son impact.
  • des poursuites judiciaires ou pénales en cas d’impact grave sur la confidentialité des données. Des provisions sont mises en place contractuellement avec les producteurs de données pour couvrir les frais de procédure.

La réitération du non-respect des règles entraîne une aggravation des sanctions.

La possibilité pour les utilisateurs d’accéder à des données confidentielles dans le cadre de leurs travaux est une dérogation à titre nominatif au secret protégé par la loi (notamment via l’article 6bis de la loi 51-711). Elle implique en conséquence une responsabilité personnelle de l’utilisateur qui peut également avoir des conséquences sur l’ensemble des utilisateurs en cas de non-respect des consignes de sécurité.