Actualités

Quel bilan pour le RGPD, 6 mois après ?

Déléguée à la protection des données, Aurélie Béosière orchestre la mise en conformité au Règlement Général sur la Protection des Données dans les projets portés par SESAN. Plus de six mois après l’entrée en vigueur du RGPD, le 25 mai 2018, SESAN fait le point sur son application et ses répercussions sur ses activités. 

 

 

Quels processus ont été déployés à SESAN pour être en conformité avec le RGPD ?

 

Avant l’entrée en vigueur du RGPD, SESAN s’attachait déjà aux problématiques liées à la protection des données, puisqu’il disposait d’un Correspondant Informatique et Libertés depuis 2013.

Cela nous a permis d’anticiper l’entrée en vigueur du règlement en sensibilisant les salariés et en réalisant une cartographie de nos traitements de données afin d’avoir un état des lieux le plus complet possible et de prioriser les actions. La création de cette base de données a demandé un an et demi de travail. Elle évolue toujours, mais constitue un élément précieux de pilotage de la conformité.

 

Avec Pierre Boiron, le responsable de traitement de SESAN, nous avons élaboré un premier plan d’actions à mener jusqu’à la fin de l’année 2018.  Nous avons priorisé les questions relatives aux aspects contractuels avec nos sous-traitants via nos marchés publics, mais aussi avec les acteurs de santé notamment dans le partage de responsabilité des traitements de données par le biais de conventions, de contrats d’adhésion ou encore de conditions générales d’utilisation. Nous avons également réalisé la mise en conformité des traitements ayant un risque élevé au regard des données sensibles utilisées.

 

 

Y a-t-il eu des changements significatifs dans la sécurisation des données avec la mise en place du RGPD ?

 

Le RGPD n’a pas entraîné de changements importants concernant la sécurisation des données. La sécurité est déjà un enjeu essentiel au sein de SESAN. Cependant, j'ai travaillé en étroite collaboration avec notre RSSI (Responsable de la sécurité des systèmes d’information), Rémi Tilly, dans le but de garantir la cohérence entre la sécurisation de nos outils et les exigences de protection des données.

 

Il s’agit aussi de faire prendre conscience que l’utilisation de données a des impacts sur les personnes concernées et leurs droits. Cela ne concerne pas uniquement les systèmes d’information, mais également les documents papiers ou la manière dont nous diffusons les données, même oralement auprès de nos collaborateurs. La sécurisation passe en effet par la manière d’être de chacun. C’est une prise de conscience et un changement de mentalité.

 

 

Comment se passe la responsabilisation ?

 

Auparavant, la CNIL avait un rôle d’autorisation pour la plupart des traitements comportant notamment des données sensibles. Avec la nouvelle réglementation, ce rôle est remplacé par un pouvoir de contrôle et de sanction. En d’autres termes, pour beaucoup de traitements de données, même sensibles, il n’est plus nécessaire de réaliser des demandes d’autorisation auprès de la CNIL. Nous devenons notre propre régulateur, ce qui impose de s’assurer seul des bons fondements juridiques de nos traitements ainsi que des bonnes mesures organisationnelles et techniques avant de mettre en œuvre nos traitements pour protéger les droits des personnes concernées. 

 

À titre d’exemple, pour les traitements de télémédecine, il n’est plus nécessaire de réaliser des demandes d’autorisation. En effet, nous devons réaliser une analyse d’impact relative à la protection des données, l’inscrire au sein d’un registre de traitements et réaliser une déclaration simplifiée.

 

 

 

Quel est votre rôle au quotidien en tant que déléguée à la protection des données ?

 

Mon rôle est de conseiller le responsable de traitements et les salariés de SESAN, d’analyser les risques relatifs aux traitements, de réaliser les formalités nécessaires, de piloter et veiller le cas échéant à la bonne réalisation des analyses d’impact.

Concrètement, cela implique de s’assurer de la conformité de nos traitements avec la mise à jour des mentions relatives aux cookies de nos sites Internet, de la rédaction de clauses et de mentions d’information, sans oublier l’accompagnement de nos chefs de projet afin de les amener à se poser les bonnes questions : pourquoi j’utilise cette donnée ? Est-ce vraiment nécessaire ? Combien de temps dois-je la conserver ? Qui doit y avoir accès ? etc.

Il y a effectivement un réel travail pédagogique à réaliser pour accompagner nos collaborateurs tout en gardant une vision d’ensemble de la mise en conformité.

