IDS - Tiers de Confiance - Institut Des Données De Santé

IDS - Tiers de Confiance
IDS - Tiers de confiance
Projet de guide d’aide à la définition des Tiers
de Confiance intervenant dans le domaine des
études et de recherches en santé publique
Page 1/14
IDS - Tiers de Confiance
Table des matières
1
PREAMBULE ........................................................................................ 3
2
GLOSSAIRE ......................................................................................... 4
3
DEFINITION......................................................................................... 7
4
OBJECTIF ET CHAMP D’APPLICATION DE CE PROJET DE GUIDE .......................... 8
5
DISPOSITIONS GENERALES....................................................................... 9
6
5.1
ETRE « TIERS »...................................................................................9
5.2
IMPLICATIONS.....................................................................................9
MISSIONS FONCTIONNELLES ................................................................... 10
6.1
6.1.1
Les missions centrales : ................................................................................................. 10
6.1.2
Les missions « optionnelles » : ...................................................................................... 10
6.2
7
MISSIONS LORSQUE LE TDC N’UTILISE PAS (STOCKE, CONSULTE OU CONSERVE) LE NIR .......... 10
MISSIONS LORSQUE LE TDC UTILISE (STOCKE, CONSULTE OU CONSERVE) LE NIR ................. 11
6.2.1
Les missions centrales : ................................................................................................. 11
6.2.2
Les missions « optionnelles » : ...................................................................................... 12
MISSIONS TECHNIQUES .......................................................................... 13
7.1
ANALYSE DE RISQUES ........................................................................... 13
7.2
POLITIQUE DE SECURITE ........................................................................ 13
Page 2/14
IDS - Tiers de Confiance
1 Préambule
Les données à caractère personnel dans le domaine de la santé possèdent un caractère de haute
confidentialité dont l’utilisation est encadrée par des textes notamment législatifs.
Pour permettre les appariements de données provenant de bases gérées par différents acteurs, tout en
garantissant le respect de leur confidentialité, le recours à un organisme appelé « Tiers De Confiance »
(TDC) en charge de conserver les éléments identifiants des individus est une étape clef dans la mise
en œuvre des projets de surveillances sanitaires, d’études et de recherches à des fins de santé publique.
Or si certains organismes assurent cette fonction aujourd’hui, leur nombre reste réduit, limitant de fait
les possibilités d’études et recherches en santé publique nécessitant des appariements. Les principales
missions des TDC, que ce soit au niveau fonctionnel (ce que le TDC fait) ou au niveau technique
(comment le TDC le fait) ne sont d’ailleurs pas documentées ce qui ne permet pas de les qualifier.
Pour pallier ces manques et favoriser le développement de tels organismes, ce document propose un
projet de guide d’aide à la définition d’un TDC. Ce projet de guide résulte des réflexions d’un groupe
de travail rassemblant des acteurs 1 concernés par ce sujet. Il a été soumis à un débat public sur le site
internet de l’Institut des Données de Santé afin de recueillir l’avis le plus large possible avant son
adoption par les instances décisionnelles de l’IDS.
L’élaboration de ce projet de guide est une étape nécessaire pour disposer d’une définition
partagée des missions d’un TDC qui puisse constituer une cible à atteindre progressivement par
tout organisme assurant cette activité, de façon ponctuelle ou pérenne et ce, afin de ne pas
pénaliser la bonne réalisation des projets de surveillances sanitaires, d’études et de recherches à
des fins de santé publique. Pour ces derniers, ce projet de guide pourrait constituer une cible vers
laquelle ils pourraient éventuellement tendre.
1
Ce groupe de travail a rassemblé des représentants de l’Agence de la Biomédecine, de la CNIL, de l’IMS
Health, de l’INED, de l’INSEE, de l’INSERM, de l’INVS, de l’IRDES et de la SFDS.
Page 3/14
IDS - Tiers de Confiance
2 GLOSSAIRE
Au titre du présent document, les termes suivants sont définis :
Anonymisation. Opération consistant à supprimer tout élément permettant l’identification d’une
personne dans une base de données. Les données anonymes qui en résultent sont parfois dites données
anonymisées pour marquer qu’elles procèdent d’une base de données initialement identifiées mais
dont précisément les identifiants ou éléments potentiellement identifiants ont été supprimés. De même
qu’on a plusieurs degrés d’anonymat, il y a plusieurs stades d’anonymisation.
