Retour à la section

Titre VI

MISE EN ŒUVRE DU PRINCIPE DE RESPONSABILITÉ

Article suivant

JORF n°0237 du 12 octobre 2023

6.1. Analyse d'impact sur la protection des données

6.1.1. Le responsable de traitement effectue une analyse d'impact relative à la protection des données menée conformément aux dispositions de l'article 35 du RGPD, qui doit couvrir en particulier les risques sur les droits et libertés des personnes concernées.
6.1.2. Cette analyse d'impact doit être réexaminée et mise à jour régulièrement, notamment si des changements importants sont prévus dans le traitement mis en œuvre dans le cadre de la présente méthodologie ou si les risques pour les personnes concernées ont évolué.
6.1.3. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques semblables.

6.2. Formalités

6.2.1. Chaque responsable de traitement désigne un délégué à la protection des données, en application de l'article 37 du RGPD. Ce délégué à la protection des données aura notamment pour mission de vérifier le respect de la conformité des traitements mis en œuvre selon la présente méthodologie.
6.2.2. Le responsable de traitement adresse à la CNIL une seule déclaration de conformité à la présente méthodologie pour l'ensemble des traitements qu'il met en œuvre dès lors qu'ils sont et seront réalisés en conformité avec l'ensemble des dispositions de la méthodologie.
6.2.3. Dans le cadre d'une responsabilité conjointe, chaque responsable de traitement procède à une déclaration de conformité à la méthodologie de référence pour son propre compte.
6.2.4. Les traitements visés par la présente méthodologie de référence doivent obtenir un avis expressément favorable du CESREES préalablement à leur mise en œuvre. Pour obtenir cet avis, un dossier doit être déposé auprès du secrétariat unique de la PDS et doit comporter les éléments listés dans la présente méthodologie.
6.2.5. Conformément à l'article 30 du RGPD, le responsable de traitement tient à jour, au sein du registre des activités de traitement, la liste des traitements mis en œuvre dans le cadre de la présente méthodologie. Il vérifie régulièrement la conformité des traitements en cours au regard des exigences de la méthodologie de référence et documente cette analyse.

6.3. Principe de transparence

6.3.1. Le cadre juridique permettant la mise à disposition des données du SNDS est conçu de façon à rendre compte de leur utilisation à la population. A cette fin, l'article L. 1461-3 II du CSP subordonne l'accès aux données du SNDS et de ses composantes à la communication à la PDS de plusieurs éléments par le responsable de traitement, avant et après la réalisation des études.
6.3.2. Ainsi, le responsable du traitement s'engage à enregistrer dans le répertoire public tenu par la PDS chaque étude réalisée dans le cadre de cette méthodologie.
6.3.3. Cet enregistrement doit être effectué, avant le début de chaque étude, par le responsable de traitement ou la personne agissant pour son compte. Il s'accompagne de la transmission à la PDS d'un dossier comportant :

- le protocole, incluant la justification de l'intérêt public, ainsi qu'un résumé, selon le modèle mis à disposition par la PDS. En cas d'avis favorable avec recommandations du CESREES, le protocole et le résumé tenant compte de manière apparente des recommandations, doivent être enregistrés ;
- la déclaration d'intérêts, en rapport avec l'objet de l'étude, du responsable du traitement et le cas échéant du sous-traitant.

6.3.4. A la fin de l'étude, la méthode et les résultats obtenus devront être communiqués à la PDS en vue de leur publication.
6.3.5. L'enregistrement du traitement et la transmission des résultats sont effectués conformément aux modalités définies par la PDS.

6.4. Bilan

6.4.1. Le responsable de traitement, le cas échéant après avoir consulté le ou les sous-traitants, transmet tous les trois ans à la CNIL un bilan synthétisant les usages observés de la présente méthodologie de référence, en indiquant notamment :

- le nombre d'études mises en œuvre sur la période analysée ;
- les types de finalités poursuivies ;
- les modalités de financement des projets et partenaires (notamment financements publics, etc.) ;
- concernant les données traitées :
- les composantes du SNDS majoritairement sollicitées ;
- la conformité globale de l'expression des besoins aux objectifs de l'étude ;
- la profondeur historique moyenne sollicitée et son caractère suffisant ou non ;
- le nombre moyen de personnes concernées par les études ;
- la moyenne de la durée d'accès ou de conservation des données sollicitée et leur caractère suffisant ou non ;
- les supports d'information collective mis en œuvre ;
- la qualité des personnes habilitées à accéder aux données du SNDS ;
- concernant la sécurité des données :
- les incidents de sécurité, susceptibles d'impacter les droits des personnes, éventuellement révélés ou évités ;
- toute modification substantielle de l'architecture de l'environnement maîtrisé ;
- le nombre de publications scientifiques découlant des recherche, études et évaluations réalisées dans le cadre de la méthodologie ;
- les bénéfices, apports scientifiques observés et/ou mesurés.

