CAP Dossier
Conformité — protection des données dès le cadrage

La protection des données, décidée avant d'écrire une ligne.

L'analyse d'impact (AIPD/DPIA) est réalisée dès le cadrage, et l'hébergement de données de santé (HDS) est arbitré pour le volet CSSM. Transparence totale sur ce que CAP Dossier traite, pourquoi, et comment c'est protégé.

Registre v1.0 · mise à jour le 2026-07-02

Analyse d'impact relative à la protection des données (AIPD / DPIA)

Réalisée dès le cadrage — à réviser à chaque évolution majeure du traitement

Traitement obligatoirement soumis à AIPD : accompagnement de personnes vulnérables, données personnelles à grande échelle, recours à l'IA, traitement possible de données sensibles (santé / social via CSSM).

Cadre & finalités

Responsable : CAP Numérique (marque RAHISS)

DPO : Délégué à la protection des données — dpo@cap-numerique.example

Base légale : Mission d'intérêt public / consentement de la personne accompagnée (selon le contexte de l'accompagnement).

  • Orienter l'usager vers la bonne démarche et le bon organisme.
  • Déterminer les pièces justificatives et préparer un dossier.
  • Accompagner le dépôt et suivre les blocages.
  • Outiller les accompagnateurs (médiateurs, France Services, CCAS, mairies).

Données traitées

  • IdentitéNom, prénom, date de naissancePersonnelle
  • ContactTéléphone, e-mail, communePersonnelle
  • Situation administrativeNuméro d'étranger / titre de séjour (AGDREF), NIRSensible (à protéger)
  • DocumentsJustificatifs scannés (OCR), courriersPersonnelle à sensible
  • Santé / social (CSSM)Données de la Caisse de Sécurité Sociale de MayotteDonnées de santé — voir arbitrage HDS

Risques & mesures (risque résiduel)

  • Fuite de données personnelles vers un modèle IA externeAvant : Élevée / MoyenneRésiduel : Faible

    Anonymisation systématique avant modèle + routage souverain/UE + refus explicite hors UE.

  • Détournement de l'IA par instruction cachée dans un document (injection)Avant : Élevée / MoyenneRésiduel : Faible

    Contenu documentaire traité comme non fiable : nettoyage, détection, neutralisation, encadrement + supervision humaine sur cas dangereux.

  • Traitement de données de santé sans hébergement conformeAvant : Élevée / MoyenneRésiduel : Faible

    Cloisonnement du module CSSM (orientation sans stockage de données de santé) jusqu'à certification HDS.

  • Accès non autorisé aux dossiersAvant : Élevée / FaibleRésiduel : Faible

    Rôles applicatifs, mandat via Aidants Connect, chiffrement du stockage, journalisation.

Mesures clés

  • Minimisation : Anonymisation des données personnelles avant tout appel à un modèle externe.
  • Souveraineté : Routage par sensibilité : contenu personnel traité en UE ou auto-hébergé, jamais hors UE sans anonymisation.
  • Intégrité IA : Le contenu documentaire est traité comme non fiable : détection et neutralisation des injections avant traitement.
  • Traçabilité : Journalisation auditables des décisions IA et des analyses de documents.
  • Contrôle humain : Dossiers sensibles en mode « IA désactivée » et Préfecture / séjour en mode supervisé uniquement.
  • Cloisonnement : Volet santé (CSSM) cloisonné tant que l'hébergement HDS n'est pas certifié.

Conservation

  • Dossier actif : Durée de l'accompagnement + archivage légal applicable à la démarche
  • Documents scannés : Supprimés dès que la démarche est déposée, sauf obligation légale
  • Journaux d'audit (décisions IA, analyses documents) : 12 mois glissants (à confirmer avec la gouvernance)

Destinataires & transferts

  • Personnel habilité de CAP Numérique et accompagnateurs mandatés.
  • Organismes instructeurs via les rails de l'État (FranceConnect, Aidants Connect, Démarches Simplifiées) — pas de transmission directe hors cadre.

Aucun transfert hors UE de données personnelles non anonymisées. Le routage IA impose un modèle souverain ou UE pour tout contenu personnel (voir Bouclier IA).

Avis : Avis favorable sous conditions : maintien du cloisonnement CSSM jusqu'à HDS, revue annuelle de l'AIPD et des motifs d'injection, confirmation des durées de rétention.

Hébergement de données de santé (HDS) — arbitrage du volet CSSM

Décision : Cloisonnement du module CSSM (mode orientation sans stockage de données de santé)

Le volet CSSM (Caisse de Sécurité Sociale de Mayotte) peut amener à traiter des données relatives à la santé / la protection sociale. L'hébergement de telles données impose, en droit français, un hébergeur certifié HDS.

Le module CSSM doit-il être hébergé sur une infrastructure certifiée HDS, ou être cloisonné pour ne pas traiter/stocker de données de santé ?

Hébergement HDS certifié

Écartée

Souscrire à un hébergeur certifié HDS pour l'ensemble du volet CSSM.

Coût et délai de certification incompatibles avec le pilote ; à réévaluer pour la version institutionnelle.

Cloisonnement du module

Retenue

Le module CSSM se limite à l'orientation et à la préparation ; aucune donnée de santé n'est stockée ni transmise à l'IA. Les échanges de santé restent hors périmètre applicatif.

Option retenue pour le pilote : conforme, sans dépendance HDS immédiate.

Justification : Le pilote démarre sur un domaine à faible risque ; le volet CSSM est cloisonné pour éviter tout traitement de données de santé hors cadre HDS. CAP Dossier oriente et prépare, mais ne devient pas un hébergeur de données de santé.

Conséquences (cloisonnement)

  • Aucune donnée de santé n'est stockée dans la base applicative.
  • Aucun contenu de santé n'est transmis à un modèle IA.
  • Le module CSSM affiche un statut « cloisonné » et renvoie vers les canaux compétents.

Conditions de levée du cloisonnement

  • Souscription à un hébergeur certifié HDS.
  • Extension de l'AIPD au traitement effectif de données de santé.
  • Contractualisation avec la CSSM et validation de la gouvernance.