Dossier médical partagé et protection des données personnelles :

C’EST GRAVE DOCTEUR ?

 

Après de nombreux échecs, le “Dossier médical partagé” se refait une santé !

Le 3 février dernier, le gouvernement inaugurait sa nouvelle plateforme “Mon Espace Santé” (MES).

Cet outil, accessible via Internet après authentification, vise à aider ses utilisateurs à gérer leurs données de santé et à construire leurs parcours de soins avec les professionnels de santé.

Plutôt que de laisser à chaque citoyen le choix de recourir ou non à ce service public en ligne, comme il l’avait fait pour sa première version, le gouvernement a cette fois opté pour une méthode beaucoup plus radicale.

Depuis le début de l’année 2022, l’Assurance maladie communique ainsi à tous ses affiliés leurs identifiants personnels pour activer ce nouveau dispositif. A défaut de connexion ou d’opposition de la personne concernée dans les six semaines suivant la réception de ce courrier/courriel d’information, un compte individuel lui est automatiquement créé sur cet “Espace Numérique de Santé” [1].

 

Quelles sont les fonctions projetées de « Mon Espace Santé » ?

Prenons la température des objectifs et paramètres de cette plateforme.

Toutes les fonctionnalités de cette interface ne sont pas encore disponibles, tels que l’agenda e-santé et le catalogue d’outils et de services, pourtant prévus par les textes. A terme, cette solution regroupera les configurations suivantes[2] :

Qui pourra accéder à « Mon Espace Santé » ?

Chaque utilisateur peut paramétrer son Espace Numérique de Santé afin de déterminer la liste des professionnels de santé autorisés à déposer des informations sur son compte, ou à en prendre connaissance. Les choix opérés par les assurés à cet égard sont, là encore, modifiables à tout instant.

Ces autorisations d’accès peuvent être temporaires ou définitives. Elles peuvent porter sur l’ensemble des données contenues dans l’application, ou être limitées à certains documents.

Quoi qu’il en soit, la communication des données renseignées sur cette plateforme ne peut en aucun cas être exigée par des tiers, en particulier lors de la conclusion d’un contrat – notamment d’assurance.

Et pour cause, en disposant de ces renseignements sensibles vous concernant, vos interlocuteurs seraient en mesure d’effectuer divers pronostics… et d’ajuster le montant de vos cotisations en fonction de vos risques de présenter, à plus ou moins long terme, des problèmes de santé. Des pratiques abjectes, mais qui ne sont malheureusement pas si anecdotiques !

Quid du « Dossier médical partagé » intégré dans l’ENS ?

Le “Dossier Médical Partagé” (DMP) constitue une sorte de carnet de santé digital. Il vise à « favoriser la prévention, la coordination, la qualité et la continuité des soins des personnes concernées »[3].

Il contient :

  • Les données versées par les praticiens autorisés à l’issue de leurs consultations: l’état des vaccinations du patient, ses synthèses médicales et paramédicales, comptes-rendus d’hospitalisation, résultats d’analyses biologiques ou d’examens d’imagerie médicale, les actes diagnostiques et thérapeutiques réalisés, etc.
  • Les données que le titulaire du compte a éventuellement lui-même ajoutées : ses allergies, ses antécédents familiaux, ses documents de santé émis avant l’ouverture de son Espace Numérique de Santé, ses volontés en matière de don d’organes ou ses directives anticipées, l’identité du proche à prévenir en cas d’urgence, etc.

Hormis le médecin traitant éventuellement désigné par le titulaire du compte – qui peut accéder à l’ensemble des données inscrites dans son Dossier Médical Partagé – les autres soignants devront impérativement avoir obtenu le consentement de leur patient pour s’y connecter[4].

Une dérogation est prévue en cas d’urgence. Si l’état du malade l’exige, tout professionnel de santé peut consulter son Dossier Médical Partagé sans son autorisation, à moins que celui-ci ait expressément indiqué s’y opposer dans ses informations personnelles.

Afin que les affiliés puissent s’assurer du respect de la confidentialité de leurs données personnelles de santé, la plateforme est équipée d’un outil de traçabilité des connexions. Lors de chaque intervention par un tiers sur son Espace Numérique de Santé, l’utilisateur reçoit ainsi en principe une notification reprenant la date, l’heure, l’action réalisée (dépôt de document, consultation, modification…) et l’identification de son auteur.

Un remède suffisant pour prévenir toutes dérives ? L’avenir nous le dira !

Quels sont mes droits en tant qu’utilisateur ?

Sur leur Espace Numérique de Santé comme sur leur Dossier Médical Partagé, les assurés peuvent naturellement exercer les droits qui leur sont reconnus par la législation en vigueur en matière de protection des données.