Ce terme désigne un procédé technique irréversible ayant pour but d’empêcher d’identifier ou de ré
identifier directement ou indirectement les personnes ou les entreprises.
Appariement déterministe (parfois dit certain). Rapprochement de deux (ou, plusieurs) bases de
données visant à associer les données relatives au même individu dans deux (ou plusieurs) bases de
données. Il requiert l’existence d’un identifiant commun dans les deux bases.
Nota 1. L’appariement peut conduire soit à une fusion (constitution d’une nouvelle base de données
comprenant toutes les données provenant de l’une ou de l’autre base), soit une fusion partielle (comme
précédemment, mais une partie seulement des données d’une des bases, voire des deux, étant reprise
dans la nouvelle base) ; soit un récolement (constitution d’une liste des individus communs aux deux
bases).
Nota 2. Lorsque la fusion (totale ou partielle) ne doit pas être suivie d’un autre appariement ultérieur,
il est généralement possible de ne pas conserver les identifiants dans la base résultante. Ceci,
notamment dans une perspective de recherche.
Appariement probabiliste (parfois indûment dit statistique 2). Rapprochement de deux (ou,
plusieurs) bases de données visant à associer les données relatives au même individu dans deux bases
de données mais alors qu’aucun identifiant (commun) n’est disponible. On utilise alors, en lieu et
place d’identifiants, des combinaisons de variables qui ne correspondent qu’à un nombre restreint
(idéalement 1, mais en fait souvent plus) de personnes dans chacune des deux bases.
Nota. Ces combinaisons ne forment pas nécessairement des données identifiantes : on cherche à
repérer et apparier les données du même individu avec un niveau de probabilité suffisant.
Commanditaire. Organisme qui commande l’étude.
Confidentialité. Propriété d’un élément d’un système d’information qui consiste à limiter son accès
aux seules personnes admises à le connaître pour les besoins du service.
Chiffrement. Remplacement de certaines données (en clair ou signifiantes pour certains utilisateurs)
par d’autres données liées univoquement aux premières mais opaques, c’est à dire ou bien telles que la
correspondance ne soit connue de personne, ou bien que les données chiffrées soient obtenues par une
procédure irréversible. Dans une visée de protection, on peut soit chiffrer certaines données
particulièrement sensibles, soit chiffrer les identifiants. (Ces identifiants chiffrés de la même façon
dans deux bases de données continuent d’en permettre l’appariement.)
2
Ce terme impropre “statistique” vient de ce qu’un tel appariement, bien que ne faisant correspondre les données
que de façon incertaine, n’entache pas gravement les corrélations qu’une étude statistique veut mettre en
évidence. On le dit alors “statistique” parce qu’il est acceptable pour un usage statistique.
Page 4/14
IDS - Tiers de Confiance
Disponibilité. Propriété d’un système d’information qui consiste à remplir une fonction dans des
conditions définies d’horaires, de délais et de performance.
Donnée. Modalité ou valeur prise par une variable pour un individu donné (sexe = féminin, pathologie
= grippe ; âge = 19 ans ; etc.). La personne correspondant à ces données est dite personne concernée.
Données anonymes. Données qui, pour aucun individu de la base de données considérée, ne sont
accompagnées ’d’éléments permettant d’identifier directement ou indirectement la personne en
question.
Nota. Pour certains, les données sont anonymes dès lors qu’elles ne comportent pas d’identifiant en
clair, même s’il existe un identifiant interprétable pour quelques utilisateurs (c’est l’étymologie : il n’y
a pas de nom). Pour d’autres, elles sont anonymes dès lors qu’elles ne comportent pas d’identifiant
interprétable par l’utilisateur potentiel considéré, notamment un utilisateur illégitime (anonymat
relatif). Pour d’autres enfin, dès lors qu’il n’y a aucun identifiant, c’est à dire aucune possibilité de
lien, pour quiconque, entre les données et les personnes concernées (anonymat absolu).
