Les enjeux de la conformité RGPD

Quelle conformité pour les organisations ?

Le nouveau règlement européen impose une prise en compte accrue de la protection des données à caractère personnel : « Protection des données dès la conception » et « Protection des données par défaut ».

L’urgence est de prendre en compte les exigences du RGPD dans les contrats dès aujourd’hui et en particulier le changement du statut du sous-traitant en termes de responsabilités (art 26 et 28).

L’ampleur des sanctions (art 84) va de 10 M€ ou 2% du CA mondial consolidé à 20 M€ ou 4% du CA mondial consolidé. Le montant le plus élevé étant retenu comme sanction maximale possible.

Lorsque des transferts d’information hors Union Européenne sont effectués, des BCR ou Binding Corporate Rules peuvent constituer une solution juridique de mise en conformité et de maintient d’exploitabilité.

Le chapitre IV section 4 concerne le Délégué à la Protection des Données (DPD) ou Data Privacy Officer (DPO). L’obligation de la désignation d’un DPD ne concerne as toutes les structures, bien que la CNIL recommande fortement sa désignation, y compris dans les cas d’exceptions.

Preuves de la responsabilité opérationnelle et juridique de l’organisation, le corpus documentaire exigé est constitué de :

En synthèse les exigences du RGPD sont :

  • Protection des données dès la conception (Privacy by Design).
  • Protection des données par défaut (Privacy by Default).
  • Représentant dans l’organisation (Data Protection Officer).
  • Registre des traitements.
  • Coopération avec l’autorité de contrôle.
  • Notification à l’autorité de contrôle.
  • Notification des personnes concernées.
  • Analyse d’impact (Privacy Impact Assessment).

En cas de défaut la sanction prévue est de 2% du CA consolidé ou 10M€.

La suite des exigences :

  • Respect des principes de base d’un traitement (Licéité, loyauté, légitimité, consentement, données sensibles …).
  • Respect du droit des personnes (Droit d’accès, de rectification, d’effacement dit « Droit à l’oubli », à la limitation du traitement, à la portabilité et d’opposition).
  • Respect des règles relative au transfert de données (Privacy Shield / Binding Corporate Rules).

Dans ces cas le non respect peut être sanctionné par 4% du CA consolidé ou 20M€.

La mise en conformité n’est pas un simple projet, il s’agit plus d’un changement de culture dans les organisations quelques soient leurs tailles.

RGPD - Maintien de la Conformité

Méthodologie

Pour qu’ne organisation se mette en conformité il faut qu’elle se prépare en 6 étapes selon la CNIL :

  1. Désigner un pilote,
  2. Cartographier les traitements de données personnelles,
  3. Prioriser les actions,
  4. Gérer les risques,
  5. Organiser les processus interne,
  6. Documenter la conformité.

Pour rester dans l’esprit de ces étapes nous proposons de vous accompagner sur un projet de mise en conformité en 9 phases comme suit (cliquer sur l’image pour l’agrandir) :

RGPD Projet de Conformité en 9 phases
RGPD Projet de Conformité en 9 phases

Ce type de projet vous permet d’obtenir une évaluation de votre conformité au Règlement européen, d’avoir une cartographie complète de vos traitements et un plan d’action d’amélioration pour être en conformité. L’ensemble des résultats obtenus permet au DPO de prendre en charge immédiatement le maintien de cette conformité et le pilotage du plan d’action.

Services de consulting

Nous menons les projets liés à la conformité RGPD en partenariat avec la société Veyan, notre offre conjointe de services est très diversifiée :

  • Évaluation flash de maturité au RGPD et à la sécurité des données.
  • Pilotage complet du projet de mise en conformité RGPD.
  • Sensibilisation au Règlement et aux bonnes pratiques de sécurité.
  • Coordination du plan d’action d’amélioration.
  • Aide au déploiement des processus de la sécurité des données.
Publicités

Vos systèmes d’information sont vulnérables face aux cyberattaques

Des attaques toujours plus sophistiquées.

Chefs d’entreprise, les cybercriminels sont embusqués derrière vos portes électroniques ! La révolution numérique a fait apparaître un nouveau type d’attaques: les attaques sur Internet qui, selon les statistiques, s’accroissent à un rythme exponentiel, tout autant que leur sophistication. C’est que la ressource électronique est considérable, voire inépuisable, qu’il devient facile techniquement d’y accéder, il suffit d’être connecté, que l’activité est particulièrement rentable et qu’elle s’effectue la plupart du temps en toute impunité.

Comme au temps des attaques de diligences, vous ne les voyez pas, mais ils vous guettent, ils cherchent à déceler vos vulnérabilités et le moment opportun pour dérober vos données sensibles et stratégiques; neutraliser votre système informatique, saboter votre site e-commerce ou votre entreprise; porter atteinte à son image; s’approprier vos innovations technologiques!

Ce sont les TPE-PME les plus vulnérables.