Étant les seuls gestionnaires de leurs comptes, ils peuvent à cet égard :

  • Extraire les données qui y figurent, en application de leur droit d’accès et de leur droit à la portabilité de leurs données ;
  • Les rectifier si elles s’avèrent inexactes, incomplètes ou obsolètes ;
  • Effacer les renseignements qu’ils auraient eux-mêmes déposés[5] ;
  • Limiter le traitement de leurs données, en réduisant les droits d’accès des professionnels de santé ;
  • Clôturer à tout moment leur compte, en application de leur droit d’opposition.

Dans ce cas, les données contenues sur la plateforme seront conservées pendant une durée de 10 ans, sauf si le titulaire du compte sollicite spécifiquement leur suppression [6].

AVIS aux professionnels de santé !

Vous êtes amenés, en tant que soignant, à traiter chaque jour des données de santé ?

L’instauration de cette nouvelle version du “Dossier Médical Partagé” est susceptible d’impacter votre pratique au quotidien !

Notez qu’il est indispensable d’interroger vos patients sur la question de savoir s’ils vous autorisent à consulter et à alimenter leur compte personnel. A défaut, toute connexion à leur Dossier Médical Partagé constitue un accès illégitime, et vous expose à des sanctions judiciaires, pénales ou émanant des ordres professionnels.

Vous devez également respecter les droits dont bénéficient vos patients pour la protection de leurs données personnelles. A cet égard, vous êtes tenus répondre aux demandes d’accès et de rectification qui vous seraient adressées par ces derniers si vous êtes à l’origine du document objet de leur requête [7].

Nous attirons également votre attention sur le fait que, comme le rappelle l’article R.1111-40 du Code de la Santé Publique, le Dossier Médical Partagé ne se substitue pas au dossier que tient chaque professionnel de santé, quel que soit son mode d’exercice, dans le cadre de la prise en charge d’un patient.

Or, à cet égard, des règles spécifiques s’imposent compte tenu de la sensibilité des données que vous manipulez : mise en place de mesures de sécurité techniques et organisationnelles adaptées aux risques pour les droits et libertés des personnes concernées, recours à des prestataires agréés ou certifiés pour l’hébergement, le stockage ou la conservation des données de santé, etc.

Si vous n’êtes pas certains d’agir dans le respect de la législation en vigueur en matière de protection des données personnelles, il est encore temps de dresser le diagnostic de votre conformité !

A l’heure ou nous finissions la rédaction de cette article, la CNIL, publie une FAQ sur le sujet pour l’information du grand public, qui comme toujours est extrêmement clair que nous vous invitons à consulter en complément.

L.H

[1] Les utilisateurs peuvent néanmoins changer d’avis à tout moment, en demandant la clôture de leur Espace Numérique de Santé.

[2] Les conditions d’instauration et de mise en œuvre de cet Espace Numérique de Santé ainsi que du Dossier Médical Partagé inclus en son sein sont régies par les articles L.1111-13 et suivants et R.1111-26 et suivants du Code de la Santé Publique.

[3] Conformément à l’objectif défini à l’article L.1111-14 du Code de la Santé Publique (CSP).

[4] Cette autorisation sera alors réputée valoir pour tous les membres de l’équipe de soins à laquelle appartient ce professionnel habilité.

[5] Les utilisateurs ne peuvent toutefois pas retirer les documents versés sur leur compte personnel par des praticiens. Ils devront, dans ce cas, demander directement à l’auteur de l’information de la retirer.

[6] A l’inverse, si vous n’avez pas sollicité la destruction des renseignements vous concernant figurant dans l’application, il vous est possible de demander à tout instant, dans ce délai de 10 ans, le rétablissement de votre compte et de vos données de santé archivées.

[7] Article R.1111-51 du Code de la Santé Publique.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

La protection des données personnelles face à l’évolution de l’Intelligence Artificielle

– ENTRE MYTHES ET RÉALITÉS –

 

Le 5 avril 2022, la CNIL[1] rappelait avoir mis à disposition sur son site Internet un ensemble de documents explicatifs consacrés à l’Intelligence Artificielle (IA). Outre ses pouvoirs de contrôle, l’autorité régulatrice a pour mission d’informer le grand public sur divers sujets liés à la protection des données personnelles, ainsi que d’accompagner les professionnels dans leur conformité. Dans ce contexte, la Commission a jugé utile de vulgariser les connaissances des citoyens sur cette innovation nébuleuse qu’est l’Intelligence Artificielle.

La CNIL n’a évidemment pas sorti cette thématique de son chapeau par hasard.

