IDS - Tiers de Confiance - Institut Des Données De Santé
Transcription
IDS - Tiers de Confiance - Institut Des Données De Santé
IDS - Tiers de Confiance IDS - Tiers de confiance Projet de guide d’aide à la définition des Tiers de Confiance intervenant dans le domaine des études et de recherches en santé publique Page 1/14 IDS - Tiers de Confiance Table des matières 1 PREAMBULE ........................................................................................ 3 2 GLOSSAIRE ......................................................................................... 4 3 DEFINITION......................................................................................... 7 4 OBJECTIF ET CHAMP D’APPLICATION DE CE PROJET DE GUIDE .......................... 8 5 DISPOSITIONS GENERALES....................................................................... 9 6 5.1 ETRE « TIERS »...................................................................................9 5.2 IMPLICATIONS.....................................................................................9 MISSIONS FONCTIONNELLES ................................................................... 10 6.1 6.1.1 Les missions centrales : ................................................................................................. 10 6.1.2 Les missions « optionnelles » : ...................................................................................... 10 6.2 7 MISSIONS LORSQUE LE TDC N’UTILISE PAS (STOCKE, CONSULTE OU CONSERVE) LE NIR .......... 10 MISSIONS LORSQUE LE TDC UTILISE (STOCKE, CONSULTE OU CONSERVE) LE NIR ................. 11 6.2.1 Les missions centrales : ................................................................................................. 11 6.2.2 Les missions « optionnelles » : ...................................................................................... 12 MISSIONS TECHNIQUES .......................................................................... 13 7.1 ANALYSE DE RISQUES ........................................................................... 13 7.2 POLITIQUE DE SECURITE ........................................................................ 13 Page 2/14 IDS - Tiers de Confiance 1 Préambule Les données à caractère personnel dans le domaine de la santé possèdent un caractère de haute confidentialité dont l’utilisation est encadrée par des textes notamment législatifs. Pour permettre les appariements de données provenant de bases gérées par différents acteurs, tout en garantissant le respect de leur confidentialité, le recours à un organisme appelé « Tiers De Confiance » (TDC) en charge de conserver les éléments identifiants des individus est une étape clef dans la mise en œuvre des projets de surveillances sanitaires, d’études et de recherches à des fins de santé publique. Or si certains organismes assurent cette fonction aujourd’hui, leur nombre reste réduit, limitant de fait les possibilités d’études et recherches en santé publique nécessitant des appariements. Les principales missions des TDC, que ce soit au niveau fonctionnel (ce que le TDC fait) ou au niveau technique (comment le TDC le fait) ne sont d’ailleurs pas documentées ce qui ne permet pas de les qualifier. Pour pallier ces manques et favoriser le développement de tels organismes, ce document propose un projet de guide d’aide à la définition d’un TDC. Ce projet de guide résulte des réflexions d’un groupe de travail rassemblant des acteurs 1 concernés par ce sujet. Il a été soumis à un débat public sur le site internet de l’Institut des Données de Santé afin de recueillir l’avis le plus large possible avant son adoption par les instances décisionnelles de l’IDS. L’élaboration de ce projet de guide est une étape nécessaire pour disposer d’une définition partagée des missions d’un TDC qui puisse constituer une cible à atteindre progressivement par tout organisme assurant cette activité, de façon ponctuelle ou pérenne et ce, afin de ne pas pénaliser la bonne réalisation des projets de surveillances sanitaires, d’études et de recherches à des fins de santé publique. Pour ces derniers, ce projet de guide pourrait constituer une cible vers laquelle ils pourraient éventuellement tendre. 