Selon les experts 14 millions de Français ont été les victimes de piratages informatiques en 2016, dans un récent rapport Symantec montre l’ampleur du phénomène en indiquant que 77% des PME ont fait l’objet d’attaques sur le territoire français cette année, et il précise que ce sont les TPE-PME qui sont les plus vulnérables. En effet, les grandes entreprises sont en général bien organisées contre ces nouvelles menaces grâce à la présence en leur sein de professionnels qui mettent en place un système optimum de sécurité numérique.

Les faits montrent, en revanche, que les TPE-PME, non seulement ne disposent pas d’une telle protection, mais surtout qu’elles ne sont pas informées sur la menace et, en conséquence, sur la nécessité de prendre urgemment des mesures d’organisation pour se protéger. En outre, faisant le plus souvent partie de l’écosystème de grandes entreprises, elles sont toujours les victimes collatérales des attaques informatiques régulières dirigées contre ces dernières.

Si votre entreprise était touchée, auriez-vous la capacité de tout reconstruire ? Que faire en cas d’attaque ? Et en cas de fuites de données confidentielles ? Comment gérer ce type de crise ?

Chefs d’entreprise de TPE et PME, comment vous protéger ?

Un exercice d’introspection préalable est nécessaire afin de déterminer ce que vous devez protéger, à quel degré, et dans quel ordre de priorité. C’est une évaluation des risques ou comme l’exige le RGDP un analyse d’impact.

eval-risques

Puis, en fonction des vulnérabilités constatées avec les spécialistes, il convient d’organiser votre espace et votre outil de travail. Une organisation efficace en terme de gestion de la sécurité des SI et de la qualité de ses processus opérationnels doit s’appuyer sur trois piliers : la Technologie, ses Processus et ses Ressources humaines.

L’objectif technologique est d’empêcher toute intrusion physique et électronique et garantir la résilience de l’entreprise, en agissant sur l’infrastructure et l’équipement des pièces, en définissant une architecture de réseau en fonction de vos besoins, et également en installant un arsenal défensif préventif (firewall, proxy, antivirus, antispam) ainsi que les outils permettant une sauvegarde professionnelle de vos données.

En parallèle de cette démarche technologique, il s’agira de mettre en place une politique de sécurité des systèmes d’information (SSI) pragmatique. Celle-ci devra spécifier la répartition des responsabilités SSI au sein de l’entreprise, l’ensemble des processus qui contribueront à maintenir la sécurité, l’organisation du site, des hommes et des réseaux, l’arsenal défensif préventif choisi, une charte informatique qui définisse l’usage professionnel et privé de l’entreprise avec des règles et des procédures de sécurité dont il faudra veiller à la stricte application, une stratégie de reprise après une attaque, fondée sur un arsenal défensif curatif (sauvegarde professionnelle, archivage, plan de reprise ou de continuité d’activité, …).

Finalement, il sera nécessaire de former et d’entraîner votre personnel afin de réduire les vulnérabilités et d’assurer un maîtrise des comportements en cas d’incident et des actions préventives.

A cet égard l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la CGPME présentent, dans leur Guide des bonnes pratiques de l’informatique, des règles essentielles et pragmatiques pour la sécurité des systèmes d’information des petites et moyennes entreprises que nous vous recommandons.

Services de consulting

Pour faire face aux dangers de la cybercriminalité et vous en prémunir, nous pouvons vous accompagner en vous apportant des conseils et des solutions adaptées et pragmatiques pour vous permettre d’assurer la sécurité de vos données sensibles et faire face aux menaces visant vos systèmes d’information, notamment en :

  • établissant un diagnostic personnalisé au sein de votre entreprise ou avec vos prestataires (audit),
  • organisant l’espace et les outils de travail pour une protection optimum,
  • élaborant une politique et des processus de sécurisation des systèmes d’information,
  • sensibilisant et en formant vos Managers et vos collaborateurs,
  • rééquilibrant les trois piliers au sein de l’organisation, en particulier sur l’axe humain, pour rendre la prévention des risques plus efficiente et pérenne.

Le RGPD c’est quoi ?

Le contexte réglementaire est de plus en plus présent dans la sphère des systèmes d’information, suivant en cela l’importance grandissante que nous donnons par nos usages à ces systèmes.

C’est le cas du nouveau Règlement Européen pour la Protection des Données RGPD, GDPR en anglais. Ce texte publié en avril 2016 sera applicable le 25 mai 2018 dans tous les pays de la communauté européenne. Il apporte des évolutions importantes quant aux exigences de conformité et aux conséquences d‘une non-conformité. L’enjeu pour les organisation est donc de mettre en place les processus nécessaires à cette conformité au RGPD avant l’échéance de 2018.