Donnée d’intérêt. Donnée qui doit être utilisée pour l’étude que l’on a en vue.
Données identifiables (ou, indirectement nominatives, ou ré identifiables) : données qui, pour
l’individu considéré, ne sont accompagnées d’aucun élément identifiant permettant de dénommer
directement l’individu, mais parmi lesquelles se trouve une combinaison d’éléments permettant de
procéder à l’identification.
Données identifiantes. Combinaison de plusieurs données relatives à la même personne, dont aucune
ne permet l’identification directe de cette personne, mais telles que cette combinaison soit unique dans
la population. Cette combinaison équivaut donc à un identifiant. On dit qu’elle permet la
réidentification. (Exemple : un vigneron alsacien de 53 ans ayant décédé d’un infarctus en mai
dernier.)
Nota 1. → voir nota 2 sous “identifiant”. (N’avoir qu’un conducteur d’autobus lyonnais de 51 ans dans
l’échantillon ne constitue pas une combinaison identifiante, car il est très probable que la compagnie
lyonnaise d’autobus possède plusieurs conducteurs de 51 ans.)
Nota 2. Dans une même base de données la même combinaison de variables peut se trouver
identifiante pour certaines des personnes concernées et pas pour d’autres.
Nota 3. Il s’agit de données d’intérêt : on n’envisage donc normalement pas de les supprimer. Un
arbitrage sera cependant parfois nécessaire : si la fréquence des ré-identifications dans la base de
données considérée est faible, selon les garanties (matérielles, juridiques et déontologiques) offertes
par l’utilisateur et si le préjudice éventuel est minime eu égard à la nature des données (c’est à dire,
corrélativement, si l’intérêt est faible pour un “réidentifieur” éventuel), alors, on acceptera le risque ;
dans le cas contraire, on supprimera certaines données ou on les regroupera dans une nomenclature
plus agrégée (par exemple, remplacer l’âge en années par une tranche décennale, supprimer la
commune de résidence, remplacer une pathologie précise par une classe nosographique, etc.)
Données identifiées (ou, nominatives). Données qui, pour chaque individu de la base de données
considérée, permettent de dénommer, d’énoncer l’identité de chaque personne.
Données sensibles. Les « données à caractère personnel qui font apparaître directement ou
indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses
ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celleci » (Art. 8 de la loi informatique et liberté).
Identifiant. Donnée liée de façon univoque à un individu (exemple : matricule, ensemble prénomPage 5/14
IDS - Tiers de Confiance
nom-adresse, NIR, etc.). Il s’agit donc d’une variable dont chaque valeur possible est unique dans
l’ensemble de la population considérée. La connaître permet d’identifier la personne concernée.
Intégrité. Propriété d’un système d’information qui consiste à garantir qu’il n’est modifié que par une
action volontaire et légitime.
Informations ou données à caractère personnel. « Toute information relative à une personne
physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un
numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une
personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son
identification dont disposer ou auxquels peut avoir accès le responsable du traitement ou toute autre
personne » (art. 2 de la loi informatique et liberté).
Responsable de traitement. « La personne, l’autorité publique, le service ou l’organisme qui
détermine les finalités et les moyens dudit traitement, sauf désignation expresse par des dispositions
législatives ou règlementaires relatives à ce traitement » (art. 3 de la loi informatique et liberté).
Secret. Elément d’un système cryptographique stocké et exploité dans un environnement de confiance
sécurisé
Table de correspondance. Table utilisée pour afficher les informations provenant d'une table selon la
valeur d'un champ clé étrangère dans une autre table.
Utilisateur. Personne ou institution qui peut matériellement se servir des données en cause.
Traçabilité. Capacité à identifier et à décrire toute opération réalisée sur le système et à l’attribuer
éventuellement à un utilisateur déterminé.
Variable. Caractère présenté par tout individu de la population considérée. Elle peut être qualitative
(exemple : sexe, métier, pathologie, …) ou quantitative (âge, poids, dose, …).
