Sécurité des systèmes d’information et accès aux données personnelles

Publié le : 12 novembre 2019-Mis à jour le : 02 juillet 2021

Conformément aux recommandations et règles en vigueur, la Cisse nationale de solidarité pour l'autonomie (CNSA) conduit une démarche d’homologation de sécurité de ses applications informatiques. Le site www.cnsa.fr respecte les recommandations de la Commission nationale de l'informatique et des libertés (CNIL) en vue d'offrir aux usagers toutes les garanties en matière de confidentialité de leurs données.

Sécurité des systèmes d’information à la CNSA

Conformément aux recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la CNSA conduit une démarche d’homologation de sécurité de ses applications informatiques.

La CNSA développe de nombreuses applications informatiques utiles à la mise en œuvre des politiques de l’aide à l’autonomie. Afin de sécuriser les applications et de rassurer leurs utilisateurs, elle les soumet à une homologation de sécurité.

L’objectif de la démarche d’homologation d’un système d’information est de trouver un équilibre entre le risque acceptable et les coûts de sécurisation, puis de faire arbitrer cet équilibre, de manière formelle.

Cette démarche permet d’améliorer la sécurité pour un coût optimal, en évitant la « sur-sécurité », mais en prenant également en compte le coût d’un éventuel incident de sécurité. Elle permet de s’assurer que les risques pesant sur le système d’information, dans son contexte d’utilisation, sont connus et maîtrisés de manière active, préventive et continue.

La commission d’homologation de la CNSA réunit un représentant de la direction générale, le responsable de la sécurité des systèmes d’information, la maitrise d’ouvrage, la maitrise d’œuvre, le responsable du contrôle interne.

Après analyse du dossier d’homologation de l’application informatique, la commission émet un avis assorti d’un plan d’action qui vise à pallier les risques de sécurité résiduels.

Sur la base de cet avis, la décision d’homologation est émise pour une durée de 4 ans maximum.

Liste des applications informatiques homologuées

  • Services centraux, homologués le 26 avril 2017 pour 4 ans.
  • Seppia, homologuée le 29 novembre 2018 pour 4 ans.
  • Galaad, homologuée le 29 novembre 2018 pour 4 ans.
  • Comptabilité CEGID, homologuée le 11 avril 2019 pour 4 ans.
  • Centre de données SI MDPH, homologué le 5 novembre 2019 pour 2 ans et demi.
  • Livret parcours inclusif, homologué le 31 juillet 2020 pour 6 mois.
  • Conférence des financeurs, homologuée le 12 mai 2021 pour une durée de 4 ans.
  • Activités MDA MDPH, homologuée le 12 mai 2021 pour une durée de 4 ans.
  • MDPH en ligne, homologuée le 7 juin 2021 pour 3 ans.

Données personnelles

La CNSA - établissement public administratif - a été créée par la loi du 30 juin 2004. Son siège social est situé 66, avenue du Maine, 75682 Paris cedex 14. La CNSA est responsable de la gestion et l’amélioration du site www.cnsa.fr et accorde une attention particulière à la protection des données à caractère personnel.

La CNSA met en œuvre des procédures et des outils informatiques pour garantir la protection des données à caractère personnel :

  • les données à caractère personnel sont traitées de manière transparente et sécurisée dans le respect du droit des personnes ;
  • la CNSA est engagée dans une démarche continue de protection des données à caractère personnel en conformité avec la loi Informatique et Libertés du 6 janvier 1978 modifiée et le Règlement (UE) sur la protection des données du 27 avril 2016 (RGPD) ;
  • la CNSA dispose d’un Délégué à la protection des données personnelles (DPD) déclaré auprès de la CNIL.

La présente notice d’information a pour objet de vous informer sur la manière dont la CNSA en tant que responsable de traitement traite et protège vos données à caractère personnel dans le cadre de son activité de mise à disposition du site www.cnsa.fr.

Qui collecte les données à caractère personnel ?

Le Responsable du traitement de données à caractère personnel est la CNSA dont le siège est situé au 66 avenue du Maine, 75682 Paris cedex 14.

Quelles sont les données à caractère personnel traitées ?

La notion de Données à caractère personnel désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres.

La CNSA (Caisse nationale de solidarité pour l'autonomie) est amenée à collecter et à traiter les données des personnes susceptibles d’adresser un message via :

  • un formulaire de contact disponible en cliquant sur lien « Nous contacter » placé en bas de chaque page du site www.cnsa.fr,

De plus, la CNSA collecte certaines autres données personnelles pour vous proposer des services :

  • l'adresse mail suite à une demande d'abonnement à la lettre d'information mensuelle,
  • les données personnelles (nom, prénom, courriel) sont demandées pour une inscription aux Rencontres recherche & innovation organisées par la CNSA.