Selon un sondage IFOP de 2017, 83% des Français auraient déjà entendu parler des algorithmes[2]. Toutefois, la moitié des personnes interrogées reconnaissait ne pas comprendre précisément en quoi consistent ces programmes. Pire, 64% d’entre elles s’avouaient inquiètes du développement de ces technologies.

D’après un sondage de l’IFOP sollicité par la CNIL pour l’établissement d’un rapport dans le cadre d’un débat public mené sur les algorithmes [3] et l’Intelligence Artificielle en 2017.

Si l’expression “Intelligence Artificielle” est fréquemment associée à un monde moderne et futuriste, elle ne relève pourtant pas du fictif. Comment cet univers surnaturel est-il devenu, justement, si naturel ?

L’intelligence Artificielle : supercherie ou véritable utilité ?

A ce jour, aucune définition officielle n’a été adoptée pour déterminer ce qu’englobe le terme d’ « Intelligence Artificielle ». Il est généralement entendu comme un domaine de la science tendant à permettre à des appareils électroniques de faire ce dont l’homme est capable moyennant une certaine intelligence.

Comme par enchantement (ou presque), votre ordinateur se voit ainsi en mesure de vous battre aux échecs, ou votre voiture autonome apte à vous conduire seule à bon port. Le Parlement Européen définit l’IA comme tout outil utilisé par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité »[4]. Ne vous bercez pas d’illusions, ces systèmes sont déjà omniprésents dans notre environnement.

Exemple 1 : Les agents conversationnels ou « ChatBots »

De nombreux organismes ont recours à des “ChatBots” dans le cadre de leurs relations avec les clients, notamment pour la gestion des réclamations ou la fourniture d’une assistance en ligne. Nous parlons bien de la « personne » avec qui vous conversez lorsque vous rencontrez un problème sur le site de votre banque, dans vos démarches dématérialisées, ou encore lorsque vous interrogez Siri, Google Assistant ou Alexa sur la météo de demain.

Ces robots conversationnels sont capables de comprendre la question qui leur est adressée en fonction de son contexte et d’y répondre de manière standardisée. Ils constituent des formes d’Intelligence Artificielle.

 

Capture d’écran d’un ChatBot sur le site de la Caisse d’Allocations Familiales

♦ Exemple 2 : Les dispositifs utilisant des techniques de partitionnement (ou clustering)

Ces techniques d’IA sont notamment utilisées à des fins de profilage en ligne. Elles permettent de vous proposer des contenus adaptés à vos préférences.

Exemples : suggestions de recherche sur le web, prédiction de mots sur vos claviers de portable, recommandations sur les réseaux sociaux ou les plateformes de streaming (musiques conseillées sur Deezer ou Spotify, liste de vidéos suggérées sur Netflix, etc.).

♦ Exemple 2 : Exemple 3 : Les outils d’aide à la décision

Le marché regorge désormais d’applications destinées à aider les entreprises à améliorer et accélérer leurs procédures, que ce soit en interne (aide au recrutement, prédiction du « turn over » des salariés…) ou en externe (algorithme de calcul pour l’attribution ou non d’un prêt bancaire, des risques assurantiels…).

Comment ça marche ? Trucs et astuces sur l’Intelligence Artificielle.

Afin de réaliser la tâche qui lui a été attribuée, la machine se voit d’un procédé automatisé reposant sur des algorithmes. Cette technique lui permet comme par magie, ou plutôt par l’application de règles mathématiques préalablement définies (des “modèles d’IA”), de générer une déduction ou une prédiction.

Grâce à ces modèles d’IA, l’appareil peut généralement étendre lui-même son champ de connaissances au fur et à mesure qu’il élargit sa base de données, par une méthode dite “d’apprentissage automatique“. Autrement dit, l’IA améliore sans cesse sa capacité à mimétiser les comportements humains à partir des informations qu’elle recueille progressivement. Ce tour de passe-passe repose donc sur la collecte et le traitement massifs de données potentiellement personnelles.

L’Intelligence Artificielle : un monde féérique ?

Si l’Intelligente Artificielle présente des avantages indéniables pour ses utilisateurs (gain de temps, d’énergie voire de fiabilité), sa mise en œuvre n’est toutefois pas sans risques. Ces algorithmes sont susceptibles de faire de nombreuses erreurs, qui peuvent être liées :

  • A la conception de leur système : les « biais discriminatoires »

◊ Les données sur lesquelles l’IA a été entraînée peuvent ainsi ne pas être suffisamment représentatives.

Exemple : un échantillon de population insuffisamment large utilisé pour calibrer certains dispositifs de reconnaissance faciale peut induire des difficultés à identifier des individus de certaines origines ethniques.