Page 6/14
IDS - Tiers de Confiance
3 Définition
Un TDC peut être défini comme un organisme intermédiaire qui permet à au moins un utilisateur
d’utiliser des données auxquelles il ne pourrait avoir accès directement, notamment parce que
certaines d’entre elles lui sont interdites ou qu’elles comportent des identifiants ou des données
identifiantes. Le TDC intervient donc en premier lieu pour conserver des données identifiantes. Il
intervient plus généralement lorsque l’utilisateur souhaite apparier les données de deux sources, sans
avoir le droit de connaître les identifiants (qui sont nécessaires pour l’appariement) et que les deux
sources ne sont pas habilitées à se communiquer leurs données de sorte qu’aucune ne peut procéder à
l’appariement avant de fournir des données appariées anonymes 3. On recourt donc à un tiers
notamment en raison de son absence d’intérêt dans l’utilisation des données en cause et parce qu’on
peut compter sur lui pour préserver les confidentialités nécessaires.
Son rôle principal consiste en l’application des procédures appropriées aux identifiants 4 pour
livrer ou permettre de livrer à l’utilisateur des données d’intérêt résultant des bases initiales et
dépourvues de liens identifiants avec les personnes concernées.
Selon le type de l’étude ou recherche et les besoins définis par le commanditaire, ce lien peut être
conservé par le TDC pour un usage ultérieur ou définitivement cassé.
3
Cela inclut également le cas de figure où les deux sources sont habilitées à communiquer leurs données mais ne
souhaitent ou ne peuvent réaliser l’appariement.
4
Cela revient par exemple à transformer les identifiants d’une base de données en données non ré identifiables.
Page 7/14
IDS - Tiers de Confiance
4 Objectif et champ d’application de ce projet de guide
Rappel :
Ce projet de guide propose une première définition du TDC qui puisse être partagée par les
organismes assurant actuellement la fonction de TDC, que cette activité soit ponctuelle ou
pérenne et ce, afin de ne pas pénaliser les projets de surveillances sanitaires, d’études et de
recherches à des fins de santé publique en cours ou à venir.
Ce document est avant tout un outil méthodologique destiné à mieux documenter les fonctions d’un
TDC.
Pour décrire ces fonctions, un ensemble de missions fonctionnelles et techniques sont proposées dans
le présent document. Si ces missions ne sont certes pas exhaustives, elles semblent néanmoins pouvoir
illustrer les activités d’un TDC dans le cadre de projet de surveillances sanitaires, d’études et
recherches en santé publique, nécessitant des appariements de données de santé.
Ce projet de guide peut être utile :
•
•
•
A de nouveaux organismes voulant développer une activité de TDC ;
A des responsables de traitement pour mieux appréhender les activités des organismes TDC ;
A des organismes assurant actuellement cette fonction de TDC.
Il s’agit d’un projet de guide d’aide ayant pour objet de :
•
•
Proposer une définition qui puisse être partagée ;
De mettre à disposition cette définition qui pourrait, si elle fait consensus, constituer une cible
vers laquelle pourrait tendre à terme les TDC.
Page 8/14
IDS - Tiers de Confiance
5 Dispositions générales
5.1
Etre « tiers »
Afin de limiter le risque de conflit d’intérêt et de garantir la protection des données qu’il traite
(cloisonnement des données), il apparaît nécessaire que le TDC soit indépendant du commanditaire,
que ce soit juridiquement ou à défaut fonctionnellement. Il semble également opportun que le TDC
puisse engager sa responsabilité en cas de défaillance.
5.2
Implications
Le TDC :
• Ne devrait pas détenir l’ensemble des données provenant des différentes bases de données. Il
peut être détenteur des identifiants des individus, d’un ensemble de données nécessaires pour
procéder à certaines de ses missions (exemple : élaboration de fichiers spécifiques,
appariement…). Dans ce cas de figure, les données qu’il aura en sa possession seront
nécessairement limitées notamment afin de réduire les possibilités d’identification des
personnes.
