RGPD et cybersécurité

Conformité RGPD et cybersécurité, les nouveaux défis du secteur de la santé ?

Que l’on affronte une pandémie ou un contexte d’extrême vigilance face aux questions de cybersécurité, une vérité demeure : le gouvernement prend soin de respecter le RGPD. Ainsi, lorsque l’Assurance Maladie cherche à créer « Vaccin Covid », un outil numérique pour le suivi de la vaccination, il prend garde à saisir la CNIL et à en faire vérifier la conformité RGPD.

William MbonjoWilliam Mbonjo

William Mbonjo

Consultant Cyber Sécurité

Publié le 11 juin 2021 14:24 (Mise à jour le 1 décembre 2021 14:55)

Mais pourquoi de telles précautions même en temps de crise ? Concrètement, même si les données de santé sont immatérielles, leur divulgation peut avoir des conséquences bien tangibles : usurpation d'identité, fraude, sanctions financières etc.

Le meilleur moyen dont dispose une entreprise ou un organisme public pour protéger ses données et son activité, c'est donc d'être conforme à ce RGPD.

Le RGPD : qu'est-ce que c'est ?


Contexte : données personnelles, traitement des données

Remettons le RGDP (Règlement Général sur la Protection des Données) dans son contexte avant d'aller plus loin dans notre réflexion. Rappelons donc pour débuter, que les deux piliers du RGPD sont les notions de donnée personnelles et de traitement des données. Mais que signifient-elles concrètement ?

La conformité RGPG doit être soutenue par une bonne stratégie de cybersécurité

Selon la CNIL (Commission Nationale de l'Informatique et des Libertés) qui fait autorité en la matière, une donnée personnelle c'est « toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement. Peu importe si cette information est confidentielle ou publique ».

Par exemple : un nom, une photo, une empreinte mais aussi une adresse IP, un identifiant de connexion informatique, etc.

Réaliser un traitement de données « personnelles c'est réaliser une opération ou un ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, conservation, modification, transmission, etc.) ».

Par exemple : tenue du registre des sous-traitants, gestion des paies, gestion des informations de prospects marketing, etc.

Mais si ces deux "piliers" sont généralement bien acceptés et définis, il faut cependant mettre fin à une idée reçue : le RGPD n'est pas tant la naissance d'un règlement sur la protection des données personnelles, mais plutôt l'aboutissement d'une réflexion entamée il y a de cela plusieurs années.

En France, le cadre juridique était mis en place dès les années 80, avec la loi Informatique et Liberté du 6 janvier 1978. Cette dernière donnera par exemple naissance à la CNIL, autorité administrative indépendante dont le rôle principal est justement de veiller à la protection des données personnelles. Les législateurs français légiféraient donc déjà sur cette réflexion il y a 40 ans.

En Europe aussi, cela fait plusieurs dizaines d'années que la question est débattue. Et c'est dans les années 90 que sont posées les bases du cadre juridique actuel. Face à la progression fulgurante des technologies et de l'Internet, l'U.E reconnaît le besoin de légiférer sur ces nouveaux sujets. Elle fait donc voter en 1995 un texte européen de la protection : la Directive Européenne sur la protection des données. Texte qui établira dès lors les normes minimales en termes de confidentialité et de sécurité des données.

Ce sont vraiment ces exemples de législations nationales et européennes qui serviront de terreau pour l'élaboration du RGPD que l'on connaît aujourd'hui.

Création, mise en vigueur et objectifs du RGPD

Si plusieurs pays, tout comme la France, légifèrent sur la protection des données personnelles, il n'en demeure pas moins que la question reste considérée et traitée au niveau national. Il n'y avait pas de consensus sur tout ce qui touche à la protection des données personnelles. Le processus de création du RGPD commence lorsque la Commission européenne décide de s’emparer de ce sujet important, dès janvier 2012.

Après des "rounds" de concertation, le premier jet de ce règlement voit le jour en novembre 2013. Ensuite, le va et vient législatif se met en marche. Le texte évoluera au fil des négociations entre la Commission européenne, le Parlement européen et du Conseil de L'U.E. C'est seulement près de 2 ans après sa première version, que la version finale du texte que nous connaissons aujourd'hui sera adoptée : nous sommes en novembre 2015. Cela s’explique à cause de l'inertie naturelle du lourd processus européen de création de loi. Ainsi que par l'importance du texte à adopter et la participation d'acteurs divers : Etats certes, mais aussi entreprises et citoyens.

