1. Qui sommes-nous ?
Le CASD est un groupement d’intérêt public dont les membres sont :
• l’État représenté par le ministre chargé de l’économie, lui-même représenté par le directeur général de l’Institut national de la statistique et des études économiques (INSEE), direction générale du ministère chargé de l’économie ;
• le Groupe des écoles nationales d’économie et statistique (GENES) ;
• le Centre National de Recherche Scientifique (CNRS) ;
• l’Ecole polytechnique ;
• HEC Paris
• la Banque de France.
Le CASD propose un service permettant aux utilisateurs dûment habilités de réaliser – à distance – des traitements à des fins de recherche, d’étude, statistiques ou historiques sur des données individuelles très détaillées, avec des moyens de calcul puissants et dans le plus strict respect de la législation nationale et européenne, des règles de confidentialité et de sécurité applicables. Ces données sont issues et produites par des partenaires du CASD notamment par l’INSEE, la statistique publique, des administrations et des producteurs de données de santé.
La sécurité des données est donc au cœur de notre activité.
À travers cette politique, nous souhaitons vous informer de manière claire et transparente sur les conditions dans lesquelles nous collectons, traitons, conservons, archivons et supprimons les données personnelles de nos utilisateurs, clients et partenaires.
Vous y trouverez également un rappel des droits dont vous disposez sur vos données personnelles ainsi que toutes les informations utiles pour les exercer. Il en va de notre responsabilité en tant que partenaire, afin que vous puissiez à tout moment rester en contrôle de l’utilisation de vos données.
La sécurité des données est notre priorité.
1.1 Responsable de traitement
Le CASD, dont l’identité et les coordonnées sont précisées à la rubrique « Mentions légales », en tant que responsable du traitement.
1.2 Notre responsable de la protection des données personnelles
Le Responsable du traitement a désigné une personne responsable de la protection des données personnelles que vous pouvez joindre :
par courriel à l’adresse suivante : dpo@casd.eu
ou
par courrier à l’adresse suivante :
Centre d’accès sécurisé aux données (CASD)
Bâtiment Le Polaris
76 avenue Pierre Brossolette
92240 Malakoff
2. Données personnelles que nous traitons
On nomme donnée personnelle toute information, identifiant directement ou indirectement une personne physique : il peut par exemple s’agir de votre nom, de votre adresse, de votre numéro de téléphone, de votre date de naissance ou encore de l’adresse IP avec laquelle vous vous connectez à Internet, etc.
Aujourd’hui, les données personnelles constituent un outil précieux pour vous rendre le service rapide, efficace et personnalisé que vous attendez de nous.
Nous traitons principalement des données personnelles de deux natures :
• Les données personnelles dites déclaratives, c’est-à-dire recueillies directement auprès de vous ou de partenaires avec lesquels nous avons un lien contractuel, dans le cadre de notre politique d’amélioration continue et du fonctionnement de notre service.
• Les données personnelles liées au fonctionnement des produits et services, générées notamment lors de l’utilisation du dispositif d’accès sécurisé CASD, à des fins de gestion et de pilotage.
Dans le cadre des traitements de gestion des accès à ses service, le CASD en tant que responsable du traitement collecte et traite les données suivantes :
• nom, prénom(s), adresse mél, numéro de téléphone
Dans le cadre des accès aux bulles sécurisées :
• Les minuties des empreintes digitales (données biométriques)
3. Finalités de nos traitements
Les traitements que nous mettons en oeuvre le sont pour assurer les finalités suivantes :
- Gestion du contenu d’un site internet ;
- Gestion de la relation utilisateurs ;
- Gestion et l’utilisation des services proposés sur le site ;
- Utilisation des données dans une mission d’intérêt public ;
- Gestion administrative du CASD ;
- Gestion des services du CASD ;
En cas de demande, nous nous engageons à expliquer de manière claire, synthétique et accessible, ce qui est fait en termes d’utilisation des données et à entretenir le dialogue avec toute personne travaillant avec le CASD, pour être en capacité de les accompagner et de répondre au mieux à leurs attentes.
4. Base légale de nos traitements
Ces traitements de données personnelles sont fondés sur :
• l’existence de notre intérêt légitime, ou de celui d’un tiers, justifie que nous mettions en oeuvre le traitement de données à caractère personnel concernées ;
• l’exécution d’un contrat qui nous lie à vous nécessite que nous mettions en oeuvre le traitement de données à caractère personnel concernées ;
• le cas échéant, d’un consentement explicite de la part des personnes concernées.
5. Durée de conservation
Vos données personnelles sont conservées pendant toute la durée de la relation contractuelle, augmentée des durées de conservation obligatoires, de la durée légale de prescription et, en cas de litige, pendant toute la durée de la procédure et jusqu’à l’expiration des voies de recours ordinaires et extraordinaires.
Les durées de conservation veillent à ne pas excéder le temps strictement nécessaire à la bonne exécution du traitement. Pour déterminer chaque durée, nous avons pris en compte :
• Les différentes finalités pour lesquelles sont collectées ces données ;
• Les personnes concernées par la collecte ;
• Le respect d’obligations légales, réglementaires ou reconnues par la profession auxquelles nous sommes tenus.