Voici en vidéo un tour d’horizon des principales questions qui se posent :

Sécurité des données à caractère personnel

La cybercriminalité cause des préjudices importants, ce qui conduit à une réflexion sur le management de l’information. Une étude en 2017 a chiffré à 3 millions d’euros le coût moyen pour une entreprise victime de cyberattaques. Le plus intéressant consiste à déterminer les origines des failles ayant permis les cyberattaques. Dans 48% des cas, il s’agit d’une défaillance humaine, preuve que la sensibilisation des collaborateurs en matière de protection du cyberespace n’est pas acquise dans les entreprises.

Data protection
La protection des données, une affaire de sécurité.

Le texte européen expose un grand nombre d’exigences dont la finalité est d’assurer la sécurité des données personnelles de la « personne concernée ». L’examen de ces exigences montre qu’elles sont particulièrement structurantes. Il montre aussi qu’elles sont mutualisables avec des pratiques de gestion vouées à la sécurité des processus de l’organisation, par exemple l’analyse d’impact citée par le règlement qu’il convient d’aligner et de mutualiser avec l’analyse de risque SSI déjà en place dans beaucoup d’organisation comme le préconise l’ANSSI dans son Guide d’hygiène informatique (Mesure 41 – Mener une analyse de risques formelle).

Un autre point à prendre en compte vis à vis du règlement est la nécessaire implication d’un panel très étendu de parties prenantes, allant bien au-delà de la seule sécurité des systèmes d’information.

Pour répondre à ce besoin de conformité au meilleur coût global, il convient donc de mettre en place une démarche permettant d’identifier toutes les synergies possibles entre la conformité au règlement et la gestion des risques sécurité. Cette démarche permet notamment de valoriser les pratiques existantes et de développer des nouveaux processus fortement mutualisés pour les deux finalités.

Aspects économiques

Si la conformité au RGPD est indispensable, elle est aussi un centre de coût, autant lors de l’atteinte de la conformité que lors de son maintien.

eval-risquesDes amendes ou sanctions sévères sont prévues en cas d’infraction au règlement. L’amende maximale s’élèvera à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel, la valeur la plus élevée étant retenue, ce qui représente un coût colossal pour la plupart des organisations. Le RGPD confère au responsable de la protection des données un rôle beaucoup plus important en raison de l’impact des amendes ou sanctions potentielles en cas d’infraction.

Pour qu’un projet de mise en conformité soit bénéfique à l’entreprise, il est indispensable de maîtriser ses coûts, cette maîtrise repose sur :

  • des processus adaptés au plus juste à l’organisation,
  • une recherche systématique de synergies.

L’objectif, lors de l’élaboration du schéma d’évolution puis lors de la mise en oeuvre du plan d’action de mise en conformité, est de concevoir une organisation et des processus qui soient pertinents et réalistes dans le contexte, au moment du projet et au cours des années à venir.

Un nouveau rôle dans les organisations : DPO

La désignation d’un Data Protection Officer (DPO), successeur du CIL – Correspondant Informatique et Libertés, est obligatoire en mai 2018, notamment dès lors que les entreprises feront des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensibles. Le DPO sera également obligatoire pour le secteur public, quel que soit la nature du traitement.

Au sein de chaque organisme concerné, le DPO sera le chef d’orchestre de la conformité. Il devra être consulté sur tout traitement de données à caractère personnel. Il aura son mot à dire en termes de sécurité informatique et de sécurité juridique, il contribuera aussi à la valorisation de la donnée car c’est un vrai enjeu de business et d’innovation, il fera en sorte que cette donnée soit traitée dans des conditions de sécurité adéquates pour éviter les risques pour les personnes et pour l’image de l’entreprise.

Nous pourrions vulgariser en disant que le DPO a pour objectif de s’assurer de la conformité de l’entreprise au RGPD mais, en pratique, c’est un peu plus que ça.

qs-numeriqueUn DPO doit mettre en place un environnement de travail qui soit en phase avec le RGPD. Pour cela, il doit être en capacité d’identifier les traitements, applications, flux de données, sites internet et autres traitements de données à caractère personnel (DCP). Il doit également être en capacité d’expliquer des choses complexes de façon simple. Avant d’attaquer la phase d’audit nécessaire à l’exécution de ses missions, il doit d’abord expliquer le règlement, identifier et sensibiliser les différents acteurs qui sont concernés. Les personnes du service informatique, le marketing ou encore les ressources humaines, toutes ces personnes sont différentes, elles ne parlent pas forcément le même langage, au DPO de faire en sorte que ces derniers soient capables de se comprendre pour travailler ensemble.

Une fois cette phase de sensibilisation faite, le DPO peut commencer par faire un état des lieux de ce qui existe, des bonnes et des mauvaises pratiques, ceci afin de prioriser ses missions à venir. S’il ne fait pas cette distinction, il y a fort à parier qu’il passera du temps sur des points éventuellement importants, mais pas critiques.

