Par Florence BERNIGAUD, Archives municipales de Lyon et François PALLIN, Délégué à la protection des données, ville de Lyon
Session : Archives et protection des données à caractère personnel
#AAFSaintÉ19 : Archives et protection des données : outils et résultats de la coopération à la ville de Lyon
1. Archives et protection desArchives et protection desArchives et protection desArchives et protection des
donnéesdonnéesdonnéesdonnées
Outils et résultats de la coopération
3 avril 2019
François Pallin, délégué à la protection des données
Florence Bernigaud, e-archiviste
2. Archives et protection des données :Archives et protection des données :Archives et protection des données :Archives et protection des données :
Outils et résultats de laOutils et résultats de laOutils et résultats de laOutils et résultats de la coopérationcoopérationcoopérationcoopération
Plan
•Contexte
•Les éléments de rapprochement
•Les premiers résultats obtenus
•Les outils de coopération
•Les divergences résiduelles
3. ContexteContexteContexteContexte
La Ville de Lyon, le RGPD et lesLa Ville de Lyon, le RGPD et lesLa Ville de Lyon, le RGPD et lesLa Ville de Lyon, le RGPD et les archivesarchivesarchivesarchives
Lyon, quelques chiffres
• La ville
– 513 275 habitants (2015)
– 8600 agents (2016)
– 70 directions rassemblant 300 services,
– 846 sites municipaux
– 15 établissements hors régie
4. 4
Lyon, quelques chiffresLyon, quelques chiffresLyon, quelques chiffresLyon, quelques chiffres
• Le Délégué à la Protection des Données
– Direction Générale - Secrétariat général
– 1 DPD à mi-temps
– Equipe DPD : 2,5 ETP + 1 Besoin occasionnel
Phase de Mise en conformité = 5 ETP
– 400 à 500 traitements
5. 5
Lyon, quelques chiffresLyon, quelques chiffresLyon, quelques chiffresLyon, quelques chiffres
• Le système d’information
– 78 agents à la direction chargée de l’informatique
– 270 To de baies en haut débit
– 691 serveurs physiques ou virtuels
– 2 salles blanches informatiques
– 8587 postes informatiques
– 202 applications métier centralisées
– 29 sites internet
6. 6
Lyon, quelques chiffresLyon, quelques chiffresLyon, quelques chiffresLyon, quelques chiffres
• Les Archives
– Délégation générale à la Culture
– 34 agents
• Dont 0,8 ETP sur l’archivage électronique
– 17 Kml d’archives définitives
– 8 To d’archives électroniques
– Application principale de gestion des
archives traditionnelles : Mnesys (2017)
- Système d’archivage électronique : As@lae + Pastell (2018)
7. Les premiers documents de communicationLes premiers documents de communicationLes premiers documents de communicationLes premiers documents de communication
8. Les premiers documents de communicationLes premiers documents de communicationLes premiers documents de communicationLes premiers documents de communication
9. Les premiers documents de communicationLes premiers documents de communicationLes premiers documents de communicationLes premiers documents de communication
10. Note pour les données du Guichet UniqueNote pour les données du Guichet UniqueNote pour les données du Guichet UniqueNote pour les données du Guichet Unique
ou
2) système d’archivage
électronique (SAE)
Durée d’utilité administrative (DUA), définie par le tableau de gestion
Archives courantes Archives intermédiaires Archives définitives
Application métier
Système d’archivage
électronique (SAE)
Création
des
données
Fin de
l’usage
courant des
données
Fin de
la DUA
T1 T2T0 Durée d’utilité courante (DUC),
déclarée à la CNIL
Basculement en pré-archivage : 2
possibilités
1) application métier
Cycle de vie des données
11. Schéma du cycle de vieSchéma du cycle de vieSchéma du cycle de vieSchéma du cycle de vie BuromobilBuromobilBuromobilBuromobil
Cycle de vie des dossiers sociaux
Rappel du tableau de gestion (TG) : DUA 10 ans puis tri pour conserver uniquement les dossiers
en B et T.
Application
métier
Archives courantes
Archives intermédiaires
Archives définitives
Création du
dossier
Fin de l’usage
courant des
données
= clôture du
dossier
Fin de la DUA
= application du
sort indiqué dans
le TG
T1 T2T0
Durée d’utilité courante (DUC),
déclarée à la CNIL
Pré-archivage
Instruction du dossier
(durée variable)
2 ans
(inactivité)
8 ans
Conservation dossier en B et en
T (élimination des autres dossiers avec
bordereau d’élimination).
2 ans
Application métier Impression papier Conservation papier
Durée d’utilité administrative (DUA), définie
par le tableau de gestion
12. Tableau de gestion avec références CNILTableau de gestion avec références CNILTableau de gestion avec références CNILTableau de gestion avec références CNIL
14. Cycle de vie de la donnée personnelleCycle de vie de la donnée personnelleCycle de vie de la donnée personnelleCycle de vie de la donnée personnelle
Etudes
Projet
Base d’archive
Archivage
intermédiaire
Base active /
Archive
Courante
Inscription au
registre
Suppression/Anonymisation
Bordereau d’élimination
Phase 1
Conception
Phase 2
Exploitation
Tableau de gestion
SAE
Privacy by design Maintenance
Mesures d’information
Droits RGPD
Consultation
des archives
Phase 3
Conservation
Archivage définitif
VERSEMENT
DUA
15. Les modes de coopération
Un renforcement des liens interservices
Echanges réguliers
•Suivi des services
•DPD, DSIT, RSSI, Archives
Intégration dans les processus et les référentiels
• Dans le registre des traitements
• Dans les projets informatiques
• Dans les contrats
01/07/2019 15
16. Les modes de coopération
01/07/2019 16
Le registre des traitementsLe registre des traitementsLe registre des traitementsLe registre des traitements
17. Les modes de coopération
Gestion des droits
Transmission des profils à l’enregistrement
Respect du principe : Besoin d’en connaître & Moindre
privilège
Evaluation de conformité RGPD en continu
Mission de contrôle du DPD Art. 39 1 b du RGPD
01/07/2019 17
Le registre des traitementsLe registre des traitementsLe registre des traitementsLe registre des traitements
18. 18
Mesures d’information renforcées
Distinctes et réciproques
1. Sensibilisation
• Elus/Direction Générale/Directions clés/Réseaux internes
2. Formation
• Systématique
• avec la Revue de conformité
• lors des campagnes d’archivage
• E-learning (Projet en cours)
• Nouvel arrivant
3. Communication
• Rubriques dans l’Intranet, Article dans le journal interne
• Emailing
• Mentions légales
Creative Commons BY-NC-SA Antonin Lebrun & AAF
19. 19
L’exercice des droits fondamentaux
1. Un exercice du droit d’accès simplifié et centralisé
2. Une répartition des rôles
Une recherche dans les bases actives et d’archivage
intermédiaire (DPD)
Une recherche dans les bases d’archives définitives (Archiviste)
3. Une procédure de suppression sécurisée dans les bases actives et
d’archivage intermédiaire via un bordereau d’élimination ou de
versement.
20. Droit limitatif
•Le respect des délais de
communicabilité des archives
•La procédure de dérogation
•Maîtrise des données
par la personne concernée
01/07/2019 20