Le RGPD entre finalement en application le 25 mai 2018. L'objectif général du règlement est la mise en place d'un cadre réglementaire de protection des données personnelles. Ce cadre étant étendu et appliqué pareillement à tous les pays membres de l'U.E. Tout cela afin que tout citoyen européen, puisse comprendre plus facilement comment sont utilisées ses données, et si besoin, porter plainte vis-à-vis de leur traitement. On peut donc, comme la CNIL, synthétiser cet objectif général en trois points clés :

Renforcer les droits des personnes

Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;

Crédibiliser la régulation grâce à la coopération renforcée entre les autorités de protection des données

Le RGPD : qui concerne-t-il ?


Il s'applique presque à tous…

Comme nous l'avons évoqué précédemment, le RGPD vise notamment à responsabiliser les acteurs de traitements de données. Pour remplir cet objectif, il uniformise les obligations. Et c'est pourquoi, il s'applique de fait à tous.

Tout organisme, peu importe sa taille, son pays d'implantation et son activité, peut être concerné. Si une organisation traite des données personnelles pour son compte, il suffit qu'un des deux critères suivants soient vérifiés pour qu'elle soit sujette au RGPD :

● Elle est établie sur le territoire de l'Union Européenne

● Ou son activité cible directement des résidents européens

Par exemple, une entreprise étrangère avec un site de e-commerce en français et livrant des produits en France sera bel et bien concernée et doit donc respecter le RGPD.

Il n’y a qu’une seule exception : le RGPD ne concerne que les personnes morales et exclu "tout traitement effectué par une personne physique dans le cadre d'une activité strictement personnelle ou domestique". Ce qui empêche le règlement de se transformer en carcan juridique pour un éditeurs de petit site internet personnel par exemple.

…et a le mérite de ne pas ignorer les cas de sous-traitance

Une des grandes failles du RGPD aurait pu être de ne pas prendre en compte le cas des sous-traitants. En effet, de nombreuses entreprises et organismes en tout genre, font appel à d'autres entreprises pour traiter et collecter des données pour leur compte. Et nombreuses sont les entreprises qui auraient tenté de se décharger de leur responsabilité sur ces sous-traitants.

Ce contexte a bien été compris et le RGPD tient compte de l’externalisation : il concerne et s'applique aussi aux sous-traitants. Le règlement défini ces derniers comme « toute personne physique ou morale, qui traite des données à caractère personnel, pour le compte du responsable du traitement, dans le cadre d'un service ou d'une prestation ».

La CNIL fournit un guide pour les accompagner (Source) et nous livre des exemples concrets de sous-traitants :

  • Les prestataires de services informatiques (hébergement, maintenance, …),
  • Les intégrateurs de logiciels,
  • Les sociétés de sécurité informatiques,
  • Les entreprises de service du numérique ou anciennement sociétés de services et d'ingénierie en informatique (SSII) qui ont accès aux données,
  • Les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients

Enfin, un sous-traitant quel qu’il soit, est tenu de respecter des obligations claires : tant en matière de sécurité, que de confidentialité et même de responsabilité.

Il convient lorsqu'on est sous-traitant, de prendre en compte cette question de la protection des données. Et ce, "by design", c’est-à-dire dès la conception du service ou du produit. Il s'agit de mettre en place les mesures qui garantiront la protection optimale des données.

On peut citer par exemple la nécessité de tenir un registre des activités de traitements qui ont été effectuées. Voire, dans des cas spécifiques, la désignation d'un DPO (Data Protection Officer), obligation similaire à celle qui s’applique à un organisme responsable de traitement.

Enfin, ils ont notamment une obligation de conseil auprès de leurs clients. Ils doivent les aider à mettre en œuvre certaines obligations du règlement.

