« Bac à sable » données personnelles de la CNIL : appel à projets 2021

15 February 2021

Le lancement de cet appel à projet inaugure la première session du « Bac à sable » données personnelles de la CNIL. Ce dispositif, dont l’édition 2021 sera consacrée aux données de santé, permettra à 3 projets innovants de bénéficier d’un accompagnement renforcé de la CNIL pour aboutir à un service ou produit conforme à la règlementation en vigueur et respectueux de la vie privée.

Qu’est-ce que le bac à sable « données personnelles » de la CNIL ?

En 2021, pour sa première année, le « bac à sable » de la CNIL propose un accompagnement renforcé de 3 projets innovants dans le domaine de la santé, comportant des enjeux emblématiques en termes de protection de la vie privée. Il vient renforcer l’action de la CNIL en soutien à l’innovation.

Cette démarche expérimentale vise à mettre en œuvre le « privacy by design » à un stade précoce du développement du projet. Ainsi, il ne vise pas des projets opérationnels ou déjà lancés.

Dans le cadre de son bac à sable, la CNIL propose un accompagnement renforcé pendant une durée déterminée, fondé sur l’identification de difficultés à lever de manière partenariale lors de l’expérimentation. L’accompagnement est localisé au champ du projet et non à l’ensemble des activités du porteur le cas échéant.

Des contacts étroits et répétés avec les équipes juridiques et techniques de la CNIL apporteront clarté sur la règle applicable, conseils pratiques et audit des solutions développées par le porteur de projet, en contrepartie des engagements pris par ce dernier.

Les services des contrôles de la CNIL n’auront pas connaissance des projets du « bac à sable » pendant la durée de l’expérimentation ni accès au dossier par la suite.

Le « bac à sable » ne peut conduire à lever certaines contraintes réglementaires, même temporairement, car les textes européens en matière de protection des données (RGPD) ne prévoient pas de dérogation pour ce motif.

De même, il n’a pas vocation à mettre à disposition une architecture informatique ou technique de test du projet. Le porteur de projet sera donc en pleine responsabilité de son système d’information et des autres éléments d’architecture, tout comme le porteur du projet rendu opérationnel sera par la suite pleinement responsable au titre du principe de responsabilité du RGPD.


Quels sont les critères de sélection ?

Le bac à sable est ouvert à tous les projets innovants, quel qu’en soit le statut (public ou privé), la taille ou l’âge (startup ou acteur déjà existant), le secteur (industrie, services) et le caractère numérique ou non de l’activité concernée (neutralité technologique). Nous nous attachons plutôt au caractère innovant du cas d’usage des données de santé concerné. Les critères de sélection porteront sur :

  • Le bénéfice pour le public : le projet doit répondre à un enjeu de santé publique ou contribuer à un intérêt collectif en termes de service rendu (y compris en alternative à un service existant) ;
  • L’intérêt pour la protection des données : nous souhaitons retenir des dossiers permettant de mettre en lumière ou d’établir des bonnes pratiques sectorielles (résolution d’une question juridique nouvelle ou importante ou définition de choix techniques, permettant de préciser la doctrine de la CNIL). Dans le domaine concerné, des projets relevant de la télé-santé, de l’accès aux données de recherche, de partage des informations entre professionnels de santé ou de l’intelligence artificielle en santé (notamment jeux de données d’apprentissage, prévention et gestion des biais, transparence et explicabilité), par exemple, seraient un plus.
  • Le projet devra enfin témoigner d’un engagement fort dans son approche de la conformité RGPD : nous privilégierons des projets ayant déjà développé des réflexions en la matière, avec un réel engagement de tenir compte des recommandations apportées et ayant des moyens opérationnels suffisants à y consacrer, à la mesure du fort investissement des services de la CNIL pour le projet.

Tout au long de la procédure (dossier de candidature, échanges subséquents, phase opérationnelle) les services de la CNIL sont tenus au respect du secret professionnel dans le cadre de leurs missions. Ils ne feront pas état du contenu des dossiers correspondants à des tiers, à l’environnement concurrentiel ou au public, sans l’accord éventuellement du porteur de projet.


Que doit contenir mon dossier de candidature ?

Votre dossier de candidature doit être d’un maniement aisé et pratique tant pour vous que pour les services de la CNIL : il n’a pas besoin d’être très détaillé. Il doit simplement couvrir les points-clés mentionnés ci-dessous pour que nous puissions l’examiner et vous demander, le cas échéant, des compléments.

Votre candidature doit nous parvenir au plus tard le 2 avril 2021.

Elle doit nécessairement suivre le plan suivant :

  1. Objectifs de votre projet (ce qu’il apportera au public), approche retenue et présentation générale (une courte présentation sous forme de diapositives peut également être fournie en annexe) ;
  2. État d’avancement de votre projet, degré de formalisation (ex. : technology readiness level / niveau de maturité technologique) ;
  3. Plan d’affaires de votre projet sur l’année 2021 et les deux années suivantes (ex. : prospectus) et état des financements collectés ou en cours ;
  4. Descriptif technologique de votre projet (ex. : technologie utilisée, type de code, descriptif des flux de données…) ;
  5. Votre engagement dans la démarche partenariale du bac à sable : ressources que vous y consacrerez, possibilité de tenir compte des recommandations, importance de la conformité RGPD dans le succès de votre projet ;
  6. Vos questionnements : sur quel(s) point(s) en lien avec la vie privée et les données personnelles souhaitez-vous un accompagnement renforcé dans le cadre de notre bac à sable (ex : difficultés juridiques et/ou technologiques identifiées) ;
  7. Présentation des personnes clés de votre projet (ex. : justification de l’honorabilité et des compétences) et coordonnées de l’interlocuteur identifié dans le cadre du bac à sable ;
  8. Rapide descriptif des risques identifiés (ex. : autoévaluation des risques RGPD et/ou SSI le cas échéant).

Une fois votre dossier complété, contactez-nous à l’adresse : bacasable[@]cnil.fr et nous mettrons à votre disposition un lien pour télécharger votre dossier de manière sécurisée.


Quel sera le calendrier des suites données à ma demande ?

À sa réception, nous examinerons votre dossier au regard des 3 critères de sélection et des 8 points exposés ci-dessus et lui attribuerons une cotation sur la base d’une grille objective.

Après examen des dossiers, nous élaborerons à partir des cotations une liste de projets potentiellement éligibles qui sera soumise à un comité d’évaluation au début du printemps. Si votre projet est retenu, nous vous demanderons de vous rendre disponible pour présenter votre projet devant ce comité et répondre à ses questions. Le comité sera composé de responsables de la CNIL et de personnalités qualifiées extérieures.

Dans le cas contraire, nous sommes susceptibles de réorienter votre demande vers nos autres outils d’accompagnement à l’innovation (demande de conseil, pôle innovation et prospective) ou encore vers d’autres interlocuteurs.

Si votre projet est retenu nous formaliserons avec vous au cours du mois d’avril des termes de référence au démarrage de la phase opérationnelle du bac à sable, qui a vocation à durer jusqu’à la fin de l’année 2021.