Le DPO ne décide pas directement : il forme, informe, conseille, fait l’état des lieux, conduit les audits, produit les analyses d’impact, des rapports et des constats relatifs aux façons qu’a l’entreprise de travailler avec les DCP, puis il coopère avec les administrations, comme la CNIL. En pratique il peut être rattaché aux postes de direction, voire à la direction générale de l’entreprise, dans la mesure où c’est à elle que revient la tâche de mettre en place les moyens nécessaires : temps, budget, outils…

Une fois les moyens alloués et mis en place, le DPO suit et accompagne la mise en oeuvre des plans d’actions, il est le point de référence des autres métiers, des compétences et des directions reliées à ces plans. Il joue, ici, autant le rôle de chef de projet que celui de facilitateur.

Le règlement impose aux entreprises de tenir un registre des traitements relatifs aux DCP : qui est le responsable de traitement, quelles données sont collectées, pour quelles finalités, combien de temps… C’est au DPO de créer et maintenir ces registres, cela permet à l’entreprise de savoir ce qui est fait, par qui, quand, comment et pourquoi et ce à tout moment. Cela permet également, en cas de contrôle, de mettre à disposition une cartographie complète des traitements relatifs aux DCP.

L’indispensable outillage et de la méthode

Face aux multiples dispositions du RGPD, le projet de mise en conformité peut représenter un défi complexe. D’autant plus que les efforts et les procédures requis pour satisfaire aux exigences du référentiel peuvent varier selon la configuration des systèmes, des procédures internes et de la nature de l’organisation.

ProcessusLa méthode pour ce type de projet préconisée par la CNIL se déroule en 6 grandes étapes clefs :

  1. Désigner un pilote pour le projet,
  2. Cartographier les traitements de données personnelles,
  3. Prioriser les actions à mener,
  4. Gérer les risques,
  5. Organiser les processus internes,
  6. Documenter la conformité.

Une première cartographie à l’aide d’outils peut être établi, il sera utilisé comme guide de référence du projet pour mettre en oeuvre des politiques et des procédures adaptées à la situation et aux besoins de l’entreprise.

Nous traitons, dans notre offre de services, de la manière la plus simple et la plus efficiente d’offrir aux organisations les moyens et les outils leur permettant un gain de temps maximal dans la gestion de leur conformité RGPD.

Le RGPD est entré en application le 25 mai 2018. La CNIL, régulateur des données personnelles et Bpifrance, ont uni leurs moyens pour élaborer un guide pratique qui réponde aux interrogations des entrepreneurs et leur propose un accompagnement pragmatique et adapté pour passer à l’action. La mise en place du RGPD est aussi l’occasion pour les TPE et PME de progresser dans leur maturité numérique.

La protection des données médicales

Une protection des données médicales encadrée en France

La France possède un régime juridique particulier sur la protection des données médicales, ce dit régime étant particulièrement efficace. De plus, la CNIL assure une surveillance particulière des dites données et elle délivre régulièrement des informations pratiques destinées à renseigner les professionnels de la santé et les patients.

Un cadre juridique et réglementaire complet

La France s’est doté la première d’un régime juridique spécifique aux données personnelles et à l’utilisation des données personnelles en général. En effet, la loi dite Informatique et Liberté promulguée le 06 janvier 1978 a pour objet spécifique de protéger le traitement des données à caractère personnel.

Le caractère sensible de cette catégorie de données, qui permet ainsi de catégoriser les individus en fonction de différents critères (identité, ethnie, sexe, état de santé …) justifie à lui seul la mise en place d’une protection. Si cette loi s’attache à traiter de la protection de l’ensemble des données dites à caractère personnel, la loi dite « Kouchner » promulguée le 4 mars 2002 a pour objet de s’intéresser particulièrement aux données médicales ou données de santé à caractère personnel.

Ainsi, l’article L. 1111-7 du code de la santé publique met en place pour les patients les conditions d’accès à leurs données relatives à leur santé. Lorsqu’un individu souhaite avoir accès à n’importe quel document dont le contenu est relatif à son état de santé, par exemple une feuille de consultation ou une ordonnance médicale, ce dernier peut demander directement ou par le biais d’un professionnel de santé accès à ce document. Il est une fois de plus intéressant à noter que la loi rappelle le caractère à la fois informatique ou non d’une donnée dite médicale, l’interprétation de la loi ne peut ainsi pas permettre d’abus de langage allant dans le sens d’une stricte interprétation informatique du terme de donnée.

Cependant, l’article L. 1111-8 du code de la santé publique s’attache plus précisément à la licéité de l’hébergement et du traitement de données de santé. Ainsi, dans le cadre d’opérations de soins ou de diagnostic, les données de santé collectées peuvent uniquement être hébergées auprès de personnes physiques ou morales qui sont agréées à cet effet. Le décret n°2006-6 du 4 janvier 2006 définit, quant à lui, les conditions d’agrément des hébergeurs de données de santé sur support informatique. Ses dispositions ont été insérées aux articles R.1111-9 et suivants du code de la santé publique.

De plus, cet hébergement de donnée de santé ne peut être effectué qu’après consentement exprès de la personne concernée. Enfin, les dispositions du code de la santé publique rappellent que le traitement de telles données doit évidemment respecter les conditions posées par la loi Informatique et Libertés.

