Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
Les Ateliers du CR2PA
Atelier N° 9Jeudi 14 janvier 2016
(14h-17h)
Chez…… ………
1CR2PA - Atelier N°9 -14 janvier 2016_RTE Deborah Pidet Bernard Ouillon
14 participants
Correspondant Informatique et Libertés (CIL) et projet d’archivage
Sommaire
1. Rappel des principes 10 mn
2. Présentation et tour de table 20 mn
3. Présentation 15 mn
4. Présentation de l’atelier « Correspondant Informatique et Libertés (CIL) et projet d’archivage » 60 min
5. Groupes de travail 45 min
6. Restitution 30 min
7. Annexes
2CR2PA - Atelier N°9 -14 janvier 2016_RTE Deborah Pidet Bernard Ouillon
Rappel des objectifs• Mettre en place un lieu de rencontre pour entretenir une
dynamique au sein du CR2PA• Disposer d’un lieu de partage, de mise en commun, de recherche
et de transmission de savoir• Réaliser le lien entre le référentiel existant ou en devenir du
CR2PA et les attentes des membres
Organisation des ateliers• Rencontres régulières tous Les deux mois• Ateliers ouverts à tous les adhérents• Participants pouvant être différents d’un atelier à l’autre • Groupe de 12 à 15 personnes plus adapté afin de permettre
des échanges de fond• Une démarche de confidentialité :• Participants libres d'utiliser les informations collectées à cette
occasion, mais ils ne doivent révéler ni l'identité, ni l'affiliation des personnes à l'origine de ces informations
• de même qu'ils ne doivent pas révéler l'identité des autres participants
• Des ordres du jour organisés par thème• Lors de chaque atelier travail par groupe de trois personnes
pendant 30 mn suivi d’une restitution
3CR2PA - Atelier N°9 -14 janvier 2016_RTE Deborah Pidet Bernard Ouillon
Participants
4Absent excusé
présentCR2PA - Atelier N°9 -14 janvier 2016_RTE Deborah Pidet Bernard Ouillon
AREVA Héléne [email protected]
RTE Pascal DELEBARRE [email protected]
Bouygues TelecomFrançois DELION [email protected]
FORMIRIS Lucile GÉ[email protected]
CG78 Marine [email protected]
AREVA Estelle DESCHARD [email protected]
RTE Bernard OUILLON [email protected]
Egis René [email protected]
SYSTRA Deborah PIDET [email protected]
SOLVAYSylvie PIVA
SNCF RéseauThérèse
Air France Catherine VINCENS DE TAPOL [email protected]
Thales Systèmes Aéroportés Florent VINCENT [email protected]
Société du Grand Paris Aude [email protected]
AREVA Hélène LEGRAS [email protected]
Collecte des mots clefs employés suite à la présentation de chacun lors du tour de table
5
EIDAS (electronic identification and trust services) : Le règlement e-IDAS remplace la directive 1999/93/CE sur la signature électronique. Son domaine d’application est cependant plus large et s’étend à l’identification électronique, aux services de confiance, y inclut la signature électronique, le cachet électronique, à l’horodatage électronique, aux services d’envoi recommandé électronique, à l’authentification de site internet et, enfin, aux documents électroniques.
Data protection officer (DPO)
Knowledge management / Management des connaissances
Building Information Modeling (BIM )ou Modélisation des données du bâtiment (MIB) et son archivage (à examiner en termes d’évolution)
CR2PA - Atelier N°9 -14 janvier 2016_RTE Deborah Pidet Bernard Ouillon
6CR2PA - Atelier N°9 -14 janvier 2016 SYSTRA
AGENDAProchains ateliers
• RECHERCHE présentation pour février et/ou mars 2016.
• Une thématique possible en mars 2016 avec Marine Guénerais
• Une thématique présentation fiche de travail du GT sur référentiel de conservation Florent Vincent
• Une thématique en juin 2016 avec Thérèse Précigous
• N° 10 : L’offre de formation interne en matière d’archivage (en cours…)
• N° 11…..
En bref
• Annuaire 2016 du CR2PA en ligne dans l’espace Adhérents.