• Devrait être le garant du processus d’anonymisation (gestion des secrets, des identifiants
anonymes et des éléments de correspondance) dans le temps afin de permettre la réutilisation
de ce processus en tant que de besoin 5 ;
• Cela implique qu’il soit :
- En capacité de garantir la sécurité et le respect de la confidentialité des données et
des identifiants dont il est dépositaire ; le TDC doit s’assurer que les garanties
mises en place sont en adéquation avec la finalité de l’étude menée par le
commanditaire ou à défaut l’en informer 6 (mission de conseil en tant que de
besoin) ;
- En capacité de garantir la qualité de l’appariement ou des tables de
correspondance réalisées ;
- Apte à évaluer les risques de réidentification dans les bases de données qu’il
restitue (mission de conseil en tant que de besoin) ;
Cette mission doit conduire le TDC à mettre en place des mesures de sécurité justes et
adaptées au regard de la finalité de l’étude
Il semble judicieux, pour la bonne finalité de l’étude ou de la recherche, que le commanditaire :
-
-
Reste maître dans la définition du circuit de données et la gestion des
données qui lui seront restituées, et ce, dans le respect des textes législatifs et
règlementaires 7 ;
Puisse contrôler la bonne exécution de la prestation.
5
Par exemple dans le cadre d’une population d’individus que l’on souhaite suivre sur plusieurs années et pour
laquelle une réactualisation des données pourra être nécessaire.
6
Exemple : pour des raisons de confidentialité des données, le TDC peut être amené à ne pas restituer les
données a mimima essentielles pour la bonne exécution de l’étude. Il doit alors en amont en informer le
commanditaire afin que des ajustements puissent être trouvés.
7
Exemple : L’article 8 de la loi informatique et liberté concernant les données de santé dites sensibles ou les
articles 25 et 27 concernant l’utilisation et le stockage du NIR.
Page 9/14
IDS - Tiers de Confiance
6 Missions fonctionnelles
Deux principaux cas de figure peuvent être différenciés :
•
•
Le cas où le TDC intervient sur des données de santé sans avoir à stocker, consulter ou
conserver des identifiants remarquables particuliers (tels que le NIR). Cette situation semble
être la plus courante (cas général) ;
Le cas où le TDC intervient sur des données de santé parmi lesquelles figurent des identifiants
remarquables particuliers (tel que le NIR) : il s’agit alors de situations spécifiques, des
contraintes additionnelles liées notamment à la règlementation entourant l’utilisation de cet
identifiant devant être prises en compte.
Les missions déclinées ci-après ne sont ni exhaustives, ni nécessairement cumulatives. Elles
proposent un premier périmètre d’action qu’il sera souhaitable que les organismes TDC
couvrent, afin de favoriser la réalisation de projets de surveillances sanitaires, d’études et de
recherches à des fins de santé publique nécessitant l’appariement de données issues de bases
différentes.
6.1
6.1.1
Missions lorsque le TDC n’utilise pas (stocke, consulte ou conserve) le NIR
Les missions centrales :
Le TDC peut être amené à:
• Réceptionner les données ;
• Contrôler les données reçues (exemple : contrôle d’intégrité, de format, de complétude) ;
• Générer, protéger et supprimer les éléments de correspondance entre les identifiants 8, assurer
leur confidentialité, conformément à l’autorisation accordée par la CNIL au responsable de
l’étude 9 ;
• Transmettre la correspondance entre les identifiants 10 aux organismes désignés par le
commanditaire de l’étude.
6.1.2
Les missions « optionnelles » :
Le TDC peut être amené à :
• Produire selon les besoins définis par le commanditaire les fichiers de données pour
transmissions :
- Au responsable de traitement ;
8
Il s’agira par exemple d’un couplet de données associant, pour chaque identifiant transmis par la source de
données, l’identifiant anonymisé généré par le TDC
9
Juridiquement, le responsable de l’étude est également responsable de l’utilisation des données qui sera faite
dans le cadre de son projet. Il apparaît donc souhaitable que ce soit lui qui définisse et valide le circuit
d’information des données avec ou non, avec ou sans l’appui du TDC, définisse les modalités de gestion des
tables de correspondance et contrôle la bonne exécution de la prestation.
10
La transmission de cette correspondance doit répondre à des conditions de sécurité et de confidentialité
autorisées par la CNIL (mise en place de procédure de chiffrement par exemple).