Le secteur de la santé en première ligne


Des données de santé toujours plus nombreuses qui attisent les convoitises

Le secteur de la santé dans son ensemble est attentivement scruté par les Autorités de Protection des Données comme la CNIL. La raison est simple : ce secteur est le premier producteur et utilisateur de données de santé particulièrement critiques. Mais qu'appelle-t-on une donnée de santé ?

Aborder la conformité RGPD par une approche par les risques pour éviter les sanctions

Selon la CNIL, une donnée de santé est « une donnée personnelle relative à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ». On inclut donc également certaines données de mesure qui permettraient de déduire une information sur l'état de santé d'une personne.

On peut alors dresser 3 grandes catégories de données de santé à caractère personnel :

  • Données de santé "par nature" : antécédents médicaux, maladies, prestations de soins réalisées, résultats d'examens, etc.
  • Données de santé "par croisement avec d'autres données" : croisement de la tension avec la mesure de l'effort, croisement du poids avec le nombre de pas, etc.
  • Données de santé "par utilisation" : des données devenant données de santé par leur utilisation sur le plan médical

Prendre son rendez-vous sur une plateforme comme Doctolib, consulter son médecin, obtenir son ordonnance, aller à la pharmacie, utiliser sa carte vitale. Chacun de ces gestes apparemment anodins laisse des traces. La liste est longue si l'on souhaite énumérer tous les actes créateurs de données de santé. Avec un constat : une grande partie de ces informations sont récoltées sans que nous en ayons pleinement conscience.

Impossible d’y échapper aujourd’hui : les données de santé sont désormais un enjeu clé. Selon l'article Sizing up big data, publié dans Nature Medecine en janvier 2020, leur volume total aurait été multiplié par 10 depuis 2013 et cette multiplication est loin d'être anodine. C'est tout le domaine du suivi de la santé qui croît à vitesse grand V. Et il repose essentiellement sur l'accessibilité à grand nombre de données de santé ainsi qu’à leur analyse par l'intelligence artificielle.

Les données de santé obtenues légalement sont donc un trésor. Et leurs cousines, obtenues par des méthodes peu scrupuleuses le sont également. En témoigne un rapport de la société de cybersécurité américaine VMware Carbon Black publié le 5 juin 2019. On y apprend qu’en moyenne, les données de santé (dossier médical, ordonnances, etc.) sont vendues trois fois plus cher que les données personnelles dites « classiques » (nom, prénom, téléphone, etc.). Pour donner un ordre d’idée, les chercheurs du site PrivacyAffairs estimaient après enquête (Source), que les numéros de carte bancaire avec les identifiants des propriétaires coûtent en moyenne entre 125 et 200 euros selon l’argent disponible sur le compte.

La première explication à cette différence de prix est à chercher dans nature des données concernées. Il est facile de faire opposition sur une carte bancaire, mais un dossier médical lui, contient des données qui ne pourront être modifiées comme l’historique des maladies d’un patient. Les données de santé sont également la porte ouverte aux escroqueries et autres vols d’identité pour obtenir de faux remboursements des assurances. Bien sûr tous ces chiffres deviennent encore plus important quand il s’agit de données de recherche, propriétés de labos ou autres, qui ont été dérobées lors d’attaques sophistiquées.

Des convoitises exacerbées par le double contexte de transformation numérique et de crise sanitaire

La valeur des données dérobées seule, ne permet pas de justifier d'une hausse régulière des cyber attaques contre les acteurs du secteur de la santé. C’est tout le contexte qui est particulièrement propice aux tentatives de vol de données et à leur revente.

Comme le rappelle très justement la méthode FAIR (Factor Analysis of Information Risk) : pour un attaquant potentiel, la probabilité de passer à l'action dépend de la valeur de l'actif visé (ici les données de santé) mais aussi du niveau d'efforts qu'il devra fournir pour arriver à ses fins. Or, dans un contexte de transformation numérique, les acteurs du secteur de la santé ont, paradoxalement, une santé très fragile.

