Procédures d’habilitation
Comité du secret statistique
Le Comité du secret statistique (CSS) donne son avis sur les demandes d’accès aux données. Il est compétent pour les données individuelles, issues de la statistique publique ou administratives ou fiscales, ayant trait à la vie personnelle et familiale, les données individuelles d’ordre économique ou financier et peut donner un avis sur l’accès aux données individuelles collectées par les administrations, les organismes publics ou les organismes privés chargés d’une mission de service public.
Le comité se prononce notamment sur les demandes d’accès aux données des institutions suivantes :
- INSEE (Institut National de la Statistiques et des Etudes Economiques)
- Ministère des Finances – DGFiP (Direction Générale des Finances Publiques)
- Ministère du Travail – DARES (Direction de l’Animation de la Recherche, des Etudes et des Statistiques)
- Ministère de la Santé – DREES (Direction de la recherche, des études, de l’évaluation et des statistiques)
- Ministère de l’Environnement – SDES (Service des Données et Etudes Statistiques)
- Ministère de l’Agriculture – SSP (Service de la Statistique et de la Prospective)
- Ministère de l’Éducation Nationale – DEPP (Direction de l’Évaluation, de la Prospective et de la Performance)
- Ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation – SIES (Systèmes d’Information et Études statistiques)
- Ministère de l’Intérieur – DSED (Département des Statistiques, des Études et de la Documentation)
- Ministère de l’Intérieur – SSMSI (Service statistique ministériel de la sécurité intérieure)
- Ministère de l’Éducation nationale, de la Jeunesse et des Sports – INJEP (Institut national de la jeunesse et de l’éducation populaire)
- Ministère de la Justice – SDSE (Sous-Direction de la Statistique et des Etudes)
- CEREQ (Centre d’Études et de Recherches sur les Qualifications)
- ACOSS (Agence Centrale des Organismes de Sécurité Sociale)
- CNAF (Caisse Nationale des Allocations Familiales)
- DGDDI (Direction Générale des Douanes et Droits Indirects)
Pour l’accès aux sources de données individuelles ci-dessus, l’habilitation est délivrée après avis favorable du CSS, accord du Producteur et des Archives.
Les étapes de la procédure pour accéder aux données sont les suivantes :
Pour effectuer une demande d’accès à des données confidentielles, vous devrez vous rendre sur le portail d’accès aux données confidentielles (CDAP). Ce portail vous permettra de créer votre compte et signer un engagement de confidentialité, puis de remplir votre dossier de demande. Dans votre dossier, veillez à faire figurer notamment la liste exhaustive des membres de l’équipe, l’ensemble des sources de données existantes et nécessaires, ainsi qu’une description claire de votre projet.
Après remplissage de votre dossier, vous devrez demander via CDAP l’accord préalable des services producteurs concernés.
Attention aux dates limites de dépôt et envoyez votre demande au(x) service(s) producteur(s) au moins 2 semaines avant la date limite de dépôt.
Pour plus de précision sur la procédure, veuillez consulter la page Procédures du site du Comité du secret.
Après accord du(des) service(s) producteur(s), soumettez votre demande au comité via le portail CDAP.
Pour toute question sur la procédure, contactez le secrétariat du Comité du Secret via la messagerie du portail CDAP ou par email : secretariat@comite-du-secret.fr.
Le comité donne son avis lors de séances plénières ou de consultations électroniques. Le secrétariat du comité transmet ensuite au responsable du projet l’extrait de compte rendu correspondant à sa demande.
À la suite d’un avis favorable du comité, les accords sont transmis aux services producteurs et aux Archives de France pour signature. L’accord signé par les Archives est adressé au responsable du projet ainsi qu’au CASD, et clôture la procédure juridique.
Pour l’accès aux données fiscales, la DGFIP émet des autorisations de communication. Ces documents vous seront envoyés directement par la DGFiP, suite à la réception de l’accord signé par les Archives.
Pour l’accès et le traitement de données à caractère personnel, rapprochez-vous de votre correspondant juridique, ou votre délégué à la protection des données le cas échéant, pour déterminer les formalités à effectuer (registre des traitements ou autorisation CNIL dans le cas de données de santé).
Les membres du projet souhaitant effectivement accéder aux données doivent assister à une séance d’enrôlement organisée à distance (inscription). Il s’agit d’une séance obligatoire de sensibilisation sur les aspects juridiques, statistiques et informatiques, ainsi qu’une prise d’empreinte digitale afin de vous remettre votre carte d’accès. Cet enrôlement standard a une durée de validité de 4 ans.
En parallèle, le CASD vous contactera afin de mettre en place la contractualisation avec votre institution. Ce processus de contractualisation peut également être concomitant avec la procédure auprès du Comité du Secret Statistique.
Vous pourrez accéder aux données une fois l’ensemble des étapes précédentes accomplies.
Pour plus de précisons, consultez le guide utilisateur du CASD.