1 version

Historique des versions

Version 1

6.1. Analyse d'impact sur la protection des données

6.1.1. Le responsable de traitement effectue une analyse d'impact relative à la protection des données menée conformément aux dispositions de l'article 35 du RGPD, qui doit couvrir en particulier les risques sur les droits et libertés des personnes concernées.

6.1.2. Cette analyse d'impact doit être réexaminée et mise à jour régulièrement, notamment si des changements importants sont prévus dans le traitement mis en œuvre dans le cadre de la présente méthodologie ou si les risques pour les personnes concernées ont évolué.

6.1.3. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques semblables.

6.2. Formalités

6.2.1. Chaque responsable de traitement désigne un délégué à la protection des données, en application de l'article 37 du RGPD. Ce délégué à la protection des données aura notamment pour mission de vérifier le respect de la conformité des traitements mis en œuvre selon la présente méthodologie.

6.2.2. Le responsable de traitement adresse à la CNIL une seule déclaration de conformité à la présente méthodologie pour l'ensemble des traitements qu'il met en œuvre dès lors qu'ils sont et seront réalisés en conformité avec l'ensemble des dispositions de la méthodologie.

6.2.3. Dans le cadre d'une responsabilité conjointe, chaque responsable de traitement procède à une déclaration de conformité à la méthodologie de référence pour son propre compte.

6.2.4. Les traitements visés par la présente méthodologie de référence doivent obtenir un avis expressément favorable du CESREES préalablement à leur mise en œuvre. Pour obtenir cet avis, un dossier doit être déposé auprès du secrétariat unique de la PDS et doit comporter les éléments listés dans la présente méthodologie.

6.2.5. Conformément à l'article 30 du RGPD, le responsable de traitement tient à jour, au sein du registre des activités de traitement, la liste des traitements mis en œuvre dans le cadre de la présente méthodologie. Il vérifie régulièrement la conformité des traitements en cours au regard des exigences de la méthodologie de référence et documente cette analyse.

6.3. Principe de transparence

6.3.1. Le cadre juridique permettant la mise à disposition des données du SNDS est conçu de façon à rendre compte de leur utilisation à la population. A cette fin, l'article L. 1461-3 II du CSP subordonne l'accès aux données du SNDS et de ses composantes à la communication à la PDS de plusieurs éléments par le responsable de traitement, avant et après la réalisation des études.

6.3.2. Ainsi, le responsable du traitement s'engage à enregistrer dans le répertoire public tenu par la PDS chaque étude réalisée dans le cadre de cette méthodologie.

6.3.3. Cet enregistrement doit être effectué, avant le début de chaque étude, par le responsable de traitement ou la personne agissant pour son compte. Il s'accompagne de la transmission à la PDS d'un dossier comportant :

- le protocole, incluant la justification de l'intérêt public, ainsi qu'un résumé, selon le modèle mis à disposition par la PDS. En cas d'avis favorable avec recommandations du CESREES, le protocole et le résumé tenant compte de manière apparente des recommandations, doivent être enregistrés ;

- la déclaration d'intérêts, en rapport avec l'objet de l'étude, du responsable du traitement et le cas échéant du sous-traitant.

6.3.4. A la fin de l'étude, la méthode et les résultats obtenus devront être communiqués à la PDS en vue de leur publication.

6.3.5. L'enregistrement du traitement et la transmission des résultats sont effectués conformément aux modalités définies par la PDS.

6.4. Bilan

6.4.1. Le responsable de traitement, le cas échéant après avoir consulté le ou les sous-traitants, transmet tous les trois ans à la CNIL un bilan synthétisant les usages observés de la présente méthodologie de référence, en indiquant notamment :

- le nombre d'études mises en œuvre sur la période analysée ;

- les types de finalités poursuivies ;

- les modalités de financement des projets et partenaires (notamment financements publics, etc.) ;

- concernant les données traitées :

- les composantes du SNDS majoritairement sollicitées ;

- la conformité globale de l'expression des besoins aux objectifs de l'étude ;

- la profondeur historique moyenne sollicitée et son caractère suffisant ou non ;

- le nombre moyen de personnes concernées par les études ;

- la moyenne de la durée d'accès ou de conservation des données sollicitée et leur caractère suffisant ou non ;

- les supports d'information collective mis en œuvre ;

- la qualité des personnes habilitées à accéder aux données du SNDS ;

- concernant la sécurité des données :

- les incidents de sécurité, susceptibles d'impacter les droits des personnes, éventuellement révélés ou évités ;

- toute modification substantielle de l'architecture de l'environnement maîtrisé ;

- le nombre de publications scientifiques découlant des recherche, études et évaluations réalisées dans le cadre de la méthodologie ;

- les bénéfices, apports scientifiques observés et/ou mesurés.