Page 10/14
IDS - Tiers de Confiance
•
•
- Au(x) sous-traitant(s) ;
- Au(x) gestionnaire(s) de données ;
Apparier les données ;
Restituer les données appariées anonymisées aux entités définies par le commanditaire.
En complément de ces missions, le TDC peut avoir, en tant que de besoins à l’égard du commanditaire
une activité de conseil, d’alertes quant aux possibilités d’identification, d’évaluation de la qualité de
l’appariement réalisé.
Cela suppose que le TDC ait développé une réelle expertise dans l’utilisation des données de santé, en
plus de l’expertise nécessaire pour assurer ses missions principales. Cette activité de conseil peut
cependant être assurée par d’autres types d’organismes.
6.2
6.2.1
Missions lorsque le TDC utilise (stocke, consulte ou conserve) le NIR
Les missions centrales :
Le TDC peut être amené à :
• Réceptionner les données avec le NIR ;
• Contrôler les données reçues associées au NIR (exemple : contrôle d’intégrité, de format, de
complétude) ;
• Générer protéger et éventuellement détruire les secrets nécessaires à la génération
d’identifiants anonymes, tout en garantissant leur confidentialité ;
• Calculer les identifiants anonymes à partir du NIR ;
• Générer, protéger et supprimer, conformément à l’autorisation accordée par la CNIL au
responsable de l’étude 11 , les éléments de correspondance entre les identifiants et assurer leur
confidentialité ;
• Transmettre la correspondance 12 et 13 entre les identifiants aux organismes désignés par le
commanditaire de l’étude.
11
Juridiquement, le responsable de l’étude est également responsable de l’utilisation des données qui sera faite
dans le cadre de son projet. Il apparaît donc souhaitable que ce soit lui qui définisse et valide le circuit
d’information des données avec ou non, avec ou sans l’appui du TDC, définisse les modalités de gestion des
tables de correspondance et contrôle la bonne exécution de la prestation.
12
La transmission de cette correspondance doit répondre à des conditions de sécurité et de confidentialité
autorisées par la CNIL (mise en place de procédure de chiffrement par exemple).
13
Exemple : dans le projet MONACO (www.institut-des-donnees-de-sante.fr – Rubrique : Missions / Mise en
commun / Données individuelles) sur lequel la CNIL a donné un avis favorable et a validé le circuit de données,
l’INSEE joue le rôle de Tiers de Confiance.
Il reçoit, via un support amovible, de l’Assurance Maladie les NIR des bénéficiaires cryptés. L’INSEE est en
capacité de décrypter puisqu’il partage la même méthode de cryptage « PGP » que celle de l’Assurance Maladie
avec échange des clefs permettant à l’INSEE de décrypter les données cryptées par l’Assurance Maladie.
L’INSEE génère ensuite à partir de ces NIR décryptés un numéro d’anonymisation.
Il transmet aux assureurs maladie complémentaires une liste cryptée de NIR avec le numéro d’anonymisation.
L’INSEE et ces assureurs partagent également la même méthode de cryptage avec échanges des clés publiques
permettant aux AMC de décrypter les données cryptées par l’INSEE.
Les ACM peuvent ensuite extraire de leur système d’information, les remboursements de soins associés à ces
NIR. Ils transmettent ensuite à l’IRDES l’ensemble de ces informations en substituant au NIR le numéro
d’anonymisation transmis par l’INSEE. Une fois l’extraction réalisée, les NIR transmis par l’INSEE aux AMC
sont détruits par ces derniers.
L’IRDES dispose ainsi de données de remboursements de soins anonymisées.
Page 11/14
IDS - Tiers de Confiance
6.2.2
Les missions « optionnelles » :
Le TDC peut être amené à :
• Produire selon les besoins définis par le commanditaire les fichiers de données pour
transmissions :
- Au responsable de traitement ;
- Au(x) sous-traitant(s) ;
- Au(x) gestionnaire(s) de données;
• Apparier les données ;
• Restituer les données appariées anonymisées aux entités définies par le commanditaire.