 

 

 

Comment accompagnez-vous les adhérents ?

 

Nous organisons régulièrement des actions de sensibilisation telles que des présentations du RGPD à des établissements hospitaliers, des structures médico-sociales… J’ai récemment participé à une journée organisée par la Maia 78 (Méthode d’action pour l’intégration des services d’aide et de soins dans le champ de l’autonomie). L’objectif étant de faire prendre conscience aux professionnels de santé que la protection des données à caractère personnel est un droit fondamental et de démystifier le RGPD.

De plus, l'équipe du Département Sécurité de SESAN accompagne les adhérents dans la mise en œuvre de leur conformité RGPD.  

 

 

Avez-vous recensé une hausse des demandes au titre du RGPD de la part des utilisateurs des solutions de SESAN ?

 

Les utilisateurs ont davantage conscience de leur droit concernant leurs données personnelles. La CNIL a constaté une augmentation de ses plaintes de 34% depuis le début de l’année.

 

À SESAN, les demandes de la part des personnes concernées par les traitements sont de plus en plus régulières, surtout de la part des professionnels de santé dont les données traitées par nos services relèvent de traitements déjà existants réalisés par d’autres responsables de traitement. L’information individualisée ne peut malheureusement pas toujours être assurée au regard des efforts disproportionnés que cela demanderait. Nous travaillons sur la communication de ces informations afin de les rendre accessibles et compréhensibles auprès des personnes concernées qu’il s’agisse de professionnels de santé ou de catégories de personnes dites vulnérables telles que les personnes âgées ou atteintes de handicap.

 

 

Quelles peuvent être les sanctions ?

 

Avec la nouvelle réglementation, les pouvoirs de sanction de la CNIL ont été renforcés. Cela peut aller de la mise en demeure à l’application d’amende administrative.

 

Toutefois, la CNIL n’est pas la seule à pouvoir sanctionner. La violation de la protection des données à caractère personnel est inscrite dans le code pénal. En outre, il est possible pour les personnes concernées d’ouvrir une action collective, ce qui peut avoir des impacts considérables notamment avec des dommages et intérêt sans parler de la réputation de l’entreprise ou de l’établissement.

 

En octobre dernier, la première sanction est tombée pour un centre hospitalier portugais. Il a été condamné à une amende de 400 000 euros pour violation des principes d'intégrité et de confidentialité des données, violation du principe de limitation d'accès aux données et incapacité pour le responsable du traitement des données à garantir l'intégrité des données. Plus de 985 habilitations pour accéder aux données des patients ont été accordées. Or, cet établissement n’employait que 296 praticiens hospitaliers. Un grand nombre de personnes pouvaient donc avoir accès librement aux données des patients.

Cette première sanction démontre que le RGPD touche toutes les catégories de responsable de traitement que ce soit les entreprises privées comme les organismes publics, mais surtout que les traitements relatifs aux données de santé seront de plus en plus contrôlés au regard de leur risque élevé pour les droits des personnes.

 

 

 

 

Quel bilan pouvez-vous faire six mois après l’application du RGPD ?

 

La mise en conformité avec le RGPD est un travail de grande ampleur. Ces six mois ne permettent pas d’entrer dans une routine de gestion de la conformité. Ce travail doit se poursuivre sur 2019, notamment sur les aspects organisationnels.

 

Néanmoins en cette fin d’année, le bilan est positif. Nous avons pu constater un changement des mentalités relatif à la protection des données. Nous sommes sollicités de plus en plus en amont des mises en production, voire lors des démarrages des projets ce qui n’était absolument pas le cas il y a 6 mois.

Par ailleurs, nous recevons davantage de questions de nos membres concernant la mise en conformité de nos outils avec le RGPD et de nos sous-traitants.

La sensibilisation et la responsabilisation sont des actions essentielles dans cette mise en conformité.

 

Mon challenge est d’opérer la conduite du changement afin de réussir à intégrer la protection des données personnelles comme un réflexe dans nos projets, mais aussi sur nos propres données. En effet, nous sommes tous concernés à titre personnel sur la protection de nos propres données. Il est donc essentiel d’en faire autant pour celles des autres.

 

 

Retrouvez ici la présentation de la matinale organisée par SESAN  : "RGPD, êtes-vous prêt ?".

Vous êtes ?
Vous avez besoin ?
Tous nos projets
››