La plateforme relative à la gestion fonctionnelle des SDIS est un outil d'information, d'échange et de mutualisation des données relatives aux cinq grands domaines que sont l'administration - finance, la commande publique, les ressources humaines, la communication et les systèmes d'information.

Actualité

Mémoire réalisé dans le cadre de la formation Commandant des systèmes d'information et de la communication, 2017

CNILisation des données opérationnelles des SDIS... Et demain : le RGPD ?

03/04/18

INTRODUCTION

Avec l'avènement de l'informatique et des nouvelles technologies numériques, le traitement des données à caractère personnel est d'un usage commun. La tenue de fichiers informatisés où sont répertoriés des données personnelles, parfois collectées et conservées sans le consentement des individus concernés, n’est pas tolérée et se trouve parfois injustifiée au regard de la finalité du traitement.

C'est dans ce sens, suite aux réactions faites face au projet SAFARI, que la France, avant-gardiste, s'est engagée dans la réglementation de l'utilisation des moyens informatiques et a mis en place un garde-fou contre les abus de l'informatique mal maîtrisée. Le rapport TRICOT publié en 1975 projettera pour la première fois en Europe les principes de la loi relative à l'informatique, aux fichiers et aux libertés promulguée le 6 janvier 1978. De cette loi, naîtra la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité administrative de contrôle indépendante.

Ce n'est qu'en 1995 que l'Europe légifère et publie la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Le développement de l'informatisation des organisations a engendré une forte dépendance aux nouvelles technologies de l'information et de la communication (NTIC). Au travers des outils multimédias d'internet, chacun peut communiquer, accéder aux sources d'information, stocker, manipuler, produire et transmettre de l'information sous toutes ses formes : texte, musique, son, image, vidéo, interface graphique interactive ou interface homme machine (IHM).

C'est ainsi que les systèmes d'information et leurs applications logicielles génèrent et exploitent des données de plus en plus importantes, constituant un véritable patrimoine immatériel. Parallèlement, les outils nomades, intelligents et connectés se développent considérablement. La donnée ou data est l'unité de mesure numérique, la nouvelle matière première qui prend de la valeur et devient un nouvel "eldorado".

Hébergées dans des centres de traitement ou data center, internes à l'établissement mais aussi externalisées ou dans le "cloud", les données numériques publiques sont rendues plus facilement accessibles notamment par l’effet de la loi du 7 octobre 2016 pour une République numérique. L'ouverture et l'accès aux données ou open data par l'administration sont censés concourir à la transparence attendue par les administrés et les usagers. Toutefois, cette ouverture doit veiller à respecter les libertés individuelles.

Dans cette société numérique, les SDIS se sont modernisés et exploitent des systèmes d'information et de communication sur lesquels s'adossent des bases de données : système de gestion des appels, système de gestion opérationnelle, système d'information géographique, système de gestion de la phonie, système de gestion des ressources humaines et de la formation,etc.

Avec cette nouvelle urbanisation numérique, les échanges de données entre applications deviennent stratégiques et interopérables. Mais parmi ces données, quelles sont celles qui ont un caractère personnel ?

En application des textes précités, les SDIS ont-ils mis en place la démarche et les outils nécessaires, sur le plan technique, humain et organisationnel, afin de garantir la conformité du traitement des données personnelles ? Une telle question est d’autant plus d’actualité avec la parution du règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard des traitements des données à caractère personnel et à la libre circulation de ces données le 27 avril 2016. Il abroge la directive95/46/CE de 1995. Issu d'un processus d'élaboration long et émaillé de près de 4000 amendements, il comprend 99 articles introduits par 173 considérants. Applicable sans transposition nationale à compter du 25 mai 2018, il s'impose à toutes les organisations concernées.

Ainsi, le présent rapport a pour objet d'éclairer les SDIS sur les enjeux de ce nouveau dispositif et de les préparer à assumer leurs nouvelles obligations vis-à-vis de la protection des données personnelles dont l'échéance est proche.

L'étude s'attachera dans un premier temps à présenter l'analyse du sujet et la méthodologie de recherche.

Après avoir abordé l'état de l'art en matière de conformité informatique et liberté, tout un chapitre sera consacré aux impacts de ce règlement général de la protection des données (RGPD) sur les organisations, appuyée sur une méthodologie élaborée par la CNIL. Enfin, sera présenté un ensemble de préconisations sur lesquelles les SDIS pourront s'appuyer afin de s'engager dans la démarche.

Ce rapport n'a pas vocation à aborder ce sujet uniquement sur le volet juridique mais également sur le plan technico-opérationnel où le COMSIC apporte son expertise. Il aura à conjuguer avec les autres acteurs concourants à la démarche, à savoir le futur délégué responsable de la protection des données (DPD) ou DPO (Data Protection Officer), la direction des systèmes d'information (DSI) et le responsable de la sécurité des systèmes d'information (RSSI).

Auteurs :

  • Commandant Sébastien BOURDIN, SDIS de l'INDRE
  • Commandant Willy DEVAY, SDIS de MAINE ET LOIRE
  • Commandant Joël FRETTE, Service des Technologies et des Systèmes d'Information de la Sécurité Intérieure, Direction Générale de la Gendarmerie Nationale

Directeur de mémoire : Monsieur Mustapha MOUJAHID, conseiller juridique, SDIS de la Haute-Savoie

Publié le 03/04/18 à 16:10