Le secteur est en pleine transformation numérique et est en première ligne à cause de la crise du covid-19. Un rapide état des lieux confirme nos dires :

  • Les hôpitaux : ils ont dépassé un simple statut de centre de soin. Ils sont gérés comme des entreprises et on parle de plus en plus d'hôpitaux réunis en centres hospitaliers. Les hôpitaux locaux ou vu sous un prisme individuel se font plus rares. Et comme des entreprises, ces centres et hôpitaux ont largement recours à la sous-traitance pour certaines tâches. Enfin, la bonne intégration de tous ces acteurs passe par le recours au numérique : dossier patient informatisé (DPI), informations stockées dans le Cloud, automates utilisés dans la majorité des services…
  • Les médecins : ils utilisent aussi des bases de données. Celles-ci rarement bien protégées car ils sont pas les plus sensibilisés aux risques de violation de données.
  • Les laboratoires de recherche médicale : ces organisations sont encore et toujours des cibles de choix vis-à-vis des vols de propriété intellectuelle. Les attaques contre les laboratoires comme AstraZeneca ou Moderna en sont la preuve.

Le constat est là, aucune des entreprises ou organismes du secteur de la santé n'excelle dans de la protection des données de santé qu'ils créent, utilisent et conservent. Et ce n'est pas la généralisation massive du télétravail provoqué par la pandémie qui nous prouvera le contraire. Il élargie encore la surface d’exposition des entreprises et des organismes.

Comment lier santé, conformité RGPD et innovation


Entamer un changement de paradigme : d'une conformité "poids" à une conformité "levier"

L'importance des innovations dans les secteurs de la santé est claire. Et la crise du Covid-19 nous rappelle durement à quel point avoir une industrie médicale forte, et des structures de santé résilientes sont des questions de survie peu importe le pays. Ces deux éléments passent aujourd'hui nécessairement par une réflexion approfondie sur la protection des données, données qui on l'a bien vu, sont le nerf de la guerre pour le secteur de la santé. Quel est alors le rôle du RGPD dans cette réflexion ?

Comme l'admet dans un article du New York Times, Ms. Dixon, présidente de l'Agence de protection des données irlandaise : « le RGPD n'a pas entraîné un changement profond dans la manière dont les données sont collectées et utilisées par les grandes entreprises. »

Être conforme au RGPD est majoritairement considéré par les entreprises comme un effort important à fournir. Et en caricaturant quelque peu, l'idée principale et dominante reste de faire le minimum pour éviter d’être sanctionné. Or, la réflexion profonde qui doit être entamée n'a même pas la chance de voir le jour avec un tel présupposé de départ. C'est donc tout le paradigme qui consiste à considérer le RGPD comme une barrière qui doit évoluer.

L’une des pistes pour dépasser l’idée du « RGPD carcan » est peut-être de voir ce dernier comme un levier. Pourquoi ne pas essayer de considérer le RGPD comme un levier pour l'innovation par exemple ? Être conforme au RGPD n'est pas une fin en soi et certains l'ont déjà compris. Des entreprises désireuses de continuer à partager ou à utiliser les données de leurs clients, cherchent désormais à en préserver l'anonymat. S'il n'y a pas aujourd'hui de consensus sur la manière d'atteindre cet objectif, des innovations voient le jour dans tous les secteurs. Notamment celui qui nous intéresse : le secteur de la santé. Le Wall Street Journal rapportait déjà dans un article de février 2019, que le secteur était au cœur d'innovations en ce sens. Ainsi, les entreprises de soins de santé et pharmaceutiques anonymisent déjà les données qu’elles recueillent lors d’essais cliniques, avant de les partager avec les chercheurs et d’autres entreprises. De grands groupes hospitaliers américains ont par exemple décidé de créer leur propre entreprise spécialisée. L’objectif est de recueillir et vendre leurs données anonymisées à des fins de recherche et de mise au point de médicaments.

La conformité RGPD devra être soutenue par les pouvoirs publics et une stratégie de cybersécurité

Le changement de paradigme vis-à-vis du RGPD et l'innovation ne sera jamais uniquement du ressort du privé. Cette piste de réflexion est encore largement sous-estimée. Il faut donc également une vraie prise de conscience et un accompagnement des pouvoirs publics sur ces questions. Le RGPD doit être la ligne de départ, certainement pas la ligne d’arrivée.