◊ De mauvais critères de sélection des données peuvent aussi avoir été retenus lors du codage de l’apprentissage automatique de l’IA.

Exemple : inclure le sexe d’un candidat à l’embauche comme un critère de sélection, et non ses seules qualifications et compétences, est susceptible d’aboutir à une décision discriminante [5].

◊ La prédiction émise par l’appareil peut également reposer sur des hypothèses trop approximatives. Tel est notamment le cas lorsque le programme opère une confusion entre “corrélation” et “causalité”.

Exemple : la machine constatant que, statistiquement, les individus décèdent très fréquemment dans leur lit pourrait en déduire à tort qu’il serait dangereux de dormir, plutôt que d’estimer qu’il lui manque une information supplémentaire à son analyse, à savoir l’état de faiblesse du défunt avant sa mort.

Les défauts de la machine ne sont donc pas directement générés par elle, mais résultent essentiellement de l’intervention humaine nécessaire à sa configuration. Ils sont en effet :

Les défauts de la machine ne sont donc pas directement générés par elle, mais résultent essentiellement de l’intervention humaine nécessaire à sa configuration. Ils sont en effet :

  • Soit les conséquences d’erreurs humaines dans l’écriture des programmes.

En effet, la logique de raisonnement assignée à l’appareil a été pensée par l’homme, avec toutes les déviances et la subjectivité que cela implique.

  • Soit le reflet de problèmes sociétaux actuels.

L’IA se fondant sur des statistiques issues de données réelles, elle a ainsi malheureusement tendance à reproduire voire à amplifier les inégalités de fait et discriminations existantes.

  • A leurs conditions d’utilisation

La mauvaise qualité des données (telle qu’une photo prise dans un lieu sombre pour une reconnaissance faciale) ou des défauts liés au matériel utilisé sont de nature à fausser les résultats de l’algorithme.

  • A leurs infrastructures ou à des défaillances informatiques « ordinaires » (piratage, endommagement des équipements terminaux, erreur humaine…)

Les bonnes pratiques en matière d’IA pour éviter que les dés ne soient pipés. 

Les réflexes à adopter pour les utilisateurs 

Nous vous conseillons d’abord de vérifier systématiquement si vous interagissez avec un robot ou une personne réelle. En cas de doute, n’hésitez pas à questionner votre interlocuteur ou le service compétent.

Nous vous recommandons de limiter au maximum la transmission de vos données personnelles si cela n’est pas nécessaire (formulation de question générique, claire et simple dans un chatbot ; utilisation du mode « navigation privée » sur Internet pour limiter votre profilage selon votre historique, etc.). Gardez à l’esprit que la proposition ou suggestion émanant de la machine peut être erronée.

 

Afin de ne pas vous faire mener à la baguette, vous pouvez enfin exercer les droits qui vous sont reconnus pour conserver la maitrise de vos données personnelles, tel que votre droit d’information sur les caractéristiques principales de ces traitements de données.

L’article 22 du RGPD précise notamment que toute personne a le droit « de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Dans ce contexte, vous pouvez demander à connaître la logique sous-jacente à ces prises de décisions automatisées. Vous êtes aussi en droit d’exiger l’intervention d’une personne humaine dans le processus décisionnel, d’exprimer votre point de vue sur la décision ou de la contester.

Les réflexes à adopter pour les professionnels

Conformément au principe de minimisation des données et de protection des données dès la conception, nous vous invitons à concevoir vos algorithmes de manière à restreindre autant que possible la collecte d’informations personnelles des individus concernés[6].

Les responsables de traitement doivent également faire preuve de transparence à l’égard des personnes ciblées par ces systèmes d’IA. En ce sens, il y a lieu d’indiquer si elles correspondent avec un robot, d’expliquer la méthode de raisonnement globale appliquée par l’algorithme, et de motiver chacune des réponses ou décisions éventuellement prises grâce à ces dispositifs. Les professionnels sont aussi tenus de faire superviser l’utilisation de ces technologies par un humain.

L’Europe n’entend pas donner carte blanche à l’Intelligence Artificielle.

 » La Commission Européenne a adopté le 23 février dernier une proposition de règlement sur l’harmonisation des règles d’accès et d’utilisation équitable des données, plus connu sous le nom de “Data Act”. Ces dispositions visent notamment à créer un marché unique des données et à réguler les pratiques des plateformes numériques. »

De nombreux autres textes sont en cours de rédaction à l’échelle européenne afin d’encadrer davantage l’utilisation de l’Intelligence Artificielle, tels que :

  • Le Règlement ePrivacy, qui fixera les règles applicables en matière d’IA dans les services de communication électronique, et notamment sur les réseaux sociaux ;
  • Le Règlement sur l’Intelligence Artificielle proposé par la Commission Européenne en avril 2021, qui vise à trouver un juste équilibre entre le développement de ces technologies innovantes et la protection des données personnelles des citoyens européens.