Les traitements sont les suivants :

  • l’adresse mail déclarée dans les champs prévus est utilisée pour répondre à une demande formulée et envoyée, pour adresser la lettre d'information ou pour informer des événements (colloque, webinaire, appels à projets…) organisés ou co-organisés par la CNSA ;
  • les commentaires libres peuvent être transmis dans les champs prévus à cet effet. NB : il est demandé à l’usager de ne mentionner aucune information personnelle qui permettrait de l’identifier ou d'identifier une autre personne directement ou indirectement (exemples : nom, adresse, numéro de téléphone, numéro de sécurité sociale, numéro fiscal, lieu et date de naissance, etc.) ;

Les utilisateurs du formulaire de contact peuvent être des personnes souhaitant :

  • signaler un problème sur le site ;
  • faire une suggestion sur les missions de la CNSA ;
  • contacter les responsables du site pour un autre sujet.

Quelles sont les finalités et les bases légales des traitements de vos données à caractère personnel ?

Le traitement de données à caractère personnel du site www.cnsa.fr a pour finalité de « Mettre à disposition un site internet ».

La base légale du traitement est le recueil de consentement.

Quels sont les destinataires et sous-traitants de vos données à caractère personnel ?

Les données collectées via le formulaire de contact disponible en cliquant sur lien « Nous contacter » placé en bas de page ou le formulaire d’inscription aux Rencontres recherche & innovation sont destinées à être utilisées par les collaborateurs de la Direction de l'information des publics et de la communication (DIPCOM) de la CNSA.

Elles seront également rendues accessibles aux prestataires techniques de la CNSA pour les stricts besoins de leurs missions.   

Est-il effectué un transfert de vos données à caractère personnel hors de l’espace économique européen ?

Les données à caractère personnel sont stockées en Europe. Le traitement de vos données à caractère personnel ne donne lieu à aucun transfert hors de l’espace économique européen.

Dans l’hypothèse où un transfert de données à caractère personnel hors de l’espace économique européen serait envisagé, la CNSA s’engage à vous en informer par tous moyens et à mettre en œuvre les garanties appropriées telles que prévues par le Règlement (UE) 2016/679 du 27 avril 2016 et par la loi « Informatique et Libertés ».

Pour quelle durée conservons-nous vos données à caractère personnel ?

La CNSA (Caisse nationale de solidarité pour l'autonomie) traite et conserve les données à caractère personnel dans un environnement sécurisé pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées par le site www.cnsa.fr.

Ainsi, les données à caractère personnel collectées et traitées sont conservées à compter de la date de leur enregistrement durant douze (12) mois.

Quels sont vos droits et de quelle manière pouvez-vous les exercer ?

Conformément à la réglementation en vigueur et notamment au Règlement européen (UE) du 27 avril 2016, vous disposez des droits suivants :

  • droit d’accès et de rectification, mise à jour et complétude de vos données à caractère personnel ;
  • droit d’effacement de vos données à caractère personnel lorsqu’elles sont inexactes, incomplètes, équivoques ou périmées ;
  • droit de définir le sort de vos données à caractère personnel après la mort et de choisir à qui la CNSA devra communiquer (ou non) vos données à caractère personnel ;
  • droit de retirer votre consentement dans le cas où il aura été requis ;
  • droit d’opposition au traitement ou à une partie du traitement ;
  • droit à la portabilité de vos données ;
  • droit à la limitation de l’utilisation de vos données.

Vous pouvez modifier ou révoquer vos instructions et directives concernant le sort de vos données à caractère personnel après le décès à tout moment.
Pour exercer les droits définis ci-dessus, vous pouvez contacter la CNSA à l’adresse suivante : CNSA - Caisse nationale de solidarité pour l'autonomie - à l’attention du délégué à la protection des données (DPD) - 66, avenue du Maine - 75682 Paris cedex 14 ou par mail : demandes-Rgpd[at]cnsa.fr.

Pour faciliter la gestion de votre demande de droits, vous pouvez préciser les données à caractère personnel que vous souhaitez voir corriger, mettre à jour ou supprimer par la CNSA. Merci de vous identifier de manière précise avec une copie d’une pièce d’identité en cours de validité (carte d’identité ou passeport). Sur ce point, nous vous précisons que les demandes de suppression sont soumises aux obligations légales imposées à la CNSA notamment en matière de conservation et d’archivage des documents.

Vous disposez du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente (CNIL) ou d’obtenir réparation auprès des tribunaux compétents si vous considérez que la CNSA n’a pas respecté vos droits.

Comment se désinscrire de la Lettre d'information de la CNSA ?

Si vous souhaitez vous désinscrire de la Lettre de la CNSA, veuillez cliquer sur le lien « Ne plus recevoir la lettre d’information de la CNSA » qui figure au bas de la lettre d’information que vous avez reçue par mail.
Vous pouvez également envoyer un mail à l’adresse diffusion[at]cnsa.fr.

Comment prendre connaissance des modifications apportées à cette notice d’information ?

Compte tenu des évolutions techniques et digitales, la CNSA est susceptible d’actualiser ce document. En cas de modification de la présente notice par la CNSA, elle sera publiée sur le site www.cnsa.fr et sera effective dès sa publication. Nous vous invitons à vous y référer lors de chaque visite afin de prendre connaissance de sa dernière version disponible.

Ailleurs sur le web

Politique de sécurité des systèmes d’information de l’État Circulaire sur la politique des systèmes d'information de l’ÉtatDécret n° 2010-112 du 2 février 2010 pris pour l'application de l'ordonnance relative aux échanges électroniques Arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre
Retour en haut