En France, le sujet est déjà pris au sérieux par les autorités compétentes. La CNIL notamment, a décidé de faire de la sécurité des données de santé l'une de ses thématiques prioritaires en 2021, au même titre que la cybersécurité par exemple. Concrètement, cela signifie qu'elle réalisera un minimum de procédures formelles de contrôles en lien avec cette thématique. Ce qui s'inscrit de fait dans la continuité de sa stratégie de l'année 2020 vis-à-vis de ces données de santé. Mais on le disait plus haut, les contrôles et les sanctions seuls ne suffisent pas. Il faut également être capable d'accompagner la réflexion et l'innovation sur ces questions. Là aussi, la CNIL compte jouer un rôle. La Commission souhaite aider des acteurs de l'e-santé à conjuguer innovation et respect du RGPD. Le tout via des contacts privilégiés avec ses équipes juridiques et techniques. Seuls les 3 lauréats d'un appel à projets pourront en profiter, mais l'objectif poursuivi est clair : mettre en œuvre le « privacy by design » C’est-à-dire prendre en compte la protection des données de santé dès la phase de développement d'un produit ou d'un service.

Enfin, on ne peut envisager une mise en conformité RGPD sans une solide stratégie de cybersécurité. Les deux sont étroitement liés.

L’ANSSI (Agence nationale de la sécurité des systèmes d'information) définit la cybersécurité comme « l’état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. »

Nous avons donc d’un côté le RGPD qui encadre la protection des données personnelles. Et de l’autre la cybersécurité qui par nature cherche à remplir un objectif de sécurisation des données. La sécurité des données est donc de fait, l’un des piliers de la protection des données personnelles.

Cybersécurité et RGPD sont bien liés. Mais comment cette relation s’illustre-t-elle dans le règlement ? Le règlement exige « la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque numérique ». Concrètement, ces mesures peuvent prendre la forme de chiffrement des données, ou plus largement de moyens garantissant la confidentialité, l’intégrité et la disponibilité des ces dernières.

De nouveau, rappelons que tout ceci doit être soutenu par les pouvoirs publics. En France, c’est l’ANSSI qui met à disposition de tout un chacun un « kit de la sécurité des données » (Source). Il rassemble les bonnes pratiques, solutions et autre outils recommandés pour renforcer la sécurité des données personnelles.

Aborder la conformité RPGD grâce à une approche par les risques, c'est éviter des sanctions grâce à des efforts quantifiés


Le RGPD et ses sanctions sont appliqués à tous les secteurs, dont celui de la santé

Ne pas être conforme au RGPD signifie qu’en cas de vol de données, d’enquête d’une autorité de protection des données ou de plainte, les responsables de traitement visés pourront faire face à des sanctions. Elles peuvent être non financières : rappel à l’ordre, limitation du traitement de données, suspension du flux de données, etc. Mais ces sanctions peuvent aussi s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial. Qu’en est-il dans les faits ? Où en sommes-nous vis-à-vis de l’application de ces sanctions depuis la mise en vigueur du RGPD ?

Si certains en doutaient encore, le RGPD et ses sanctions sont bel et bien là. En témoigne le montant total d'amendes, il a plus que doublé en 1 an selon les données du site enforcementtracker.com. De fait, en 2020, le montant total des sanctions pour violation du RGPD s'est élevé à 171 millions d'euros. Alors qu'il était de 72 millions d'euros en 2019. Des chiffres à relativiser tout de même : sur plus de 280 000 plaintes, 613 amendes ont été infligées, dont 8 supérieures à 10 millions d’euros. La France, qui était le pays infligeant les amendes les plus lourdes (record de 50 millions d'euros infligés à Google en 2019), n'est désormais qu'à la sixième place en 2020 avec environ 3 millions d'euros d'amendes prononcées. C'est l'Italie qui est en tête avec 58,16 millions d’euros de sanctions. Mais ces chiffres en baisse dans l'Hexagone ne sont pas synonymes d'une baisse de vigilance. Les amendes record contre Amazon, 35 millions d'euros, et Google, 60 millions d'euros, concernaient la protection des données (ici les politiques de cookies en l'occurrence), mais ont été infligées au titre de la Loi Informatique et Liberté et non du RGPD.

