Dans le cadre de nos rencontres avec les utilisateurs de l’outil et de la méthode MONARC, nous avons rencontré Florence Thomas, business intelligence analyst au sein de l’Inspection générale de la sécurité sociale (IGSS). Cette structure, placée sous l’autorité du Ministère de la sécurité sociale, a pour mission l’élaboration des mesures législatives et règlementaires de la sécurité sociale, le contrôle des institutions de sécurité sociale, l’analyse et l’évaluation des régimes de protection sociale.
Comment a démarré votre relation avec CASES ?
Dans le cadre de ses missions, l’IGSS recueille, centralise, traite et gère sous forme « pseudonymisée » des données individuelles de citoyens. Ces données sont régulièrement demandées par des institutions ou des organismes de recherche dans un but statistique pour effectuer des analyses et évaluations. Dans une mission d’intérêt public, l’IGSS leur met à disposition certains ensembles de données. Depuis 2018, ces données sont mises à disposition via la Luxembourg Microdata Platform on Labour and Social Protection. Pour réaliser cette plateforme qui facilite l’accès aux données pour la recherche tout en garantissant des niveaux élevés de qualité et de sécurité conformément au Règlement Général sur la Protection des Données (RGPD), un travail d’analyse de risques était donc nécessaire.
L’IGSS n’ayant pas l’ensemble des compétences en interne, nous sommes allés chercher des solutions auprès de tiers. Nous avons eu l’opportunité de rencontrer l’équipe de CASES qui nous a présenté l’outil et la méthode MONARC.
Quel a été l’apport des équipes de CASES dans votre travail d’analyse de risques ?
Le travail effectué en coopération avec CASES comprenait une formation à la méthode, l’analyse des processus et des flux d’information de notre traitement et du conseil. Nous avons rapidement avancé sur les risques de sécurité de l’information et acquis la méthode d’analyse applicable aux risques opérationnels. L’équipe CASES a été particulièrement efficace et pédagogue.
Quels avantages trouvez-vous à MONARC ?
MONARC permet d’aborder l’analyse de risques à un niveau suffisamment élevé pour éviter de se perdre des détails. Ce recul et cette simplicité rendent l’outil facilement compréhensible et la méthode peu chronophage. Parmi les risques opérationnels prévus par MONARC figurent ceux liés à la personne concernée. L’évaluation de l’impact sur les personnes de notre mise à disposition de données pour la recherche fait partie de l’analyse d’impact relative à la protection des données (AIPD). De plus, MONARC contient un modèle de risques spécifique à la conformité au RGPD, ce qui assure une démarche complète et documentée. Enfin, les livrables générés par l’outil sont de bons supports de communication, qui contribuent à simplifier la compréhension de l’analyse de risques par toutes les parties prenantes et qui servent de base de discussion pour déterminer les mesures à mettre en place.
Quel intérêt avez-vous trouvé à travailler avec CASES ?
CASES, et également CIRCL, ont une expertise dans des domaines incontournables aujourd’hui pour certains projets. Lorsque des compétences très pointues sont nécessaires de façon ponctuelle, l’acquisition d’un tel niveau de spécialisation en interne n’est pas toujours indispensable. La possibilité de faire appel à des entités spécialisées mobilisables pour répondre à ce type de besoin permet aux professionnels de se concentrer sur leur cœur de métier, tout en ayant des garanties quant aux résultats et aux standards de qualité. Leur disponibilité a grandement facilité l’adoption de l’outil et de la méthode, et est particulièrement importante sachant que l’analyse de risques se fait de façon régulière.
Quel constat tirez-vous de cette expérience ?
Les besoins de sensibilisation et d’accompagnement en gestion des risques sont une réalité. Une méconnaissance des risques et de leurs impacts a tendance à mener à des lacunes importantes ou à l’opposé à des mesures de protection des données inadaptées, de la surprotection par exemple. Lorsque les risques sont identifiés et évalués, les professionnels ont les éléments nécessaires pour déterminer quel niveau de protection appliquer et quelles mesures de protection sont les mieux adaptées pour respecter à la fois les contraintes métier et le niveau de sécurité requis.
En conclusion, la méthode et l’outil MONARC permettent à la fois d’aborder l’analyse de risques de sa structure de manière simplifiée tout en mettant à disposition les outils nécessaires afin de répondre à des besoins spécifiques tels que ceux posés par le RGDP. Dans ce cas de figure précis, la bibliothèque de risques a évolué en réponse aux demandes des utilisateurs de MONARC afin de comprendre les risques opérationnels liés à la vie privée de personnes qui sont exigés afin de compléter l’AIPD. Cette capacité d’adaptation est nécessaire pour suivre les évolutions règlementaires imposées par la mise en pratique du RGDP.