1 Ce groupe de travail a rassemblé des représentants de l’Agence de la Biomédecine, de la CNIL, de l’IMS Health, de l’INED, de l’INSEE, de l’INSERM, de l’INVS, de l’IRDES et de la SFDS. Page 3/14 IDS - Tiers de Confiance 2 GLOSSAIRE Au titre du présent document, les termes suivants sont définis : Anonymisation. Opération consistant à supprimer tout élément permettant l’identification d’une personne dans une base de données. Les données anonymes qui en résultent sont parfois dites données anonymisées pour marquer qu’elles procèdent d’une base de données initialement identifiées mais dont précisément les identifiants ou éléments potentiellement identifiants ont été supprimés. De même qu’on a plusieurs degrés d’anonymat, il y a plusieurs stades d’anonymisation. Ce terme désigne un procédé technique irréversible ayant pour but d’empêcher d’identifier ou de ré identifier directement ou indirectement les personnes ou les entreprises. Appariement déterministe (parfois dit certain). Rapprochement de deux (ou, plusieurs) bases de données visant à associer les données relatives au même individu dans deux (ou plusieurs) bases de données. Il requiert l’existence d’un identifiant commun dans les deux bases. Nota 1. L’appariement peut conduire soit à une fusion (constitution d’une nouvelle base de données comprenant toutes les données provenant de l’une ou de l’autre base), soit une fusion partielle (comme précédemment, mais une partie seulement des données d’une des bases, voire des deux, étant reprise dans la nouvelle base) ; soit un récolement (constitution d’une liste des individus communs aux deux bases). Nota 2. Lorsque la fusion (totale ou partielle) ne doit pas être suivie d’un autre appariement ultérieur, il est généralement possible de ne pas conserver les identifiants dans la base résultante. Ceci, notamment dans une perspective de recherche. Appariement probabiliste (parfois indûment dit statistique 2). Rapprochement de deux (ou, plusieurs) bases de données visant à associer les données relatives au même individu dans deux bases de données mais alors qu’aucun identifiant (commun) n’est disponible. On utilise alors, en lieu et place d’identifiants, des combinaisons de variables qui ne correspondent qu’à un nombre restreint (idéalement 1, mais en fait souvent plus) de personnes dans chacune des deux bases. Nota. Ces combinaisons ne forment pas nécessairement des données identifiantes : on cherche à repérer et apparier les données du même individu avec un niveau de probabilité suffisant. Commanditaire. Organisme qui commande l’étude. Confidentialité. Propriété d’un élément d’un système d’information qui consiste à limiter son accès aux seules personnes admises à le connaître pour les besoins du service. Chiffrement. Remplacement de certaines données (en clair ou signifiantes pour certains utilisateurs) par d’autres données liées univoquement aux premières mais opaques, c’est à dire ou bien telles que la correspondance ne soit connue de personne, ou bien que les données chiffrées soient obtenues par une procédure irréversible. Dans une visée de protection, on peut soit chiffrer certaines données particulièrement sensibles, soit chiffrer les identifiants. (Ces identifiants chiffrés de la même façon dans deux bases de données continuent d’en permettre l’appariement.) 2 Ce terme impropre “statistique” vient de ce qu’un tel appariement, bien que ne faisant correspondre les données que de façon incertaine, n’entache pas gravement les corrélations qu’une étude statistique veut mettre en évidence. On le dit alors “statistique” parce qu’il est acceptable pour un usage statistique. Page 4/14 IDS - Tiers de Confiance Disponibilité. Propriété d’un système d’information qui consiste à remplir une fonction dans des conditions définies d’horaires, de délais et de performance. Donnée. Modalité ou valeur prise par une variable pour un individu donné (sexe = féminin, pathologie = grippe ; âge = 19 ans ; etc.). La personne correspondant à ces données est dite personne concernée. Données anonymes. Données qui, pour aucun individu de la base de données considérée, ne sont accompagnées ’d’éléments permettant d’identifier directement ou indirectement la personne en question. Nota. Pour certains, les données sont anonymes dès lors qu’elles ne comportent pas d’identifiant