Conformité RGPD et cybersécurité, les nouveaux défis du secteur de la santé ?
Que vous élaboriez des outils pour gérer une campagne de vaccination ou pour partager des informations médicales au sein d’un système hospitalier, la conformité au RGPD et la cybersécurité sont fondamentales.
Mais pourquoi de telles précautions même en temps de crise ? Concrètement, même si les données de santé sont immatérielles, leur divulgation peut avoir des conséquences bien tangibles : usurpation d'identité, fraude, sanctions financières etc.
Le meilleur moyen dont dispose une entreprise ou un organisme public pour protéger ses données et son activité, c'est donc d'être conforme à ce RGPD.
Le RGPD : qu'est-ce que c'est ?
Contexte : données personnelles, traitement des données
Remettons le RGDP (Règlement Général sur la Protection des Données) dans son contexte avant d'aller plus loin dans notre réflexion. Rappelons donc pour débuter, que les deux piliers du RGPD sont les notions de donnée personnelles et de traitement des données. Mais que signifient-elles concrètement ?
Selon la CNIL (Commission Nationale de l'Informatique et des Libertés) qui fait autorité en la matière, une donnée personnelle c'est « toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement. Peu importe si cette information est confidentielle ou publique ».
Par exemple : un nom, une photo, une empreinte mais aussi une adresse IP, un identifiant de connexion informatique, etc.
Réaliser un traitement de données « personnelles c'est réaliser une opération ou un ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, conservation, modification, transmission, etc.) ».
Par exemple : tenue du registre des sous-traitants, gestion des paies, gestion des informations de prospects marketing, etc.
Mais si ces deux "piliers" sont généralement bien acceptés et définis, il faut cependant mettre fin à une idée reçue : le RGPD n'est pas tant la naissance d'un règlement sur la protection des données personnelles, mais plutôt l'aboutissement d'une réflexion entamée il y a de cela plusieurs années.
En France, le cadre juridique était mis en place dès les années 80, avec la loi Informatique et Liberté du 6 janvier 1978. Cette dernière donnera par exemple naissance à la CNIL, autorité administrative indépendante dont le rôle principal est justement de veiller à la protection des données personnelles. Les législateurs français légiféraient donc déjà sur cette réflexion il y a 40 ans.
En Europe aussi, cela fait plusieurs dizaines d'années que la question est débattue. Et c'est dans les années 90 que sont posées les bases du cadre juridique actuel. Face à la progression fulgurante des technologies et de l'Internet, l'U.E reconnaît le besoin de légiférer sur ces nouveaux sujets. Elle fait donc voter en 1995 un texte européen de la protection : la Directive Européenne sur la protection des données. Texte qui établira dès lors les normes minimales en termes de confidentialité et de sécurité des données.
Ce sont vraiment ces exemples de législations nationales et européennes qui serviront de terreau pour l'élaboration du RGPD que l'on connaît aujourd'hui.
Création, mise en vigueur et objectifs du RGPD
Si plusieurs pays, tout comme la France, légifèrent sur la protection des données personnelles, il n'en demeure pas moins que la question reste considérée et traitée au niveau national. Il n'y avait pas de consensus sur tout ce qui touche à la protection des données personnelles. Le processus de création du RGPD commence lorsque la Commission européenne décide de s’emparer de ce sujet important, dès janvier 2012.
Après des "rounds" de concertation, le premier jet de ce règlement voit le jour en novembre 2013. Ensuite, le va et vient législatif se met en marche. Le texte évoluera au fil des négociations entre la Commission européenne, le Parlement européen et du Conseil de L'U.E. C'est seulement près de 2 ans après sa première version, que la version finale du texte que nous connaissons aujourd'hui sera adoptée : nous sommes en novembre 2015. Cela s’explique à cause de l'inertie naturelle du lourd processus européen de création de loi. Ainsi que par l'importance du texte à adopter et la participation d'acteurs divers : Etats certes, mais aussi entreprises et citoyens.
Le RGPD entre finalement en application le 25 mai 2018. L'objectif général du règlement est la mise en place d'un cadre réglementaire de protection des données personnelles. Ce cadre étant étendu et appliqué pareillement à tous les pays membres de l'U.E. Tout cela afin que tout citoyen européen, puisse comprendre plus facilement comment sont utilisées ses données, et si besoin, porter plainte vis-à-vis de leur traitement. On peut donc, comme la CNIL, synthétiser cet objectif général en trois points clés :
● Renforcer les droits des personnes
● Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
● Crédibiliser la régulation grâce à la coopération renforcée entre les autorités de protection des données
Conformité RGPD et cybersécurité, des sujets qui me concernent ?
Le RGPD c’est avant tout des exigences envers les responsables de traitement, afin de garantir la protection des données de chaque citoyen européen. Ces exigences s’appliquent aussi bien aux entreprises qu’à leurs sous-traitants qui sont responsables de traitement de données. La cybersécurité elle, est indéniablement un enjeu et un risque majeur pour les entreprises et les personnes. Les conséquences liées à un défaut de cybersécurité sont diverses et peuvent se révéler dramatiques en termes financiers, de réputation, etc. La conformité RGPD et la cybersécurité sont donc bien des sujets qui nous concernent tous, surtout si vous ou votre entreprise traitez des données personnelles sensibles et capitales pour votre activité.
Pourquoi conformité RGPD et cybersécurité sont-ils liés ?
Le RGPD comme son nom l’indique, met l’accent sur la protection des données. Son objectif premier et d’encadrer leur utilisation. La cybersécurité, ce sont tous les moyens qui permettent justement d’assurer la protection des données. C’est pourquoi les deux sujets sont intimement liés et qu’on peut parler de cercle vertueux : s’améliorer sur la protection des données en général, revient à avoir des effets concrets sur sa conformité et sa cybersécurité. C’est bien pour cela que le RGPD exige « la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque numérique ».
Conformité RGPD et cybersécurité, les nouveaux défis du secteur de la santé ?
Il existe un grand nombre de moyens pour améliorer sa protection des données et sa conformité RGPD. Mais le même problème revient régulièrement : il n’est pas toujours évident de justifier de la mise en place de tel ou tel outil, projet, etc. Utiliser FAIR c’est tout simplement quantifier en termes financier les risques auxquels on est exposé. Concrètement, les risques liés à un défaut de conformité RGPD ou à un manque de protection des données ; puis les solutions mises en place et leurs retours sur investissements sont désormais justifiables dans un langage compris par toutes les parties prenantes.