Ainsi, aux vues de tout ce qui a été énoncé, la France s’est progressivement dotée au fur et à mesure des années d’outils juridiques efficaces dans la protection et surtout dans la prévention des atteintes potentielles portées aux données médicales.

Les professionnels de la santé sont ainsi encadrés lorsqu’ils sont amenés à travailler avec des données médicales. Par exemple, un pharmacien stocke des données issues de la lecture d’une carte vitale d’un patient ou d’une ordonnance sur des serveurs spécialement habilités à recevoir des données à caractère personnel. De plus, le secret médical imposé par la déontologie des professions relatives au milieu de la santé interdit toute divulgation de donnée médicale à autrui sans accord de ce dernier ou au détriment des conditions posées par la loi.

A ce titre, même si la loi pose des interdictions et des conditions de traitement des données médicales qui sont claires, le rôle de la CNIL dans le traitement de telles données reste non négligeable puisqu’elle assure un suivi pratique dans le suivi des dites données.

Des recommandations pratiques de bon sens aux utilisateurs

La CNIL ou Commission Nationale de l’Informatique et des Libertés a pour objet spécifique de protéger les données personnelles ainsi que de préserver les libertés individuelles de chaque individu. À ce titre, la CNIL accorde une attention particulière à la manière dont sont effectués des traitements de données à caractère personnel. Pour se faire, la CNIL utilise souvent des recommandations faites aux entreprises ou aux professionnels concernés afin de rappeler les pratiques idéales à effectuer suivant la situation. Dans le cas de la protection des données médicales, la CNIL s’est prononcée sur les modalités optimales à adopter dans le cas où un professionnel de santé héberge ou traite des données médicales.

La CNIL commence par rappeler la nécessité première de maintenir le degré de confidentialité des données de santé au même rang que celui du secret médical. Pour se faire, la CNIL donne des indications d’ordre technique qui, si elles peuvent paraître acquises pour de plus en plus de gens aujourd’hui au regard de l’ouverture du milieu informatique au grand public, reste nécessaire, voire indispensables dans certains cas, pour s’assurer d’un minimum de sécurité sur les données hébergées.

Dans un premier temps, la CNIL donne des recommandations relatives à la sécurité informatique minimale à adopter : un mot de passe doit être mis en place sur l’ordinateur et ce dernier doit faire l’objet d’un arrêt complet à chaque absence du professionnel de santé. De plus, il est recommandé par la CNIL de ne jamais faire de copie de son mot de passe pouvant être lu ou intercepté par un tiers non autorisé à accéder au système informatique. A ce titre, rappelons simplement que la simple intrusion dans un système informatique sans autorisation constitue à lui seul un délit pénal.

De plus, la CNIL recommande pour le professionnel médical de disposer de supports de sauvegardes externes permettant d’éviter la perte de données, ceci est bien évidement rappelé dans le Guide des bonnes pratiques de l’informatique de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information). En effet, si un client venait à vouloir consulter ses données médicales et que le professionnel est dans l’incapacité de lui fournir, il se rendrait coupable d’un acte illicite, et ce même si la perte de données est liée à un problème technique ou ne dépendant pas de sa volonté.

Si la CNIL prend la peine de rappeler ces points qu’elle considère elle-même comme étant des dispositions de sécurité élémentaires, elle s’attarde également sur le cas où un traitement de données médicales fait l’objet d’une mise en réseau.

Dans un tel cas de figure, la CNIL recommande alors une gestion plus poussée des mots de passe : ces derniers doivent être distincts suivant l’utilisateur qui utilise l’ordinateur, par exemple chaque pharmacien devrait, pour un unique poste informatique dans un office, avoir son propre identifiant et son propre mot de passe. De plus trois erreurs consécutives sur une accès par mot de passe doivent, à l’instar des erreurs lors de l’entrée d’un code PIN erroné, verrouiller le système suffisamment de temps pour freiner les intrus.

De plus, la CNIL ne recommande pas à ce qu’un compte d’un utilisateur puisse être ouvert sur plusieurs postes différents, le risque étant que le professionnel médical n’est pas présent devant l’un de ses postes, ce qui rend accessible les données à un tiers, sauf si les postes en question peuvent être verrouillés avec un système connu uniquement du professionnel de santé. De plus, les données médicales peuvent faire l’objet d’un chiffrement, parfois improprement appelé cryptage, c’est une recommandation forte pour les données personnelles lors d’une exposition sur les réseaux ou sur les appareils mobiles. Ainsi, outre une intégrité des données qui doit constamment être vérifiée au plan informatique, la confidentialité de ces dernières doit être assurée par un chiffrement total ou partiel des données nominatives en fonction des cas. Enfin, dans le cas où l’accès au réseau se fait via Internet, un système de protection comme un pare-feu est hautement recommandé pour prévenir de toute tentative d’interception des données médicales lorsque ces dernières font l’objet d’un flux de transmission.