en clair, même s’il existe un identifiant interprétable pour quelques utilisateurs (c’est l’étymologie : il n’y a pas de nom). Pour d’autres, elles sont anonymes dès lors qu’elles ne comportent pas d’identifiant interprétable par l’utilisateur potentiel considéré, notamment un utilisateur illégitime (anonymat relatif). Pour d’autres enfin, dès lors qu’il n’y a aucun identifiant, c’est à dire aucune possibilité de lien, pour quiconque, entre les données et les personnes concernées (anonymat absolu). Donnée d’intérêt. Donnée qui doit être utilisée pour l’étude que l’on a en vue. Données identifiables (ou, indirectement nominatives, ou ré identifiables) : données qui, pour l’individu considéré, ne sont accompagnées d’aucun élément identifiant permettant de dénommer directement l’individu, mais parmi lesquelles se trouve une combinaison d’éléments permettant de procéder à l’identification. Données identifiantes. Combinaison de plusieurs données relatives à la même personne, dont aucune ne permet l’identification directe de cette personne, mais telles que cette combinaison soit unique dans la population. Cette combinaison équivaut donc à un identifiant. On dit qu’elle permet la réidentification. (Exemple : un vigneron alsacien de 53 ans ayant décédé d’un infarctus en mai dernier.) Nota 1. → voir nota 2 sous “identifiant”. (N’avoir qu’un conducteur d’autobus lyonnais de 51 ans dans l’échantillon ne constitue pas une combinaison identifiante, car il est très probable que la compagnie lyonnaise d’autobus possède plusieurs conducteurs de 51 ans.) Nota 2. Dans une même base de données la même combinaison de variables peut se trouver identifiante pour certaines des personnes concernées et pas pour d’autres. Nota 3. Il s’agit de données d’intérêt : on n’envisage donc normalement pas de les supprimer. Un arbitrage sera cependant parfois nécessaire : si la fréquence des ré-identifications dans la base de données considérée est faible, selon les garanties (matérielles, juridiques et déontologiques) offertes par l’utilisateur et si le préjudice éventuel est minime eu égard à la nature des données (c’est à dire, corrélativement, si l’intérêt est faible pour un “réidentifieur” éventuel), alors, on acceptera le risque ; dans le cas contraire, on supprimera certaines données ou on les regroupera dans une nomenclature plus agrégée (par exemple, remplacer l’âge en années par une tranche décennale, supprimer la commune de résidence, remplacer une pathologie précise par une classe nosographique, etc.) Données identifiées (ou, nominatives). Données qui, pour chaque individu de la base de données considérée, permettent de dénommer, d’énoncer l’identité de chaque personne. Données sensibles. Les « données à caractère personnel qui font apparaître directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celleci » (Art. 8 de la loi informatique et liberté). Identifiant. Donnée liée de façon univoque à un individu (exemple : matricule, ensemble prénomPage 5/14 IDS - Tiers de Confiance nom-adresse, NIR, etc.). Il s’agit donc d’une variable dont chaque valeur possible est unique dans l’ensemble de la population considérée. La connaître permet d’identifier la personne concernée. Intégrité. Propriété d’un système d’information qui consiste à garantir qu’il n’est modifié que par une action volontaire et légitime. Informations ou données à caractère personnel. « Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont disposer ou auxquels peut avoir accès le responsable du traitement ou toute autre personne » (art. 2 de la loi informatique et liberté). Responsable de traitement. « La personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens dudit traitement, sauf désignation expresse par des dispositions législatives ou règlementaires relatives à ce traitement » (art. 3 de la loi informatique et liberté). Secret. Elément d’un système cryptographique stocké et exploité dans un environnement de confiance sécurisé Table de correspondance. Table utilisée pour afficher les informations provenant d'une table selon la valeur d'un champ clé étrangère dans une autre table. Utilisateur. Personne ou institution qui peut matériellement se servir des données en cause. Traçabilité. Capacité à identifier et à décrire toute