• Compte rendu de l’Atelier du 10 décembre 2015 en ligne
• Groupe PIN: réunion du 15 janvier prochain sur les logiciels d'archivage (6 solutions)
A LIRE et A VOIRPublications
• Fernando LAGRAÑA, Courrier électronique et comportements. Usages et mésusages, Université Webster de Genève, ISTE-editions, 2015, 166 p
• Vidéo Les mails, ça suffit, de Franck MALLEZ: https://www.linkedin.com/pulse/les-emails-courriels-%C3%A7a-suffit-franck-mallez
Blogs• L’email a 40 ans. Et toutes ses dents, http://15marches.fr/management/quoi-de-neuf-lemail• Accompagnement et pédagogie, bilan 2015 du CR2PA par Marie-Anne CHABIN,
http://blog.cr2pa.fr/2016/01/accompagnement-et-pedagogie/
+ Nouvelles diverses sur le groupe Linkedin
Présentation de
7
SYSTRA - 60 ans d’expérience en ingénierie dans le domaine des transports collectifs
Déborah PIDET – Records manager et CIL
14 janvier 2016
1957création de SOFRERAIL par la SNCF
1961création de SOFRETU par la RATP
1995création de SYSTRA par la fusion des 2 sociétés
2012INEXIA et XELIS rejoignent SYSTRApour renforcer la puissance du groupe
Page 30
Fer de lance du savoir-faire d’ingénierie de la RATP et de la SNCF à
l’international
Banks(CA-CIB, BNP Paribas, Société Générale, Natixis, Crédit du Nord, CIC)
42%
1%
42%
15%
FCPE « Actionnariat Salarié »
Modes de transports et méthodes
Page 6
Grande vitesse
Métro
Tramway
Ferroviaire
11
2119
290
1515
100
219
533256
10
31933779
4781
≈5100
DÉC.-12 DÉC.-13 DÉC.-14
SYSTRA, c’est plus de 5 000 collaborateurs, dont plus de la moitié à l’export
12
Nos prestations
Nous gérons 1 500 contrats dans le monde
SYSTRA / un leader mondial de l’ingénieriedes transports publics
527millions d’euros de chiffre d’affaires en 2014
100% réalisés dans le secteur des transports en commun et du rail
47% du chiffre d’affaires est réalisé à l’international
• Chiffres clés Performances
Page 27
Records
50%1 ligne de métro sur 2 est construite avec l’aide de SYSTRA
500 km Record mondial de nouvelles lignes de tramwayEn France, réalisation de 22 des 29 nouvelles lignes de tramways
50 millions de passagers par jour voyagent grâce à l’ingénierie SYSTRA
Chiffres clés
Page 28
Responsable
KM
Documentalistes / Veilleurs (3 + alternant)
Archivistes(2)
Traducteur
Le MDC – Pilier du KM
Page 16
Abonnements revues
Bibliothèque
Veilles Traduction
Animation d’espacescollaboratifs
Base de connaissances
Archivage
Secrétaire Général
• systra.com
Atelier de SystraEléments d’introduction
Deborah PIDET
18
Correspondant Informatique et Libertés (CIL) et
projet d’archivage
CR2PA - Atelier N°9 -14 janvier 2016_RTE Deborah Pidet Bernard Ouillon
CIL et projet d’archivage
Le 14 janvier 2016
la confiance
transporte
le monde
Correspondant Informatique et Libertés et projet
d’archivage
Comment combiner les deux approches, quelles sont les
passerelles entre ces métiers ?
Sommaire
Le CIL : 10 ans d’existence et une mutation en cours1.Les collaborations à développer2.CIL et projet d’archivage3.
1.
Le CIL – 10 ans d’existence et une mutation en cours
Loi I&L – Pour bien commencer : les définitions
• Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite Loi Informatique et Libertés
• Les concepts
Donnée à caractère personnel (DCP) Traitement de DCP Fichier de DCP Finalités de traitement Durée de conservation
• Les interdits
Origines raciales ou ethniques Opinions politiques, philosophiques, religieuses Appartenance syndicale Santé Vie sexuelle
Page 23CIL et procédure d'archivage - Atelier CR2PA (14/01/2016)
Les acteurs directs
Personnes concernées
Responsable de traitement
Sous-traitant
Destinataire du traitement
Correspondant informatique et liberté
Les acteurs indirects
RSSI
Juriste
Producteurs
CNIL
Loi I&L – Principes fondateurs de la règlementation
Finalité
•Les DCP ne peuvent être recueillies et traitées que pour un usage déterminé et légitime
Proportionnalité et pertinence
•Seules doivent être traitées les informations pertinentes et nécessaires au regard des objectifs poursuivis
Durée de conservation limitée
•Les informations ne peuvent être conservées de façon indéfinies dans les fichiers informatiques. Une durée de conservation précise doit être déterminée en fonction de la finalité de chaque fichier
Sécurité et confidentialité
•Le responsable de traitement est astreint à une obligation de sécurité : il doit prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation à des tiers non autorisés
Respect des droits des personnes
•Information des personnes, droits d’accès et de rectification, droit d’opposition, droit au déréférencement
Page 24CIL et procédure d'archivage - Atelier CR2PA (14/01/2016)
Loi I&L – Le transfert de données hors UE
Page 25CIL et procédure d'archivage - Atelier CR2PA (14/01/2016)
Source : CNIL
Loi I&L – Formalités préalable à la mise en œuvre d’un traitement
Page 26CIL et procédure d'archivage - Atelier CR2PA (14/01/2016)
Volonté de mettre en œuvre un traitement
DCP ?DCP ?