La conservation des données, présentes notamment dans les espaces de travail sécurisés de nos utilisateurs, est réalisée selon des procédures rigoureuses de validation. Nous nous engageons à promouvoir auprès des utilisateurs, clients, collaborateurs et partenaires les bonnes pratiques (en termes de respect de la confidentialité, de conservation et d’archivage des données notamment).
La durée de conservation peut être étendue dans le cadre d’une autorisation de la CNIL.
6. Destinataires des données
Ces données sont destinées au CASD, responsable du traitement, à ses services habilités, à savoir le Project management service, le Data Management service et le service informatique ainsi qu’à ses éventuels sous-traitants et partenaires.
L’utilisateur reconnaît avoir été informé et accepte que les données à caractère personnel le concernant soient communiquées aux destinataires précités.
7. Droits des personnes concernées
Toute personne concernée par un traitement dispose d’un droit d’interrogation, d’accès, de rectification, d’effacement et de portabilité de ses données, ainsi que d’un droit de limitation du traitement.
Votre demande de droit d’effacement peut, dans certaines hypothèses, ne pas aboutir. Par exemple si les données sont nécessaires à l’exécution des services que nous vous fournissons dans le cadre d’un contrat ou lorsque nous sommes tenus par la réglementation de conserver vos données au-delà de la durée de la relation contractuelle. Afin d’exercer votre droit d’effacement, il vous faudra indiquer le traitement concerné et la raison motivant votre demande par mail à dpo@casd.eu afin que nous puissions nous assurer que cette dernière ne soit pas contraire à notre intérêt légitime ou à toute réglementation à laquelle nous serions tenue en matière de conservation des données.
Dans le cadre de l’exercice du droit à la portabilité, nous vous restituerons les données déclaratives. Pour rappel, il s’agit des données que nous pouvons être amenés à recueillir directement auprès de vous ou des données collectées indirectement auprès de tiers avec lesquels nous avons un lien contractuel. Ne seront en revanche pas restituées les données liées au fonctionnement du service CASD et les données personnelles provenant d’informations publiques.
Toute personne concernée dispose en d’un droit d’opposition pour motif légitime et d’un droit d’opposition à la prospection commerciale. Par ailleurs, toute personne dispose d’un droit de formuler des directives spécifiques et générales concernant la conservation, l’effacement et la communication de ses données après son décès.
La communication de directives spécifiques post-mortem et l’exercice des droits s’effectuent par courrier électronique à l’adresse dpo@casd.eu, accompagné de tout moyen permettant d’établir l’identité de la personne.
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation à la Commission nationale Informatique et libertés.
8. Non-communication des données personnelles
Nous ne vendons ni ne communiquons à un tiers les données personnelles centralisées et collectées par le CASD.
La communication éventuelle de ces données est effectuée uniquement dans le cadre de procédures spécifiques, d’obligations légales auxquelles le CASD est soumis ou en cas d’injonction d’une juridiction.
9. Sécurité des données
9.1 Notre démarche
Nous nous sommes engagés dans une politique de certification et de suivi de la qualité et de la sécurité de notre service d’accès et de son mode de fonctionnement (politique de confidentialité, politique de sécurité des systèmes d’information, politique d’audit, démarche ISO 27001, formation du personnel, suivi des traitements, conformité au référentiel de sécurité des données de santé, etc.) :
- ISO 27 001 sur le management de la sécurité de l’information
- Hébergeur de données de santé
- RGPD sur le référentiel du bureau Veritas (en cours d’agrément auprès d’une autorité de contrôle européenne)
9.2 Notre technologie
Nous prenons la sécurité de vos données avec le plus grand sérieux. Au regard de la nature des données personnelles et des risques que présentent les traitements, nous avons pris toute une série de mesures nécessaires afin de les préserver et empêcher qu’elles ne soient déformées, endommagées, rendues inaccessibles ou que des tiers non autorisés y aient accès :
• Des mesures techniques, telles que le chiffrement des données et des canaux de communication entre les serveurs sécurisés et les points d’accès distants (SD-Box) uniquement utilisables grâce à une authentification forte ; ou encore l’utilisation par nos agents de la SD-Box, rendant notre système d’information et de gestion entièrement sécurisé ;
• Des mesures physiques, comme le contrôle rigoureux de l’accès à nos locaux ;
• Des mesures complémentaires comme les traces de l’activité des utilisateurs qui nous aident à garantir un niveau de sécurité optimal.
9.3 Nos salariés sensibilisés
Nous avons également pris des mesures organisationnelles, à travers la formation d’équipes dédiées à la question de la sécurité des informations.
Plus généralement, nous sensibilisons l’ensemble de nos agents à la protection des données personnelles et nous assurons qu’ils respectent les réglementations en vigueur ainsi que notre déontologie par la signature d’une reconnaissance de l’obligation de confidentialité dans le cadre de l’exercice de leurs fonctions.
9.4 Nos partenaires de confiance
Nous choisissons des prestataires qui présentent un haut niveau de garanties quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées.
Nous faisons en sorte que le traitement de vos données demeure à tout moment sous notre contrôle et réponde aux exigences des réglementations en vigueur concernant la protection des données personnelles.