opération réalisée sur le système et à l’attribuer éventuellement à un utilisateur déterminé. Variable. Caractère présenté par tout individu de la population considérée. Elle peut être qualitative (exemple : sexe, métier, pathologie, …) ou quantitative (âge, poids, dose, …). Page 6/14 IDS - Tiers de Confiance 3 Définition Un TDC peut être défini comme un organisme intermédiaire qui permet à au moins un utilisateur d’utiliser des données auxquelles il ne pourrait avoir accès directement, notamment parce que certaines d’entre elles lui sont interdites ou qu’elles comportent des identifiants ou des données identifiantes. Le TDC intervient donc en premier lieu pour conserver des données identifiantes. Il intervient plus généralement lorsque l’utilisateur souhaite apparier les données de deux sources, sans avoir le droit de connaître les identifiants (qui sont nécessaires pour l’appariement) et que les deux sources ne sont pas habilitées à se communiquer leurs données de sorte qu’aucune ne peut procéder à l’appariement avant de fournir des données appariées anonymes 3. On recourt donc à un tiers notamment en raison de son absence d’intérêt dans l’utilisation des données en cause et parce qu’on peut compter sur lui pour préserver les confidentialités nécessaires. Son rôle principal consiste en l’application des procédures appropriées aux identifiants 4 pour livrer ou permettre de livrer à l’utilisateur des données d’intérêt résultant des bases initiales et dépourvues de liens identifiants avec les personnes concernées. Selon le type de l’étude ou recherche et les besoins définis par le commanditaire, ce lien peut être conservé par le TDC pour un usage ultérieur ou définitivement cassé. 3 Cela inclut également le cas de figure où les deux sources sont habilitées à communiquer leurs données mais ne souhaitent ou ne peuvent réaliser l’appariement. 4 Cela revient par exemple à transformer les identifiants d’une base de données en données non ré identifiables. Page 7/14 IDS - Tiers de Confiance 4 Objectif et champ d’application de ce projet de guide Rappel : Ce projet de guide propose une première définition du TDC qui puisse être partagée par les organismes assurant actuellement la fonction de TDC, que cette activité soit ponctuelle ou pérenne et ce, afin de ne pas pénaliser les projets de surveillances sanitaires, d’études et de recherches à des fins de santé publique en cours ou à venir. Ce document est avant tout un outil méthodologique destiné à mieux documenter les fonctions d’un TDC. Pour décrire ces fonctions, un ensemble de missions fonctionnelles et techniques sont proposées dans le présent document. Si ces missions ne sont certes pas exhaustives, elles semblent néanmoins pouvoir illustrer les activités d’un TDC dans le cadre de projet de surveillances sanitaires, d’études et recherches en santé publique, nécessitant des appariements de données de santé. Ce projet de guide peut être utile : • • • A de nouveaux organismes voulant développer une activité de TDC ; A des responsables de traitement pour mieux appréhender les activités des organismes TDC ; A des organismes assurant actuellement cette fonction de TDC. Il s’agit d’un projet de guide d’aide ayant pour objet de : • • Proposer une définition qui puisse être partagée ; De mettre à disposition cette définition qui pourrait, si elle fait consensus, constituer une cible vers laquelle pourrait tendre à terme les TDC. Page 8/14 IDS - Tiers de Confiance 5 Dispositions générales 5.1 Etre « tiers » Afin de limiter le risque de conflit d’intérêt et de garantir la protection des données qu’il traite (cloisonnement des données), il apparaît nécessaire que le TDC soit indépendant du commanditaire, que ce soit juridiquement ou à défaut fonctionnellement. Il semble également opportun que le TDC puisse engager sa responsabilité en cas de défaillance. 