Données sensibles ?Données
sensibles ?
Demande d’autorisation
à la CNIL
Ne relève pas de la loi I&L
Déclaration CNIL ou inscription au
registre
Décision de la CNIL
Le traitement ne peut pas être mis en œuvre
Mise en œuvre du traitement
Non
Non
Oui
Oui
Refus Acceptation
Article 36 alinéa 2 de la loi du6 janvier 1978 modifiée :Sont dispensés de déclarationles traitements ayantuniquement pour objetd’assurer la conservation àlong terme de documentsd’archives en vue de leurutilisation exclusive à des finshistoriques, statistiques ouscientifiques.
Loi I&L – Droits des personnes concernées par un traitement
• Les 5 droits liés à la loi Informatique & Libertés
• Droit d’accès– Savoir si un responsable de traitement détient nos DCP et les consulter– Droit personnel
• Droit d’information à la collecte– Capacité à refuser la collecte des données– Information au préalable de la collecte
• Droit de rectification– Corriger les informations inexactes suite à une demande d’accès– SAUF cas de personne décédées : accès non autorisé, mais demande de rectification
possible• Droit d’opposition
– S’opposer à la collecte ou l’utilisation de ses DCP– Droit personnel– N’existe pas pour certains fichiers du secteurs public (services fiscaux, police, Sécurité
sociale)• Droit au déréférencement
– Lié aux moteurs de recherche // droit à l’oubli numérique
Page 27CIL et procédure d'archivage - Atelier CR2PA (14/01/2016)
Le CIL – Les missions
• Avoir ou non un CIL ?• CIL non obligatoire / Mission ou poste à temps plein / Interne ou externe• Deux cas :
– Pas de CIL : le responsable de traitement s’assure que chaque sous-traitant déclare à la CNIL ses fichiers de traitement de DCP => pas d’uniformisation, pas toujours de sensibilisation des sous-traitants (internes) aux obligations I&L, etc.
– Avec un CIL : tenue d’un registre recensant les traitements de DCP => centralisation, contrôle de la licéité d’un traitement avant sa mise en place, actions de sensibilisation
• Règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
• CIL obligatoire / nouveau nom avec fonctions étendues : DPD (Délégué à la Protection des Données)
– DPO : Data Protection Officer : devient commissaire à la conformité• Entrée en vigueur Avril 2016 – 2 ans pour le mettre en application – Public comme privé
Page 28CIL et procédure d'archivage - Atelier CR2PA (14/01/2016)
2.
Les collaborations à développer
CIL et Juriste
• S’assurer que les données sont correctement collectées
• Le CIL est souvent un juriste
• Le juriste est :– Garant de la licéité des DCP collectées
– En mesure de comprendre et confronter tous les textes de lois régissant les DCP
• La collaboration se passe :– Dans l’analyse des contrats (tous types) menant à une potentielle utilisation de DCP
et à leur traitement
– Dans l’étude des contrats lors d’un stockage en dehors de l’Union européenne ou
– Dans le cadre de la rédaction de BCR (Binding Corporate Rules)
– Dans la vérification de la bonne conservation des données dans le temps
Page 30CIL et procédure d'archivage - Atelier CR2PA (14/01/2016)
CIL et RSSI
• S’assurer que les données sont correctement protégées
• Le CIL est souvent le RSSI• Le RSSI est
– Garant de la sécurité des réseaux et outils– Informé des nouveaux projets d’acquisition de logiciels ou de déploiement de
système produits en interne– Responsable des contrats IT passés avec les sociétés de service informatique
• La collaboration se passe :– Au cœur du processus de choix d’outils informatiques : le RSSI informe le CIL des
nouveaux projets avant leur déploiement afin de s’assurer de leur licéité– Lors de l’exploitation de l’outil si des demandes de mise à niveau ou d’amélioration
pouvant concerner des traitements de DCP sont faites– A la fin de l’exploitation d’un outil pour s’assurer de la suppression totale (ou de
l’archivage) des DCP traitées.