Afin de garantir la sécurité et la confidentialité des données, il est recommandé aux responsables de structures traitant des données de santé de sensibiliser leur personnel aux bonnes pratiques à adopter. Cette sensibilisation passera par exemple, par des plans internes de sensibilisation à la sécurité informatique et l’adoption d’une charte informatique adaptée aux outils et autres moyens informatiques mis à la disposition du personnel. Par exemple l’ANSSI diffuse un passeport de conseils présentant des règles simples à mettre en œuvre sur sont smartphone, tablette ou ordinateur portable lors des déplacements pour réduire les risques liés au nomadisme des données et des équipements. Ou la CNIL donne des recommandations relatives à la sécurité informatique minimale à adopter comme un bon un mot de passe changer régulièrement pour protéger l’accès aux données ou aux applications.

Conclusion

Au regard de tout ce qui précède, la France dispose sur son territoire d’assistance et de conseils pour les professionnels et d’un arsenal protecteur conséquent pour assurer la confidentialité et l’intégrité des données médicales. Mais Internet n’a pas de frontières et certaines données peuvent être amenées à transiter dans des états étrangers, la protection des données médicales à l’international devient alors beaucoup plus incertaine selon le pays et sa réglementation.

Services de consulting

  • Assistance à la conception du dossier d’agrément hébergement de données de santé,
  • Assistance à maîtrise d’ouvrage pour le choix d’un hébergement agréé,
  • Sensibilisation des personnes aux risques et à la Politique de Sécurité (PSSI),
  • Réalisation d’audit tierce partie de référentiel de management de la sécurité,
  • Audit de conformité aux exigences du référentiel d’agrément, aux déclarations CNIL,
  • Audit d’amélioration des processus liés à la sécurité des données médicales.

Évaluer la démarche de management des processus

Management des processus

team-process-managementLe management des processus est un mode de gestion d’entreprise prenant en compte la stratégie de celle-ci et toutes les activités requises pour les orienter vers les clients, les structurer, les affecter, les documenter, les analyser, les maîtriser et les optimiser. Ceci afin d’améliorer la performance globale de l’organisation.

Chaque processus se caractérise par des objectifs clairs, des tâches, des responsabilités, des enchaînements et des interfaces entre services identifiés et correctement gérés. Il implique la mesure de l’efficacité individuelle et globale des processus dans une optique de recherche permanente d’amélioration et de performance.

Besoin d’évaluation

Il est souhaitable d’évaluer régulièrement la démarche de management des processus à l’occasion par exemple d’une inflexion de la stratégie ou bien pour les structures certifiées à l’occasion d’un changement de version de la norme de certification.

Pour cela il faut commencer par la réalisation d’un état des lieux de l’organisation de l’entreprise et de la démarche de management des processus que ce soit pour : la qualité, la sécurité ou l’environnement. En effet, avant d’intégrer de nouvelles exigences et, le cas échéant, de nouvelles pratiques dans l’entreprise, l’expérience montre qu’il est toujours utile de procéder à une évaluation de l’existant, qui plus est partagée par les acteurs de l’entreprise.

Principes d’évaluation

ProcessusCet état des lieux ou diagnostic peut être réalisé en interne ou bien par un prestataire externe pour en garantir une plus grande objectivité. Le but est d’identifier les points forts de l’organisation et ses points faibles, ou si l’on préfère ses points à améliorer, afin d’intégrer ces résultats dans le plan de mise à niveau du système de management des processus. Le principal facteur de succès d’un diagnostic est l’appropriation des résultats et des actions d’amélioration qui en découlent par l’ensemble des acteurs de l’entreprise.

Les éléments pouvant être évalués, par exemple dans chaque secteur de l’entreprise, peuvent porter sur les points suivants :

  • MISSION
    • Mission, responsabilités
    • Objectifs
    • Moyens humains, matériels, financiers
    • Perception de la stratégie de l’entreprise
    • Autorité sur le système
    • Horizon temporel, perspectives
  • INDICATEURS
    • Quantités (incidents, réclamations, performance, …)
    • Satisfaction client
    • Éfficacité, qualité
    • Coûts
  • PILOTAGE
    • Instances et moyens établis
  • MAÎTRISE DES ACTIVITÉS
    • Activités et points-clés (Risques)
    • Planification
    • Ressources
    • Critères de réalisation, d’évaluation
    • Retours d’expériences
  • DOCUMENTS, INFORMATIONS ET CONNAISSANCES
    • Documents, informations (reçus/émis)
    • Procédures, règles, savoir-faire et connaissances spécifiques
    • Normes et réglementations externes
  • FORCES / FAIBLESSES, DIFFICULTÉS / AMÉLIORATIONS

La synthèse et le plan d’action

A l’issue de ces évaluations une synthèse doit être établie afin de valider et partager les résultats dans l’entreprise. Cette synthèse doit permettre d’identifier des axes de travail et d’éventuels prérequis qui viendront enrichir le plan d’action de mise à niveau du système de management des processus de l’entreprise.