5.2 Implications Le TDC : • Ne devrait pas détenir l’ensemble des données provenant des différentes bases de données. Il peut être détenteur des identifiants des individus, d’un ensemble de données nécessaires pour procéder à certaines de ses missions (exemple : élaboration de fichiers spécifiques, appariement…). Dans ce cas de figure, les données qu’il aura en sa possession seront nécessairement limitées notamment afin de réduire les possibilités d’identification des personnes. • Devrait être le garant du processus d’anonymisation (gestion des secrets, des identifiants anonymes et des éléments de correspondance) dans le temps afin de permettre la réutilisation de ce processus en tant que de besoin 5 ; • Cela implique qu’il soit : - En capacité de garantir la sécurité et le respect de la confidentialité des données et des identifiants dont il est dépositaire ; le TDC doit s’assurer que les garanties mises en place sont en adéquation avec la finalité de l’étude menée par le commanditaire ou à défaut l’en informer 6 (mission de conseil en tant que de besoin) ; - En capacité de garantir la qualité de l’appariement ou des tables de correspondance réalisées ; - Apte à évaluer les risques de réidentification dans les bases de données qu’il restitue (mission de conseil en tant que de besoin) ; Cette mission doit conduire le TDC à mettre en place des mesures de sécurité justes et adaptées au regard de la finalité de l’étude Il semble judicieux, pour la bonne finalité de l’étude ou de la recherche, que le commanditaire : - - Reste maître dans la définition du circuit de données et la gestion des données qui lui seront restituées, et ce, dans le respect des textes législatifs et règlementaires 7 ; Puisse contrôler la bonne exécution de la prestation. 5 Par exemple dans le cadre d’une population d’individus que l’on souhaite suivre sur plusieurs années et pour laquelle une réactualisation des données pourra être nécessaire. 6 Exemple : pour des raisons de confidentialité des données, le TDC peut être amené à ne pas restituer les données a mimima essentielles pour la bonne exécution de l’étude. Il doit alors en amont en informer le commanditaire afin que des ajustements puissent être trouvés. 7 Exemple : L’article 8 de la loi informatique et liberté concernant les données de santé dites sensibles ou les articles 25 et 27 concernant l’utilisation et le stockage du NIR. Page 9/14 IDS - Tiers de Confiance 6 Missions fonctionnelles Deux principaux cas de figure peuvent être différenciés : • • Le cas où le TDC intervient sur des données de santé sans avoir à stocker, consulter ou conserver des identifiants remarquables particuliers (tels que le NIR). Cette situation semble être la plus courante (cas général) ; Le cas où le TDC intervient sur des données de santé parmi lesquelles figurent des identifiants remarquables particuliers (tel que le NIR) : il s’agit alors de situations spécifiques, des contraintes additionnelles liées notamment à la règlementation entourant l’utilisation de cet identifiant devant être prises en compte. Les missions déclinées ci-après ne sont ni exhaustives, ni nécessairement cumulatives. Elles proposent un premier périmètre d’action qu’il sera souhaitable que les organismes TDC couvrent, afin de favoriser la réalisation de projets de surveillances sanitaires, d’études et de recherches à des fins de santé publique nécessitant l’appariement de données issues de bases différentes. 6.1 6.1.1 Missions lorsque le TDC n’utilise pas (stocke, consulte ou conserve) le NIR Les missions centrales : Le TDC peut être amené à: • Réceptionner les données ; • Contrôler les données reçues (exemple : contrôle d’intégrité, de format, de complétude) ; • Générer, protéger et supprimer les éléments de correspondance entre les identifiants 8, assurer leur confidentialité, conformément à l’autorisation accordée par la CNIL au responsable de l’étude 9 ; • Transmettre la correspondance entre les identifiants 10 aux organismes désignés par le commanditaire de l’étude. 6.1.2 Les missions « optionnelles » : Le TDC peut être amené à : • Produire selon les besoins définis par le commanditaire les fichiers de données pour transmissions : - Au responsable de traitement ; 8 Il s’agira par exemple d’un couplet de données associant, pour chaque identifiant transmis par la source de données, l’identifiant anonymisé généré par le TDC 9 Juridiquement, le responsable de l’étude est également responsable de l’utilisation des données qui sera faite dans le cadre de son projet. Il apparaît donc souhaitable que ce soit lui qui définisse et valide le circuit d’information des données avec ou non, avec ou sans l’appui du TDC, définisse les modalités de gestion des tables de correspondance et contrôle la bonne exécution de la prestation. 