Page 31CIL et procédure d'archivage - Atelier CR2PA (14/01/2016)
CIL et producteurs
• Être en amont du déploiement d’un traitement de DCP
• Actions de sensibilisation des producteurs– Présentation de la loi I&L– Rappel des exigences et obligations– Comprendre chaque processus de production– … et chaque outil utilisé
• Être en veille permanente sur les activités des producteurs
• En relation avec le RSSI et le Juriste• Garder à jour son registre• Faire un état des lieux régulier (notamment dans le document
Bilan à remettre au responsable de traitement tous les ans).
Page 32CIL et procédure d'archivage - Atelier CR2PA (14/01/2016)
3.
Atelier – CIL et projet d’archivage
Atelier sur le thème
34CR2PA - Atelier N°9 -14 janvier 2016_RTE Deborah Pidet Bernard Ouillon
Correspondant Informatique et Libertés (CIL) et
projet d’archivage
• Quelles sont les actions à mettre en œuvre pour développer une coopération efficace entre le CIL et le records manager ?
• Constitution des groupes
Mots clefs ou thèmes ou points clefs lors de l’animation de SYSTRA
CIL et DPO sont deux métiers différents – CIL dans l’action avec la tenue des registres par exemples
– DPO est plus fonctionnel avec la charge du contrôle du respect de la loi
En cours d’analyse par la commission informatique et libertés
Les hébergeurs de données doivent disposer de clause compliance avec la localisation des données et une réversibilité associées à des audits en lien avec les BCR (Binding Corporate Rules (BCR) constituant un code de conduite, définissant la politique d'une entreprise (Groupe) en matière de transferts de données entre ses filiales de différents pays).
Le registre, la forme et le contenu
Les contrôles de la Cnil
Anonymisation
Archives historiques et anonymisation
Données de santé
Connaissance du CNIL par les métiers dans le cadre d’une communication interne
Arrêt Nikon, un fichier personnel à usage privé n’est pas à le déclarer
La nomination du CIL avec information aux IRP
Constitution d’un registre et présentation d’une grille de préparation– Vigilance sur la nécessité de disposer d’un registre minimal
– Ne pas confondre grille de préparation et registre à présenter à la CNIL en cas de contrôle
Safe Harbor : Les principes de la Baie de sécurité (Safe Harbor) permettent à une entreprise sur le territoire américain de certifier qu'elle respecte la législation de l'Espace économique européen (EEE) afin d'obtenir l'autorisation de transférer des données personnelles de l'EEE vers les États-Unis.
35CR2PA - Atelier N°9 -14 janvier 2016_RTE Deborah Pidet Bernard Ouillon
Synthèse travail de l’atelierles points clefs à retenir
36
• Connaitre les missions de chacun • Les deux doivent bien comprendre le périmètre de chacun• Un constat : Le Cil est plus connu que le Record manager dans
l’entreprise• Travailler ensemble
– Un dictionnaire commun sur les données à conserver. – Le premier qui est consulté peut lancer l’alerte à l’autre pour être
cohérents au sein de l’entreprise
• Se rapprocher sur les durées de conservation, en s’appuyant sur les REX de chacune des entreprises avec un travail commun CIL et Archivistes
• La connaissance de la culture des archives et celle du CIL pour travailler ensemble
• Intégration du CIL ou de l’archiviste dans des échanges réguliers• Intégrer le CIL dans la révision des durées de conservation
CR2PA - Atelier N°9 -14 janvier 2016_RTE Deborah Pidet Bernard Ouillon
THEMATIQUES ATELIERS (RAPPEL)
• Valeur probatoire des procédures versus coffre forts– Ex : Dans un établissement public un agent comptable demande La signature de tous Les
documents et doit ensuite Les conserver pour des raisons réglementaires dans un coffre- fort.