Les lignes conductrices de ces législations en débat ont été publiées par les institutions compétentes. Nous vous invitons à vous inspirer dès maintenant des principes essentiels formulés par ces textes dans votre organisme, afin que votre mise en conformité s’effectue en un tour de main lorsqu’ils entreront en vigueur.

L.H


[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] D’après un sondage de l’IFOP sollicité par la CNIL pour l’établissement d’un rapport dans le cadre d’un débat public mené sur les algorithmes et l’Intelligence Artificielle en 2017 : https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_garder_la_main_web.pdf

[3] Source : Intelligence artificielle : définition et utilisation | Actualité | Parlement européen (europa.eu)

[4] Source : Intelligence artificielle : définition et utilisation | Actualité | Parlement européen (europa.eu)

[5] En effet, si l’entreprise n’a recruté que des hommes au cours des dernières années, l’algorithme est susceptible de conclure que la condition d’être de sexe masculin répond aux attentes de l’organisme.

[6] Le respect de ces impératifs se révèle d’autant plus important concernant le recueil de catégories de données sensibles ou susceptibles de conduire à des discriminations.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Ayez le vent en poupe ! Pensez votre conformité comme un atout plus qu’un fardeau.

Alors que la législation française encadrait déjà les activités de traitement de données personnelles depuis plus de quarante ans[1], l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 a été vécue par de nombreux organismes comme un véritable raz-de-marée.

Beaucoup d’entre eux y ont vu une vague d’obligations légales s’ajoutant à celles déjà existantes, et une entrave de plus à la poursuite de leurs activités.

Face à ces nouvelles exigences, il vous est possible d’adopter deux comportements :

  • Soit vous décidez de nager à contre-courant, vous épuisant à instaurer les règles minimales imposées par les textes, sans convictions.
  • Soit vous choisissez de vous laisser happer par cette nouvelle dynamique insufflée par le RGPD, en essayant de comprendre le sens de la marée pour ne pas vous laisser balloter par les flots.

Nous vous conseillons évidemment d’opter pour cette seconde philosophie. Après tout, « c’est pas l’homme qui prend la mer, c’est la mer qui prend l’homme » Tintintin. (Renaud)

Car, au-delà de leur caractère impératif, ces dispositions, constituent, une véritable opportunité pour votre organisme si elles sont correctement appréhendées.

Votre conformité ? Un gage d’efficacité et de compétitivité incontestable !

L’application quotidienne des grands principes édictés par le RGPD s’inscrit dans les démarches d’amélioration continue mises en œuvre par votre structure.

Le règlement européen érige ainsi en règle fondamentale la « minimisation des données ». Autrement dit, seules doivent être collectées les données pertinentes au regard de l’utilisation qui en est faite.

Et, même si cela coule de source : qui dit moins de données recueillies, dit moins de risques de violation de la législation.

 

Afin de concrétiser ce principe, il appartient à votre organisme de dresser une cartographie de ses flux de données, entité par entité, service par service : quelles informations sont recueillies ? Dans quel but ? A qui sont-elles transmises et conservées ? Comment ?

Cette revue est l’occasion de vous interroger sur la pertinence de certaines de vos activités ou process.

Or, réduire au strict nécessaire le nombre d’informations à traiter, d’intermédiaires les manipulant ou encore le nombre d’étapes d’exploitation de ces renseignements, participe à optimiser le fonctionnement de votre structure.

 

Exemple : Inutile de demander à des prospects de remplir sur une fiche papier, retranscrite manuellement ensuite dans un fichier informatique, leurs coordonnées et leur état civil complets, si l’objectif n’est que d’être en mesure de les joindre par la suite. Un simple formulaire de contact en ligne comportant un pseudonyme et une adresse e-mail suffit !

Le RGPD réaffirme également le principe d’exactitude des données. Or, détenir des informations mises à jour est évidemment dans l’intérêt de votre entité.

[1]  Notamment sur le fondement de la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés », encore applicable de nos jours dans sa version modifiée.

Finis les rappels malencontreux d’anciens clients, qui plus est avec qui vous seriez en mauvais termes, au prétexte que leur numéro figurerait toujours sur vos annuaires, alors que le règlement interdit tout rappel de clients restés sans contact positif depuis plus de 3 ans. La CNIL vous a lancé une bouée dans un référentiel dédié.

