Sensitive data at project level

[lecorguille]

At the project request, user now need to provide a description of at least 30 characters.

If there is a doubt, we often need to ask them by email if there will be some personal or sensitive or human data within the project.

I don't know exactly if we are responsible for the data hosted on our infrastructure. But we should make users more responsible by ticking a case: "My data aren't personal or sensitive or human data" or any correct way to ask that. We can't and shouldn't have to guess that from the description.

One proposition that have been done two years ago:

As our computing infrastructure is not HDS-certified (Health Data Hosting), health data collected during activities of prevention, diagnostic and care or related to social and medical and social follow-up cannot be uploaded, stored or processed (article L.1111-8, French Public Health Code).

• [ ] I hereby certify that I will not upload, store or process health data collected during activities of prevention, diagnostic and care or related to social and medical and social follow-up.

A "legal expert" then came up with an extra long useless version.

Tout traitement de données à caractère personnel est encadré par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après RGPD) et sa transposition en droit interne français, la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Le considérant 53 du RGPD précise que les Etats membres doivent pouvoir introduire des conditions supplémentaires visant à garantir la sécurité des données génétiques, biométriques ou des données concernant la santé. La modification par l’ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel de l’article L.1111-8 du code de la santé publique, impose aux responsables de traitement souhaitant faire héberger par un tiers des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social de recourir à un hébergeur détenteur de l’agrément “ Hébergeur de données de santé ” (HDS, liste des structures agréées¹ ).

Notre infrastructure numérique n’étant pas certifiée HDS, nous ne pouvons pas faire office de sous-traitants - comme défini par l’article 4 du RGPD - au regard de l’hébergement de données relatives à la santé.

Par la mention suivante, vous vous engagez à ne pas traiter de données concernant la santé par le biais de notre infrastructure numérique. Par traitement s’entend toute opération sur les données (dépôt, stockage, analyse), quel que soit le procédé utilisé. Se référer à l’annexe X en cas de doute sur la nature de vos données.

• [ ] Je certifie sur l’honneur que je ne vais pas traiter de données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social.

In my point of view, users are more aware than use about the law and updates around their data.

Ping @jvanheld @julozi @roadn

[BobLamarley]

Now, the "Ask Admin" button that is submitting the form about project creation is blocked until

• Project description is filled and at least 30 char
• project name and expiration date are filled
• checkbox about "terms and conditions" is checked, and there's a modal that can be opened to "Learn More" about law text on HDS ( see capture )

https://github.com/genouest/genouestaccountmanager/assets/7857364/d0b9b67a-08d5-4e2a-91a7-8ed0657e74cb

This has to be activated in the config in _project.terms_and_conditionshds

[lecorguille]

The direction of the IFB was ok to implement this first version. In the meanwhile, we will contact competent people to test it and improve it if needed.

So @BobLamarley, your proposal looks good for me !