10 La transmission de cette correspondance doit répondre à des conditions de sécurité et de confidentialité autorisées par la CNIL (mise en place de procédure de chiffrement par exemple). Page 10/14 IDS - Tiers de Confiance • • - Au(x) sous-traitant(s) ; - Au(x) gestionnaire(s) de données ; Apparier les données ; Restituer les données appariées anonymisées aux entités définies par le commanditaire. En complément de ces missions, le TDC peut avoir, en tant que de besoins à l’égard du commanditaire une activité de conseil, d’alertes quant aux possibilités d’identification, d’évaluation de la qualité de l’appariement réalisé. Cela suppose que le TDC ait développé une réelle expertise dans l’utilisation des données de santé, en plus de l’expertise nécessaire pour assurer ses missions principales. Cette activité de conseil peut cependant être assurée par d’autres types d’organismes. 6.2 6.2.1 Missions lorsque le TDC utilise (stocke, consulte ou conserve) le NIR Les missions centrales : Le TDC peut être amené à : • Réceptionner les données avec le NIR ; • Contrôler les données reçues associées au NIR (exemple : contrôle d’intégrité, de format, de complétude) ; • Générer protéger et éventuellement détruire les secrets nécessaires à la génération d’identifiants anonymes, tout en garantissant leur confidentialité ; • Calculer les identifiants anonymes à partir du NIR ; • Générer, protéger et supprimer, conformément à l’autorisation accordée par la CNIL au responsable de l’étude 11 , les éléments de correspondance entre les identifiants et assurer leur confidentialité ; • Transmettre la correspondance 12 et 13 entre les identifiants aux organismes désignés par le commanditaire de l’étude. 11 Juridiquement, le responsable de l’étude est également responsable de l’utilisation des données qui sera faite dans le cadre de son projet. Il apparaît donc souhaitable que ce soit lui qui définisse et valide le circuit d’information des données avec ou non, avec ou sans l’appui du TDC, définisse les modalités de gestion des tables de correspondance et contrôle la bonne exécution de la prestation. 12 La transmission de cette correspondance doit répondre à des conditions de sécurité et de confidentialité autorisées par la CNIL (mise en place de procédure de chiffrement par exemple). 13 Exemple : dans le projet MONACO (www.institut-des-donnees-de-sante.fr – Rubrique : Missions / Mise en commun / Données individuelles) sur lequel la CNIL a donné un avis favorable et a validé le circuit de données, l’INSEE joue le rôle de Tiers de Confiance. Il reçoit, via un support amovible, de l’Assurance Maladie les NIR des bénéficiaires cryptés. L’INSEE est en capacité de décrypter puisqu’il partage la même méthode de cryptage « PGP » que celle de l’Assurance Maladie avec échange des clefs permettant à l’INSEE de décrypter les données cryptées par l’Assurance Maladie. L’INSEE génère ensuite à partir de ces NIR décryptés un numéro d’anonymisation. Il transmet aux assureurs maladie complémentaires une liste cryptée de NIR avec le numéro d’anonymisation. L’INSEE et ces assureurs partagent également la même méthode de cryptage avec échanges des clés publiques permettant aux AMC de décrypter les données cryptées par l’INSEE. Les ACM peuvent ensuite extraire de leur système d’information, les remboursements de soins associés à ces NIR. Ils transmettent ensuite à l’IRDES l’ensemble de ces informations en substituant au NIR le numéro d’anonymisation transmis par l’INSEE. Une fois l’extraction réalisée, les NIR transmis par l’INSEE aux AMC sont détruits par ces derniers. L’IRDES dispose ainsi de données de remboursements de soins anonymisées. Page 11/14 IDS - Tiers de Confiance 6.2.2 Les missions « optionnelles » : Le TDC peut être amené à : • Produire selon les besoins définis par le commanditaire les fichiers de données pour transmissions : - Au responsable de traitement ; - Au(x) sous-traitant(s) ; - Au(x) gestionnaire(s) de données; • Apparier les données ; • Restituer les données appariées anonymisées aux entités définies par le commanditaire. En complément de ces missions, le TDC peut avoir, en tant que de besoins