Le RGPD oblige à une gestion efficace de vos traitements de données, et par là même de vos outils de travail – tant informatiques que les supports papier.

Votre conformité ? Un atout commercial indéniable !

Face à l’essor des appels indésirables, formulaires d’inscription ou newsletters non sollicitées, le respect de l’intimité des clients est devenu pour ces derniers un véritable critère de sélection.

Par définition, les obligations prescrites par le RGPD tendent à préserver le droit à la vie privée des individus concernés par le traitement de leurs données personnelles.

 

Informer clairement vos interlocuteurs (clients, prospects, fournisseurs) de ce que vous faites des informations qu’ils vous confient, et répondre rapidement et sans ambiguïté à leurs demandes d’exercice de droits – comme le prévoit les textes – répond à ces nouvelles attentes de transparence.

Prévoyez des outils permettant à vos clients de reprendre la main sur leurs données par le biais de leur compte client : s’abonner ou se désabonner à vos newsletters et offres promotionnelles, paramétrer les outils de communication (mail, sms, courriers) ou encore permettre la mise à jour de leurs données.

En favorisant la confiance du public dans votre capacité à assurer la sécurité de leurs données, vous renforcez d’autant votre image de marque… Et vous vous démarquez de vos concurrents qui auraient échoué sur ce point !

 

Votre conformité ? Un outil de navigation précieux !

Le responsable de traitement est tenu de prendre toutes les mesures de sécurité juridiques, physiques et logiques nécessaires pour assurer la protection des données qu’il exploite.

Cette obligation de prévenir les failles de sécurité et les cyberattaques n’est pas futile. Bien au contraire !

Ces événements malheureux inhibent l’exercice régulier de vos missions. Ils mobilisent d’importants moyens pour les résoudre. Une perte de temps, d’énergie et d’argent que votre organisme peut s’épargner si vous anticipez correctement ces éventuelles perturbations.

Organiser la maintenance de vos réseaux informatiques pour empêcher tout dysfonctionnement, mettre en place des dispositifs de détection des incidents de sécurité, adopter une procédure sur les démarches à suivre pour assurer la continuité et la reprise de vos activité en cas de crise… sont des formalités, directement déduites des dispositions du RGPD, qui contribuent à éviter ces récifs.

La législation en vigueur en matière de protection des données constitue ainsi une opportunité de sécuriser votre patrimoine informationnel, qui compose votre capital immatériel.

Exemple : Le RGPD vous impose de ne conclure de partenariats qu’avec des sous-traitants présentant des garanties suffisantes en termes de conformité. Cette précaution permet de s’assurer que vos prestataires ne révéleront pas, volontairement ou involontairement, diverses informations vous distinguant de vos concurrents sur le marché.

Il peut s’agir de protéger des renseignements d’ordre technique (secrets de fabrication, savoir-faire…), juridique, financier (bilan comptable), commercial (stratégie de développement, fichiers clients, résultat d’études de marché, négociations en cours, carnet de commandes…) ou encore humain (contexte social de l’entreprise).

Votre conformité donne donc à votre entreprise les moyens de se développer en toute sérénité.

Votre conformité ? Une méthode de gestion des risques inévitable !

 

L’autorité de contrôle en matière de protection des données[2] est habilitée à prononcer de nombreuses sanctions en cas de violation de vos obligations. Ces condamnations peuvent aller jusqu’à une limitation temporaire ou définitive du traitement de données constituant le cœur de votre activité ! Sans compter les risques de poursuites pénales, si ces faits sont constitutifs d’une infraction.

Ces décisions seraient synonymes d’un véritable naufrage pour vos projets, que l’on ne vous souhaite pas…

 

Ces décisions seraient synonymes d’un véritable naufrage pour vos projets, que l’on ne vous souhaite pas…

Si des manquements au RGPD vous étaient imputés, ceux-ci pourraient également impacter l’équilibre économique de votre organisme.

A cet égard, les amendes administratives susceptibles de vous être infligées ne sont pas les seules menaces pesant sur vos finances.

Au même titre que les déclarations fiscales, sociales ou environnementales, votre conformité entre dans le cadre des garanties dont vous seriez redevables dans l’hypothèse d’une cession ou d’une fusion-acquisition de votre société.

Elle constitue donc, à l’inverse, un élément de valorisation de votre entreprise dans le cadre de ces négociations, et évite un auto-sabordage.

Enfin, les échos de votre éventuelle non-conformité seraient de nature à porter considérablement atteinte à votre réputation. Ils amenuiseraient votre attractivité aux yeux de vos partenaires commerciaux.

