La RGPD & les établissements de santé : les 6 étapes clés à anticiper dès maintenant

Interview de Jean-Yves Haguet, ingénieur sécurité pour l’éditeur de logiciels santé Enovacom

Pouvez-vous nous rappeler le principe du RGPD (ou GDPR)?

Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen majeur qui a pour objet de renforcer le droit à la confidentialité pour les individus, en définissant des exigences de sécurité concernant la protection des données à caractère personnel et les activités de traitement qui leur sont associées.
Chaque entité, à savoir les entreprises ou établissements de santé en charge du traitement des données personnelles, se voit ainsi responsabilisée et les sanctions en cas de non-respect d’une exigence sont dissuasives. Si nous devons citer un exemple, les répercussions sont importantes pour une entreprise : l’amende est comprise en 10 M€ (ou 2% du CA) et 20 M€ (ou 4% du CA) selon la gravité de l’incident.

Quelle est la date limite d’application ?

Le RGPD entrera en vigueur le 25 mai 2018 et s’appliquera de la même manière dans les 28 États membres de l’union européenne qui connaissent aujourd’hui une forte disparité des régimes de protection des données. Il en est ainsi pour l’ensemble des entreprises du monde, qui fournissent des biens, des services auprès des citoyens européens, qui collectent, hébergent et manipulent leurs données individuelles.

En France, quelles différences avec les réglementations précédentes ?

Les précédentes règlementations nationales, telles que la CNIL en France, se limitaient à adresser les droits essentiels des individus tels que le droit d’opposition, celui d’accès aux données et de rectifications/suppression, le tout sous réserve de motif légitime. Avec le RGPD, de nouveaux droits sont également pris en considération : le droit à l’oubli, le droit de la limitation du traitement, le droit à la portabilité, le droit d’opposition au profilage, le droit à la limitation de collecte et d’utilisation. C’est un changement radical, car il ne s’agit plus seulement de remplir la fiche de déclaration ; en tant que responsable du traitement, il faut avoir réalisé une appréciation des risques pour chaque traitement incluant des données à caractère personnel et être en mesure d’apporter la preuve que les mesures appropriées de réduction du risque sont bien en place.

Quelles sont les premières étapes à ne surtout pas oublier ?

A moins d’un an de la mise en application de ce règlement, il est urgent de ne pas attendre et de s’organiser. Et comme pour toute règlementation traitant à la sécurité des systèmes d’information, le RGPD ne manque pas d’adresser l’ensemble des services d’une entreprise ou d’un établissement de santé, avec un grand nombre de modification de procédures en perspective. Il est donc nécessaire de combiner la mise en place de mesures simples ayant un impact important sur l’élévation du niveau de protection des données, avec un travail de fond sur les procédures les plus complexes, qu’il faudra déployer de manière graduelle.

Pour démarrer le projet, nous pouvons citer les six premières étapes clés :

 La première étape est de nommer un pilote (le DPO Data Protection Officer), qui naturellement pourra être un CIL (Correspondant Informatique & Liberté) ou un RSSI (Responsable de la Sécurité des Systèmes d’Information).

 Une seconde étape consiste à cartographier les traitements concernant les données personnelles, notamment ceux qui sont confiés à des sous-traitants, et de constituer ainsi le registre indispensable qui doit être maintenu à jour.

 Pour la troisième étape, il s’agit de procéder à une analyse de risque afin de prioriser les actions à mener.

 A l’étape suivante, on commence à mettre en place les mesures préalablement priorisées.

 Au niveau de l’étape 5, il s’agit de créer ou de mettre à jour les procédures qui permettent de répondre aux besoins spécifiques du RGPD, comme la modification du consentement ou la procédure de notification.

 Enfin en étape 6, il faut documenter la conformité, par l’intermédiaire d’audits, et de conserver les preuves collectées. Il est capital de pouvoir se raccrocher aux procédures existantes, pour un gain d’efficacité et une cohérence globale.

Quels bénéfices peut-on attendre de la mise en application de la RGPD ?

Pour les personnes, les bénéfices évidents consistent en une extension de leurs droits concernant leurs données personnelles, une facilitation d’accès, afin de s’assurer de la justesse de l’information, et de recours, en cas d’absence de consentement. Pour les entreprises et les établissements de santé, les bénéfices sont de disposer d’un cadre juridique universel et détaillé. Plus précisément, il contribuera à favoriser la libre circulation des données à caractère personnel au sein de l’union européenne, un des objectifs affirmés du RGPD, et développera les activités liées au traitement de ces données personnelles. 

Quels types de solutions Enovacom propose-t-elle pour permettre aux établissements de santé d’être conforme avec la RGPD ?

Enovacom garantit la confidentialité des données au travers de ses solutions. Nous avons développé depuis une gamme de logiciels dédiée à la sécurisation du système d’information de santé. Les problématiques autour de l’Identity Access Management (IAM) sont prises en charge aujourd’hui par 2 solutions : notre annuaire d’établissement de santé ou référentiel des identités, ENOVACOM Identity Manager, et le Single Sign On ENOVACOM Secure Login.

L’objectif pour les établissements de santé est de disposer d’une solution de gestion des identités et des accès incluant un méta-annuaire, entièrement paramétrable, pouvant grandement faciliter la tenue d’un registre des traitements, demandé par l’article 30 du RGPD. En l’occurrence notre outil permet de définir une politique d’accès aux informations, de gérer les droits d’accès à ces informations dans des référentiels hétérogènes, de recueillir le consentement par un formulaire web, de notifier sur des événements suivis, qu’ils soient attendus ou redoutés, et de générer des états pour les contrôles périodiques. La solution SSO permettra de contrôler les accès avec une politique de mot de passe efficace.

Au-delà des politiques autour de l’IAM à mettre en place, il est nécessaire également de protéger les données échangées grâce au chiffrement. Il s’agit d’un des moyens pour garantir la confidentialité et l’intégrité des informations envoyées et reçues. A ce titre, Enovacom propose une solution de messagerie sécurisée ENOVACOM Secure Messaging.  L’entrée en vigueur du RGPD devrait appuyer cette démarche.

Enovacom, en tant qu’éditeur de logiciels, est-il impacté par la RGPD ?

En tant qu’éditeur de logiciels du secteur de la santé et de la sécurisation des systèmes d’information, Enovacom est naturellement sensibilisée à la problématique de protection des informations, qu’il s’agisse des données des patients, bien entendu, mais également du personnel médical. Mais comme toute entreprise qui ne dispose pas de dérogation, Enovacom est concernée et impactée par la RGPD, tant au niveau des informations personnelles de ses clients, de ses partenaires mais également de celles de ses collaborateurs.