à l’égard du commanditaire une activité de conseil, d’alertes quant aux possibilités d’identification, d’évaluation de la qualité de l’appariement réalisé. Cela suppose que le TDC ait développé une réelle expertise dans l’utilisation des données de santé, en plus de l’expertise nécessaire pour assurer ses missions principales. Cette activité de conseil peut cependant être assurée par d’autres types d’organismes. Page 12/14 IDS - Tiers de Confiance 7 Missions techniques Afin de remplir ses missions fonctionnelles, le TDC a vocation à assurer certaines missions techniques afin notamment de : - - Mettre en place tous les moyens (techniques, humains, etc…) 14 pour protéger la confidentialité des informations qui lui sont confiées et assurer la pérennité de l’activité en tant que de besoins ; Assurer la confidentialité des secrets qu’il gère ; Etre en capacité technique d’assurer les traitements nécessaires et de garantir la qualité et la disponibilité des informations aux commanditaires ; Assurer s’il dispose de l’expertise nécessaire et en tant que de besoins, des prestations de conseil à des clients afin par exemple : • Que les flux de données mis en place dans le cadre des appariements soient conformes avec les textes règlementaires et législatifs ; • D’améliorer la qualité de l’appariement réalisé ; • De réduire le risque de réidentification sans que cela ne remette en cause la finalité de l’étude initiale. Cela implique que le TDC effectue et mette à jour une analyse de risques, dispose d’une politique de sécurité globale et des ressources humaines en capacité de gérer cette politique. Le TDC doit en outre être en capacité de démontrer la mise en place de cette politique. 7.1 Analyse de risques Le TDC devrait effectuer une analyse de risques qui lui permet de justifier les politiques juridiques 15, organisationnelles et techniques mises en place. Cette analyse de risque doit être revue très régulièrement et doit être documentée (liste des biens sensibles, listes des menaces et plan de traitement des risques). Elle doit notamment lister les éléments secrets 16 que le TDC s’engage à protéger. 7.2 Politique de sécurité Le TDC devrait disposer d’une politique de sécurité documentée et régulièrement revue 17. Cette 14 Exemple : mettre en place des règles portant notamment sur : • La sécurité physique et environnementale (organisation physique du site, gestion des accès physiques, etc…) ; • La sécurité logique (règles sur le développement et la maintenance des fonctions du TDC, conditions d’accès aux données et au traitement, conditions de conservation des données et des modalités de protection notamment en terme de confidentialité, conditions de destruction des données, etc…) ; • La gestion de l’exploitation et des télécommunications ; Etc… 15 Cela renvoie notamment aux lois informatiques et libertés qui définissent un ensemble de règles juridiques garantes de la protection des libertés individuelles. 16 Il s’agit tout particulièrement des clés cryptographiques qui sont des biens de haute sensibilité. 17 La série de normes ISO 27000x dédiée à la sécurité de l'information établit le cadre, les lignes directrices et les principes généraux pour préparer, mettre en oeuvre, entretenir et améliorer la gestion de la sécurité de l'information. Page 13/14 IDS - Tiers de Confiance politique comprend notamment : • Les principes organisationnels et techniques retenus tout au long du cycle de vie pour assurer la protection des données qui lui sont confiées (protection en disponibilité, intégrité, confidentialité et traçabilité) ; • Les principes organisationnels et techniques retenus tout au long du cycle de vie pour assurer la protection des secrets18 qu’il gère (protection en disponibilité, intégrité, confidentialité et traçabilité). Les principes de sécurité organisationnels couvrent essentiellement les aspects humains et les aspects physiques et environnementaux. Les principes de sécurité techniques couvrent essentiellement les aspects d’identification/authentification, le contrôle d’accès logique, la gestion de la continuité, la journalisation et les infrastructures de gestion des éléments cryptographiques. 18 Des moyens différents sont mis en œuvre pour protéger les données et les clefs. Page 14/14