Mais non ! Respecter le RGPD, ce n’est pas la mer à boire !

L’esprit du texte européen vise à inciter les responsables de traitement à adopter des mesures adaptées au risque.

Il est davantage question d’insuffler des réflexes et des processus conformes aux principes essentiels du RGPD, plutôt que d’appliquer sans réfléchir des doctrines incomprises. Autrement dit : du bon sens et de l’intérêt pour le sujet, plutôt que l’instauration de formalités purement protocolaires et de dispositifs techniques inappropriés.

Face à cette marge de manœuvre qui vous est octroyée, à vous de décider des meilleurs moyens pour ancrez profondément dans votre organisme une « logique » RGPD, tout en gardant le cap sur vos stratégies de développement !

Larguez les amarres ! Formez-vous et faîtes vous accompagner par des professionnels pour comprendre véritablement l’essence de la législation en vigueur en matière de protection des données, ainsi que sa concrétisation dans votre propre structure.

[2] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

Une entreprise sur 3 ne connait pas les implications liées au CLOUD Act.

Une récente étude démontre que les enjeux règlementaires liés au CLOUD Act ne sont pas maitrisés par les entreprises. C’est évidemment un gros problème quand elles confient l’hébergement de leurs données aux grands services Cloud.

Quels sont les impacts liés au RGPD quand vous ignorez ce qu’implique le CLOUD Act ?

Depuis peu, les entreprises pensent respecter le RGPD en exigeant des prestataires d’hébergement le stockage en Europe. Mais trop peu d’entreprises ont parfaitement intégré les risques en matière de confidentialité quand les services d’hébergements sont soumis au CLOUD Act.

Le CLOUD Act c’est quoi ?

L’acronyme Clarifying Lawful Overseas Use of Data Act ou CLOUD Act, que nous pourrions traduire dans la langue de Voltaire par « Clarifier la loi sur l’utilisation légale des données à l’étranger ou la loi CLOUD » est contraignant pour  les prestataires d’hébergement Américains. Un simple mandat ou une assignation les obligent à transmettre les données stockées sur les serveurs. Que les serveurs soient aux USA ou sur d’autres continents, la justice américaine s’octroie les droits.

Donc toutes les données y compris les données à caractères personnels mais aussi brevets, savoir-faire, sont accessibles sur simple demande aux forces de l’ordre fédérales ou locales. Le CLOUD Act crée un cadre juridique qui permet de prendre connaissance du contenu de n’importe quelle donnée sur n’importe quel  serveur n’importe où. Aucune information du Responsable de traitement, pas plus que les juridictions étatiques des états hébergeant les données.

En ayant recours à une entreprise soumise au Cloud Act, les responsables de traitement abandonnent tacitement la confidentialité des données.

Et si les données sont chiffrées ?

Le chiffrement est naturellement un moyen d’assurer la sécurité des données. Néanmoins, le chiffrement de l’ensemble des données est rarement possible notamment car il ralentit considérablement l’exécution des tâches. Si vraiment la justice s’intéresse à vos données, elle se donnera les moyens de contourner le chiffrement, elle a déjà été en mesure de déchiffrer des données d’iphone.

Transparence auprès de vos clients.

Rappeler dans sa politique de protection des données qu’elle est la seule à pouvoir prendre connaissance de vos données est un mensonge. En utilisant l’un des prestataires Américains le responsable de traitement s’expose à une perte de confidentialité.

Le dire c’est bien… Le faire c’est mieux !

Si votre entreprise met réellement tous les moyens en œuvre concernant la protection des données, elle doit s’interdit de stocker les données de ses clients et les siennes chez un hébergeur soumis au CLOUD Act. C’est la moindre des choses en matière de transparence.

En d’autres mots, il est inutile de porter son attention sur localisation du stockage de données dans le Cloud si votre hébergeur est soumis au CLOUD Act. Cette condition n’est pas suffisante pour s’opposer à justice Américaine.

Bien que cette législation soit controversée, Le CLOUD Act a reçu l’appui du ministère américain de la justice et de grandes entreprises technologiques comme Microsoft, Apple et Google, qui y voient là une source de sécurité juridique. L’administration Trump a fait plier Microsoft en l’obligeant à transmettre les données d’une messagerie Outlook d’un trafiquant de drogue.

Quelles sont les solutions ?

Préférer des acteurs Français ou Européens. La France regorge d’hébergeurs qui sont largement à la hauteur de grandes entreprises Américaines ;
Le prix ne fait pas tout, lisez bien les contrats des différents prestataires ;
Imposez une clause qui interdit le recours à un prestataire soumis au CLOUD Act et au Patriot Act ;

Et pour mes sous-traitants ?