Le modèle d’organisation des processus doit accompagner en priorité la stratégie de l’entreprise avant de définir les processus par une approche issue de l’analyse fonctionnelle technique. Cette approche doit être prise en compte dans l’amélioration et la redéfinition des processus à la suite de l’évaluation globale.

competencesToutes les parties prenantes de l’organisation doivent être impliquées pour le plan d’action : les clients, les fournisseurs, les actionnaires, les salariés et la société en général. Une organisation bien équilibrée s’appuie sur trois piliers pour bien fonctionner : la technologie, les processus et les ressources humaines. Chacun de ces piliers doit aussi être analysés à l’occasion de cette revue des processus pour garder un bon équilibre.

L’amélioration continue et la gestion des risques

Une fois les processus redéfinis et alignés pour soutenir la stratégie de l’entreprise puis cartographiés avec le niveau de détail nécessaire pour piloter leur performance, il reste à expliciter l’approche risques. Il s’agit d’identifier les risques avérés et potentiels par rapport aux objectifs à atteindre, puis d’évaluer leur impact afin d’identifier les moyens de maîtrise nécessaires et suffisants.

eval-risquesCeci peut se faire, par exemple, au travers de revues de processus au cours desquelles les résultats des processus et les bilans des événements indésirables répertoriés permettront d’identifier les éventuels besoins de moyens de maîtrise complémentaires à ceux déjà existant.

Un plan de prévention des risques peut alors être établi, communiqué et suivi en accompagnement de la gestion du changement.

Services de consulting

Le consultant mettra en œuvre une méthodologie générique adaptable à toutes les situations de gestion de problèmes, de projets ou d’amélioration de processus de gouvernance ou de management. Cette méthodologie développée par Arts & Stratèges porte le nom de CASA© et est schématisée comme suit :

CASA

Pour obtenir plus d’informations sur cette méthodologie, veuillez SVP utiliser le formulaire de contact.

 

Système de Management intégré

Les principes d’un Système de Management intégré

Pour une organisation, il est important de conduire ses activités métiers de manière responsable en assurant la qualité des produits et des services fournis et la conformité avec les réglementations applicables liées à la qualité et la sécurité des pays où elle opère.

Pour atteindre cet objectif, un système de management intégré des processus couvrant les aspects Qualité, Sécurité et Gouvernance de l’organisation peuvent être mis en place pour :

  • S’assurer de la conformité avec les réglementations applicables,
  • Fournir un référentiel conforme avec les exigences de ses clients,
  • Attribuer des rôles et des responsabilités clairs à toutes les parties prenantes,
  • Identifier, analyser et gérer tous les risques liés aux activités,
  • Fournir des outils de travail, des technologies appropriées et des procédures permettant la performance au service des clients,
  • Gérer et améliorer de manière continue le système de Management et sa performance, ceci incluant la réduction des impacts négatifs au travers d’une revue constante des objectifs, des cibles, des mesures, découlant sur la mise en œuvre d’action préventives et correctives.

Ces principes guident pour la réalisation des procédures opérationnelles pragmatiques et des accords commerciaux. Cette politique est applicable à tous les projets, opérations, contrats de sous-traitance, organisations et collaborateurs.

ISO 9001 la base du système de Management

Le système de Management des processus qui est embarqué dans toutes les normes ISO traitant de ce sujet est issu de la célèbre norme internationale qualité ISO 9001, voici une courte présentation qui vous explique les grands principes d’un SMQ ou Système de Management de la Qualité :

Cas pratique d’un modèle de processus générique

Un exemple, pour lequel j’ai géré la définition et le déploiement complet, concerne un système de gestion intégré de la qualité, en anglais c’est un QMS (Quality Management System) construit en s’inspirant des bonnes pratiques du référentiel international ISO 9001.

L’organisation à mis en œuvre ce QMS détaillé et très large pour la gestion de ses produits et services client : les bonnes pratiques d’ITIL / ISO 20000 pour la gestion des Services IT et Métiers, celles du référentiel CMMI pour la gestion des projets et le développement des solutions logicielles. Les aspects plus spécialisés de la gestion de la sécurité sont repris de la norme ISO 27001, sans oublier les processus d’amélioration continue.

history

Armé d’une longue expérience acquise dans ces domaines, les pratiques les mieux adaptées à ces opérations et les plus pragmatiques ont été intégrées dans un modèle de maturité des processus CpMM (Common process Maturity Model) qui s’adaptait parfaitement aux besoins de l’organisation. L’objectif étant de standardiser les pratiques sans uniformiser.