Enfin, nous avons confirmé précédemment l'attention portée à la protection des données de santé. C’est donc très logiquement, que le RGPD et ses sanctions s'appliquent tout autant aux acteurs de la santé. Les chiffres compilés par C-Risk le confirment. Depuis l’entrée en vigueur du RGPD, 52 amendes ont été infligées aux acteurs du secteur. Assez pour être dans le top 5 des secteurs les plus sanctionnés, mais toujours loin du premier secteur : celui des médias et télécoms avec 123 amendes. De plus, entre 2018 et 2020, le montant minimal d’une sanction à destination d’un acteur de la santé était de 510 euros tandis que la sanction maximale s’est élevée à 1,24 millions d’euros. Les acteurs de la santé les plus sanctionnés étant les hôpitaux.

Quelles pistes pour éviter ces sanctions ?

L’approche privilégiée par C-Risk est celle qui consiste à envisager le RGPD sous l’angle de scénarios de risques (opérationnels et cybersécurité) afin de :

  1. Comprendre à quels risques le responsable de traitement des données (entreprise, organisme public, etc.) est confronté et ce que ces risques représentent financièrement
  2. Être capable de prendre des décisions éclairées, avec un véritable retour sur investissement, pour répondre aux risques quantifiés et éviter des sanctions et autres potentielles pertes financières

C’est la méthode FAIR qui permet de quantifier les risques qui pèsent sur une entreprise ou une organisation souhaitant être conforme au RGPD. Cela se déroule en plusieurs étapes :

  • La première chose à faire est de cartographier l’exposition au « risque RGPD » en prenant en compte deux points de vue. Le point de vue du sujet des données tout d’abord. On peut illustrer cela avec le risque de violation de données de type PII (Personally Identifiable Information) par exemple. Ensuite le point de vue complémentaire de l’entreprise responsable de traitement de données. Ici le risque peut prendre la forme d’amendes et de sanctions, ou encore de perte de réputation. Ce premier pas doit être accompagné d’une cartographie des bases de données PII les plus importantes.
  • Ensuite il faut s’assurer que les processus en place sont conformes aux exigences RGPD. Par exemple, le fait d’avoir en place une politique claire en cas de violation des données. Si un incident apparaît, la transparence avec les régulateurs et la rapidité de réponse sont clés. Ne pas cocher ces deux cases est souvent source de sanctions plus importantes. Il faut aussi recenser et/ou mettre en place, les contrôles et moyens à disposition pour améliorer la sécurité des données. Cela peut être des solutions techniques (chiffrement des données, etc.) ou contractuelles par exemple (identification des tiers responsables de traitements, vérification de contrôles contractuels, etc.).
  • Les prochaines étapes seront de continuer à collecter des informations pour ensuite commencer à créer des scénarios de risques et quantifier de potentielles pertes financières grâce à la méthode FAIR.

Les données de santé et leur traitement face au RGPD : un débat qui ne fait que commencer


Le traitement des données de santé : mal nécessaire ?

Nous avons exploré quelques pistes de réflexions sur la relation entre le RGPD et les traitements de données de santé, ainsi que sur les solutions potentielles pour aider à être conforme aux exigences du règlement. Finalement, plus que nous interroger sur les sanctions ou sur la conformité, le RGPD devrait aussi nous pousser à revoir notre vision d'un "bon" traitement des données de santé.

Difficile de nier la nécessité des traitements de données de santé. Le passage de dossiers papiers aux dossiers patients informatisés est sans doute l'exemple le plus concret. Ces derniers sont synonymes entre autres, d’une meilleure coordination des soins entre les différents professionnels de santé, d’une meilleure flexibilité et d’une facilité d'accès à ces informations pour les patients eux-mêmes. Ils répondent à des besoins concrets de transparence et d'information, ainsi que d'efficacité et sécurité sanitaire.

Dans le même ordre d'idées, le Covid-19 est une démonstration flagrante de l'importance des données de santé pour la recherche. Les vaccins ont été développés en des temps records (10 mois au lieu de 10 ans). Plusieurs raisons l'expliquent : virus pas totalement inconnu, investissements colossaux, nouvelles technologies vaccinales, etc. Mais tout cela suppose que les chercheurs puissent avoir accès aux anciennes données sur le SARS-CoV-1. Cela suppose une collecte des données de volontaires, un partage rapide des résultats aux instances de contrôle avant une mise sur le marché, etc. Pour résumer : cela suppose un traitement des données de santé efficace.