Il est préférable d’inclure une clause interdisant le recours aux prestataires soumis au CLOUD Act. Si c’est une clause particulièrement restrictive, elle est la preuve de votre engagement assurément un avantage concurrentiel.

 

Dans un Arrêt de la cour de justice de l’Union Européenne (CJUE) cette dernière rappelle le principe du consentement pour le dépôt des cookies sur les terminaux des internautes. Le consentement est explicite, clair, actif et libre au sens du RGPD. Ainsi la cour rappelle que le fait de continuer à naviguer sur un site ne vaut pas consentement au dépôt des cookies. Cette décision va dans le sens de l’analyse de la CNIL, qui elle a bien voulu laisser une année aux différents sites, notamment ceux dont le modèle économique repose uniquement sur l’exploitation de ces petits fichiers qui traquent l’activité des internautes pour se mettre en conformité.

Ainsi, les sites dont la politique est de pré cocher les cases relatives au consentement sont hors la loi. L’opt-out est définitivement illégal. Dans une étude récente (aout 2019), on apprend que dans 86 % des cas, les internautes ne pouvez pas s’opposer au dépôt des cookies. Dans la majorité des cas l’internaute n’avait d’autre choix que de cliquer sur OK. Drôle d’interprétation du consentement !

La CJUE, avait récemment rappelé que les boutons Facebook J’aime induisaient une coresponsabilité entre Facebook et l’éditeur du site. Ainsi les deux acteurs sont responsables chacun de leur côté pour la partie traitement qui les incombe.

Une décision cohérente : En effet, depuis 2017, les législateurs européens tentent de se mettre d’accord sur la mise à jour de la directive « vie privée et communication électroniques » l’E-Privacy.

Un projet largement critiqué par les acteurs, les lobbyistes dans le domaine de l’exploitation des données à caractère personnel et les défenseurs de l’opt-out. Cette décision tombe au plus mauvais moment, puisqu’elle renforce le projet E-Privacy et le respect de l’opt-in.

Le coup de grâce serait l’application du règlement E-Privacy qui est attendu depuis 2017.

De plus en plus d’établissements scolaires prennent des photos des enfants dans le cadre des activités scolaires.

Bien souvent, aucune formalité n’est mise en œuvre pour répondre aux obligations légales des chefs d’établissement quant à l’utilisation des photos de nos enfants par les établissements scolaires (trombinoscopes, site de l’école, ou tout autre support). Sachez que les parents peuvent s’opposer à l’utilisation de l’image de leur(s) enfant(s). D’ailleurs, l’article 9 du Code civil rappelle que la personne doit avoir donné son accord pour la captation de l’image. Il en va de même pour son utilisation (diffusion). Il doit notamment être informé de toutes les utilisations qui vont être faites des clichés, les supports utilisés pour la diffusion, la durée de diffusion, les destinataires, etc. Dans tous les cas, toute personne dispose d’un droit exclusif sur son image et peut s’opposer à sa captation et sa diffusion.

Il est important de rappeler que l’enfant de plus de 15 ans, peut faire valoir ses droits directement auprès du chef d’établissement dans le cas où les images sont utilisées pour alimenter la société de l’information, comme le site de l’école par exemple. 15 ans étant l’âge de la maturité numérique pour la France. Étant donné que la règle impose d’obtenir le consentement préalable de l’enfant quant à l’utilisation de son image, il est préférable de s’assurer également que les parents consentent en connaissance de cause au traitement de l’image de leurs têtes blondes qu’elles aient ou non 15 ans révolus. Pour en savoir plus Article 8 du RGPD.

Et dans les entreprises alors ?

L’utilisation de l’image est également réglementée. Le trombinoscope n’est pas obligatoire. Dans la cadre du recrutement là encore, la photo ne semble pas être une donnée pertinente. Sauf cas particulier des badges d’accès nominatifs obligatoirement munis d’une photo pour des raisons de sécurité, la photo n’est pas une donnée obligatoire au dossier du collaborateur. Petit rappel pratique au passage ; Dans le cadre de la signature du contrat de travail, il est fortement déconseillé de collecter le consentement lié à la captation et l’utilisation de l’image de votre collaborateur directement dans le contrat de travail. Ce mode de collecte ne semble pas respecter dans ces conditions particulières, la liberté du consentement tel que le rappelle l’Article 7 du RGPD.

Il est à noter que dans le cadre de l’utilisation de vidéo, la règle est encore plus stricte dans la mesure ou la captation de la voix (donnée sensible, biométrique) impose d’autres dispositions pour les chefs d’établissements comme les employeurs.