En complément de ces missions, le TDC peut avoir, en tant que de besoins à l’égard du commanditaire
une activité de conseil, d’alertes quant aux possibilités d’identification, d’évaluation de la qualité de
l’appariement réalisé.
Cela suppose que le TDC ait développé une réelle expertise dans l’utilisation des données de santé, en
plus de l’expertise nécessaire pour assurer ses missions principales. Cette activité de conseil peut
cependant être assurée par d’autres types d’organismes.
Page 12/14
IDS - Tiers de Confiance
7 Missions techniques
Afin de remplir ses missions fonctionnelles, le TDC a vocation à assurer certaines missions techniques
afin notamment de :
-
-
Mettre en place tous les moyens (techniques, humains, etc…) 14 pour protéger la
confidentialité des informations qui lui sont confiées et assurer la pérennité de
l’activité en tant que de besoins ;
Assurer la confidentialité des secrets qu’il gère ;
Etre en capacité technique d’assurer les traitements nécessaires et de garantir la
qualité et la disponibilité des informations aux commanditaires ;
Assurer s’il dispose de l’expertise nécessaire et en tant que de besoins, des
prestations de conseil à des clients afin par exemple :
• Que les flux de données mis en place dans le cadre des appariements
soient conformes avec les textes règlementaires et législatifs ;
• D’améliorer la qualité de l’appariement réalisé ;
• De réduire le risque de réidentification sans que cela ne remette en
cause la finalité de l’étude initiale.
Cela implique que le TDC effectue et mette à jour une analyse de risques, dispose d’une politique de
sécurité globale et des ressources humaines en capacité de gérer cette politique. Le TDC doit en outre
être en capacité de démontrer la mise en place de cette politique.
7.1
Analyse de risques
Le TDC devrait effectuer une analyse de risques qui lui permet de justifier les politiques juridiques 15,
organisationnelles et techniques mises en place.
Cette analyse de risque doit être revue très régulièrement et doit être documentée (liste des biens
sensibles, listes des menaces et plan de traitement des risques). Elle doit notamment lister les éléments
secrets 16 que le TDC s’engage à protéger.
7.2
Politique de sécurité
Le TDC devrait disposer d’une politique de sécurité documentée et régulièrement revue 17. Cette
14
Exemple : mettre en place des règles portant notamment sur :
• La sécurité physique et environnementale (organisation physique du site, gestion des accès physiques,
etc…) ;
• La sécurité logique (règles sur le développement et la maintenance des fonctions du TDC, conditions
d’accès aux données et au traitement, conditions de conservation des données et des modalités de
protection notamment en terme de confidentialité, conditions de destruction des données, etc…) ;
• La gestion de l’exploitation et des télécommunications ;
Etc…
15
Cela renvoie notamment aux lois informatiques et libertés qui définissent un ensemble de règles juridiques
garantes de la protection des libertés individuelles.
16
Il s’agit tout particulièrement des clés cryptographiques qui sont des biens de haute sensibilité.
17
La série de normes ISO 27000x dédiée à la sécurité de l'information établit le cadre, les lignes directrices et les
principes généraux pour préparer, mettre en oeuvre, entretenir et améliorer la gestion de la sécurité de
l'information.
Page 13/14
IDS - Tiers de Confiance
politique comprend notamment :
• Les principes organisationnels et techniques retenus tout au long du cycle de vie pour assurer
la protection des données qui lui sont confiées (protection en disponibilité, intégrité,
confidentialité et traçabilité) ;
• Les principes organisationnels et techniques retenus tout au long du cycle de vie pour assurer
la protection des secrets18 qu’il gère (protection en disponibilité, intégrité, confidentialité et
traçabilité).
Les principes de sécurité organisationnels couvrent essentiellement les aspects humains et les aspects
physiques et environnementaux.
Les
principes
de
sécurité
techniques
couvrent
essentiellement
les
aspects
d’identification/authentification, le contrôle d’accès logique, la gestion de la continuité, la
journalisation et les infrastructures de gestion des éléments cryptographiques.
18
Des moyens différents sont mis en œuvre pour protéger les données et les clefs.
Page 14/14