Ou boîte de pandore future source de toutes les dérives ?

Le secteur de la santé, en pleine transformation, voire en tension en cas de crise comme la pandémie de Covid-19, a donc sans aucun doute des besoins concrets liés à un traitement des données efficace et à grande ampleur. Et pour répondre à ces besoins, les géants du numérique s'empressent de proposer leurs solutions.

Google lançait ainsi son application Google Health Studies en décembre 2020. Son objectif ? Aider les chercheurs à collecter un nombre important et représentatif de données de santé. Chaque propriétaire de smartphone Android peut désormais s'inscrire et fournir des données demandées par les chercheurs. Chez nous, la Plateforme des données de santé (Health Data Hub), a été créée le 30 novembre 2019 avec le même but : faciliter le partage des données de santé pour favoriser la recherche. L'hébergeur de toutes ces données ? C'est Microsoft.

Plus récemment, c’est le partenariat entre la plateforme Doctolib et l’Etat qui faisait la une de l’actualité. Doctolib devenant une plateforme officielle pour la prise de rendez-vous pour la vaccination contre le Covid-19. Des associations de médecins et patients, estimaient en effet que le fournisseur cloud de Doctolib, Amazon Web Services, avait accès à des données de santé pas suffisamment protégées.

On constate donc aisément à travers tous ces exemples, que le traitement et la conservation des données de santé dépasse largement le cadre du RGPD. Il alimente le débat sur les principes de protection des données et nourrit des questions géopolitiques majeures. Au premier lieu desquelles : la souveraineté nationale. Sommes-nous condamnés à utiliser les GAFAM pour collecter et stocker les précieuses données de santé de nos concitoyens ? Que pèse réellement le RGPD face aux entreprises étrangères ? Surtout quand elles sont soumises à des lois extraterritoriales qui s'y opposent par nature (le Cloud Act américain en particulier) ?

Nous n'avons pas encore de réponses claires à ces questions mais ce débat est loin d'être clos. Une chose est sûre : l'Europe ouvre la voie avec un règlement qui fait des émules (cf. le California Consumer Privacy Act). Le RGPD est attentivement scruté car la problématique de la protection des données est amenée à se développer partout.

La conformité RGPD sous l’angle des risques résumée en 3 questions

Le RGPD c’est avant tout des exigences envers les responsables de traitement, afin de garantir la protection des données de chaque citoyen européen. Ces exigences s’appliquent aussi bien aux entreprises qu’à leurs sous-traitants qui sont responsables de traitement de données. La cybersécurité elle, est indéniablement un enjeu et un risque majeur pour les entreprises et les personnes. Les conséquences liées à un défaut de cybersécurité sont diverses et peuvent se révéler dramatiques en termes financiers, de réputation, etc. La conformité RGPD et la cybersécurité sont donc bien des sujets qui nous concernent tous, surtout si vous ou votre entreprise traitez des données personnelles sensibles et capitales pour votre activité.

Le RGPD comme son nom l’indique, met l’accent sur la protection des données. Son objectif premier et d’encadrer leur utilisation. La cybersécurité, ce sont tous les moyens qui permettent justement d’assurer la protection des données. C’est pourquoi les deux sujets sont intimement liés et qu’on peut parler de cercle vertueux : s’améliorer sur la protection des données en général, revient à avoir des effets concrets sur sa conformité et sa cybersécurité. C’est bien pour cela que le RGPD exige « la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque numérique ».

Il existe un grand nombre de moyens pour améliorer sa protection des données et sa conformité RGPD. Mais le même problème revient régulièrement : il n’est pas toujours évident de justifier de la mise en place de tel ou tel outil, projet, etc. Utiliser FAIR c’est tout simplement quantifier en termes financier les risques auxquels on est exposé. Concrètement, les risques liés à un défaut de conformité RGPD ou à un manque de protection des données ; puis les solutions mises en place et leurs retours sur investissements sont désormais justifiables dans un langage compris par toutes les parties prenantes.