• Référentiel ARCATEG / Référentiel de conservation standard/Penser Le plan de classement et le référentiel de conservation/ Les procédures d'archivage
• Expérience de mise en place d'un outil de SAE / Mise en place d'un SAE
• Comment identifier et conserver les documents originaux
• Gestion des emails / Réflexions sur Les courriels / La notion de mails engageants / Archivage des mails engageants / Archivage des mails Organisation de la traçabilité
• Arriéré papier+ accroissement de L'électronique= ordre à respecter si Les deux sujets sont à traiter
37CR2PA - Atelier N°9 -14 janvier 2016_RTE Deborah Pidet Bernard Ouillon
38CR2PA - Atelier N°9 -14 janvier 2016_RTE Deborah Pidet Bernard Ouillon
THEMATIQUES ATELIERS (RAPPEL) (suite)
• Durée et nombre d'intervenants sur un projet d'archivage électronique ?• Démarche de gestion de risque notamment documentaire. Archivage à valeur
probante des informations nativement numériques en interne et en externe.• Le profil d’un archiviste dans une entreprise, sa lettre de missions…• La définition de la fonction recherche dans un système d’archivage• Comment faire vivre un SAE mixte papier numérique?• Comment archiver des données sur des systèmes externes en SAS et la gestion
de la sécurité• Tableau de pilotage et indicateurs de base ou générique sur les stocks sur les
flux• Building Information Modeling (BIM )ou Modélisation des données du
bâtiment (MIB) et son archivage (à examiner en terme d’évolution) • EIDAS electronic identification and signature : Le règlement e-IDAS remplace
la directive 1999/93/CE sur la signature électronique. Son domaine d’application est cependant plus large et s’étend à l’identification électronique, aux services de confiance, y inclut la signature électronique, le cachet électronique, à l’horodatage électronique, aux services d’envoi recommandé électronique, à l’authentification de site internet et, enfin, aux documents électroniques.
• Comment mener un audit de l’archivage des entités / des prestataires ? Quelle grille suivre ?
• Comment identifier les opportunités de numérisation de documents papier pour en assurer un accès pérenne ?
LES PROPOSITIONS D’INTERVENTIONS
Deborah PIDET
• Archivage, CIL et lois informatique et libertés (au 1er semestre 2016)
Florent VINCENT THALES
• Format de documents
• Outillage ECM SAE RM
• démarche de mise en place
• Dématérialisation
Aurélie FOUQUERAY
• Formation et dimension RH des acteurs de l’archivag
Yves SARAZIN PSA
• Présentation de leur outil de gestion et de diffusion interne du référentiel
Nathalie JUBIN. GDF Suez
• La mise en place d'un SAE ( une fois son projet terminé en mars 2015)
Marine GUENERAIS DAPAC
• Réflexions sur les outils collaboratifs sur la base de travaux réalisés groupe VITAM sur sharepoint
• Réflexion en cours sur le rôle et le questionnement de l'archiviste/RM dans les projets de dématérialisation plus un débat vue d'un archiviste
• Les points d’un projet de SAE
39CR2PA - Atelier N°9 -14 janvier 2016_RTE Deborah Pidet Bernard Ouillon
LES PROPOSITIONS D’INTERVENTIONS (suite)
François DELION BOUYGUES TCM
• Les exigences liées à l'archivage probant des informations nativement numériques en interne et en externe retenues chez Bouygues TCM (courant 2016 lors de l’achèvement de la démarche en cours au sein de l’entreprise)
Bernard Ouillon RTE
• Méthodologie expression des besoins
• Méthodologie étude d’opportunité
• Méthodologie étude de faisabilité
• Un projet
• Analyse de risque
Monique, Nathalie, Nathalie, Yves, Marine
• Présentation de méthodes différentes pour réaliser le référentiel d’archivage (Arcateg, autres à définir)
Catherine Vincens de Tapol
• Audit de l’archivage sur les entités
40CR2PA - Atelier N°9 -14 janvier 2016_RTE Deborah Pidet Bernard Ouillon
Propositions de GT
• Objectif : Se rapprocher sur les durées de conservation entre CIL et Archivage,
• Proposition d’un travail en s’appuyant sur les REX de chacune des entreprises du CR2PA avec un travail commun CIL et Archivistes
• A valider par le comité opérationnel du CR2PA
CR2PA - Atelier N°8 -10 déc 2015_RTE Bernard
41