Habilitation par le déposant des données
Pour l’accès à certaines sources de données, l’habilitation est délivrée directement par le déposant des données :
- Données du PMSI (Programme de médicalisation des systèmes d’information) de l’ATIH (Agence Technique de l’Information sur l’Hospitalisation) : se référer à la procédure décrite dans la partie Projets PMSI de la page Contractualisation ;
- Données de la Banque de France : la procédure passe par le portail CDAP ;
- Données du Ministère de la Justice-SDSE (Sous-Direction de la Statistique et des Etudes) : stat.sdse-sem-sg@justice.gouv.fr ;
- Données de la DPMA (Direction des pêches maritimes et de l’aquaculture) : donnees.dpma@developpement-durable.gouv.fr ;
- Données de la DGE (Direction Générale des Entreprises) : xavier.guillet@finances.gouv.fr ;
- Données de Bpifrance (Banque publique d’investissement) : casd@bpifrance.fr (Matthieu Brun (matthieu.brun@bpifrance.fr) et Alexandre Lekina (alexandre.lekina@bpifrance.fr)) ;
- Données de l’ANIL (Agence Nationale pour l’Information sur le Logement) : contact-OLL@anil.org ;
- Données de l’ODR (Observatoire du Développement Rural) : odr-contact@inrae.fr ;
- Données de l’IRDES (Institut de recherche et documentation en économie de la santé) – HYGIE et ESPS : rochereau@irdes.fr ;
- Données de la MSA (Mutualité Sociale Agricole) : statistiques_msa.blf@ccmsa.msa.fr ;
- Données de France Travail : Besoins en Main-d’Œuvre.
Commencez par prendre contact avec le service producteur pour demander l’accès aux données souhaitées.
Une fois le document d’habilitation établi par le déposant des données, celui-ci le transmet au CASD pour entamer les démarches en vue de l’accès effectif aux données.
Pour l’accès et le traitement de données à caractère personnel, rapprochez-vous de votre correspondant juridique, ou votre délégué à la protection des données le cas échéant, pour déterminer les formalités à effectuer (registre des traitements ou autorisation CNIL dans le cas de données de santé).
Les membres du projet souhaitant effectivement accéder aux données doivent assister à une séance d’enrôlement organisée dans nos locaux (inscription). Il s’agit d’une séance obligatoire de sensibilisation sur les aspects juridiques, statistiques et informatiques, ainsi qu’une prise d’empreinte digitale afin de vous remettre votre carte d’accès. Cet enrôlement standard a une durée de validité de 4 ans, pendant cette période, pour tout nouveau projet vous pouvez assistez à une séance express qui inclut uniquement la remise d’une nouvelle carte d’accès.
En parallèle, le CASD vous contactera afin de mettre en place la contractualisation nécessaire à l’accès.
Vous pourrez accéder aux données une fois l’ensemble des étapes précédentes accomplies.
Pour plus de précisons, consultez le guide utilisateur du CASD.
Violation de la confidentialité et sanctions
Attention : en cas de rupture de la confidentialité lors du traitement des données mises à disposition, l’utilisateur encourt des poursuites.
Les sanctions d’ordre pénal, selon les dispositions juridiques suivantes :
- Les articles 226-13 et 226-14 du code pénal sur l’atteinte au secret professionnel (secret statistique, fiscal, des affaires, etc.), stipulent que « la révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire, est punie d’un an d’emprisonnement et de 15 000 euros d’amende » ;
- Les articles 226-16 à 226-24 du code pénal sur les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques dans le cas des informations relatives à des entreprises individuelles ;
Les traitements interdits par le RGPD pour les projets hébergés au CASD :
- Un traitement ayant pour objectif, final ou intermédiaire, de ré-identifier une ou plusieurs personnes physiques
- Un traitement ayant pour objectif, final ou intermédiaire, d’aboutir à prendre une décision à l’encontre d’une personne physique identifiée
Conséquences en cas d’infraction à la Loi Informatique et Libertés : jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (section 5 du chapitre VI du titre II du livre II du code pénal).
Conséquences en cas d’infraction au RGPD : des amendes administratives, lesquelles peuvent aller jusqu’à 20 000 000 euros ou, pour le cas des entreprises, 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.
Le CASD est tenu de mettre en place des règles contractuelles à respecter lors du traitement des données par les utilisateurs afin :
– d’assurer le respect de la protection des données confidentielles auxquelles les utilisateurs autorisés ont accès avec l’utilisation de la SD-Box,
– de répondre aux exigences de sécurité, gage de confiance pour les producteurs de données qui les déposent au CASD afin de les mettre à disposition des utilisateurs,
– et de respecter la conformité aux normes de sécurité mises en place dans le cadre de ses certifications de sécurité ISO 27001, ISO 27701 notamment.
Ces règles concernent notamment :
- la localisation de la SD-Box,
- son utilisation,
- la protection de l’affichage des écrans,
- l’utilisation de la carte pour l’authentification,
- le caractère exclusivement personnel de la session de travail,
- l’interdiction de copie ou photographie d’écran (y compris en l’absence de données confidentielles)
- et tout autre usage de nature à porter atteinte à la protection et la confidentialité des données.
En cas de non-respect de ces règles, des sanctions sont appliquées, allant
- du rappel des règles, à
- la suspension provisoire de l’accès de l’utilisateur fautif jusqu’à nouvel enrôlement,
- des suspensions fixes de 3 à 6 mois voire définitives pour l’utilisateur, l’ensemble du projet (ou l’établissement de l’utilisateur si ce dernier est impliqué), avec notification au producteur et aux autorités habilitantes en fonction de la nature de l’infraction et de son impact.
- des poursuites judiciaires ou pénales en cas d’impact grave sur la confidentialité des données. Des provisions sont mises en place contractuellement avec les producteurs de données pour couvrir les frais de procédure.
La réitération du non-respect des règles entraîne une aggravation des sanctions.
La possibilité pour les utilisateurs d’accéder à des données confidentielles dans le cadre de leurs travaux est une dérogation à titre nominatif au secret protégé par la loi (notamment via l’article 6bis de la loi 51-711). Elle implique en conséquence une responsabilité personnelle de l’utilisateur qui peut également avoir des conséquences sur l’ensemble des utilisateurs en cas de non-respect des consignes de sécurité.