La cartographie complète de ce modèle est présentée ci-dessous :

CpMM-card

Ce qui donne en détails :

CpMM-full-card
Cliquez sur l’image pour agrandir

La mise en place et le déploiement de ce modèle et des processus opérationnels déclinés pour une DSI internationale a été complété par une organisation dont voici le modèle :

 

orga
Cliquez sur l’image pour agrandir

Si vous souhaitez développer ces principes et méthodes dans votre organisation ou évaluer leur déploiement, je peux vous apporter conseils et expériences pour formaliser votre projet en utilisant par exemple le modèle CpMM ou les référentiels standards.

Services de consulting

  • Définir et mettre en place un système intégré de Management couvrant tous les domaines opérationnels de l’organisation, déclinaisons des bonnes pratiques en processus opérationnels.
  • Mise en place d’une gouvernance des processus et du système d’amélioration continue, définir les objectifs, les méthodes de suivi et de reporting.
  • Définir les objectifs du plan de Démarche de Progrès en fonction des objectifs stratégiques.
  • Identifier les sources potentielles de progrès  en terme de qualité, coût, délai.
  • Déployer les pratiques d’amélioration continue, organiser l’audit interne, préparer aux méthodes d’audit et d’amélioration type Kaizen.

Conformité pour l’hébergement de données de santé à caractère personnel

Définition

Selon l’ASIP qui est l’Agence des Systèmes d’Information Partagés de santé :

« Une entité est soumise à l’obligation d’être hébergeur agréé ou certifiée dès lors qu’elle conserve des données de santé de personnes pour lesquelles elle n’intervient pas dans la prise en charge médicale. »

La CNIL nous donne aussi une définition de ce qu’est une donnée de santé selon le règlement européen (RGPD) :

« Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »

La confidentialité des données de santé à caractère personnel : une exigence légale

Data protectionLe système d’information de santé est un support indispensable dans l’amélioration de la prise en charge des patients, le développement de nouveaux services et des travaux de recherche. Parmi les prérequis essentiels à la mise en oeuvre de ce support, figurent des fondamentaux de sécurité de l’information de santé dont la garantie de protection des données des patients. Le législateur a donc encadré le stockage et la manipulation de ces données sensibles afin de garantir leur pérennité et leur intégrité.

Depuis la loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, l’hébergement des données de santé nécessite l’obtention de l’agrément HADS (Hébergeur Agréé de Données de Santé). Celui-ci est délivré par le Ministère de la Santé selon un processus défini par le décret du 4 janvier 2006, et sur la base du référentiel publié par l’ASIP santé.

L’article L1111-8 du Code de la Santé Publique prévoit que les professionnels de santé, les établissements de santé ou la personne concernée ne peuvent externaliser le dépôt de données de santé qu’auprès d’un hébergeur agréé ou certifié.

Le processus d’agrément

Pour obtenir l’agrément, la politique de confidentialité et de sécurité doit être particulièrement rigoureuse sur les sujets suivants : le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations, la pérennité des données hébergées, l’organisation et les procédures de contrôle interne.

Pour prétendre à l’agrément, les hébergeurs ont à démontrer leurs ambitions et les processus mis en place pour atteindre les exigences de sécurité nécessaires à la protection des données de santé. Cette activité doit répondre aux contraintes de redondance, d’authentification et bien sûr de confidentialité des données personnelles de santé.

concepts-de-planificationL’agrément est obtenu pour trois ans et doit être renouvelé ensuite. Il impose une démarche d’audit en auto-évaluation chaque année, de la réalisation d’un audit tierce partie pour obtenir le renouvellement et peut donner lieu à des contrôles par la CNIL et l’IGAS.

Les candidats à l’agrément doivent avoir à l’esprit que l’agrément prévu par la loi n’est pas une simple déclaration d’activité, mais une démarche importante, tant sur le plan du dossier de demande qu’une fois l’agrément obtenu. Le dispositif d’hébergement en projet doit être mis en cohérence avec les exigences du décret. La formalisation et la documentation de l’existant et la construction du dossier de demande d’agrément doivent être effectuées en conformité avec le référentiel publié par l’ASIP santé.

Depuis le 1er avril 2018 il n’est plus possible de déposer des demandes d’agrément, il faut dorénavant se faire certifier avec l’aide d’un organisme de certification accrédité par le COFRAC. Les hébergeurs agréés avant cette date ont un délais poussé jusqu’à la fin de leur agrément pour se faire certifier.

La certification des Hébergeurs de Données de Santé

Depuis le 1er avril 2018, la législation encadrant l’hébergement des données de santé (HDS) impose à tout hébergeur d’être titulaire d’une certification, délivrée par un organisme accrédité, en remplacement de l’ancienne procédure d’agrément.

Le nouveau dispositif de certification du système de management de la sécurité des systèmes d’information des hébergeurs de données de santé à caractère personnel a été prévu par la loi du 26 janvier 2016 sur la modernisation du système de santé.

Le changement de procédure, une certification en remplacement de l’agrément, vise à instaurer une meilleure évaluation de la conformité, sur la base d’un référentiel, à accroître la fiabilité du contrôle des exigences grâce à des audits menés sur site, là où il se limitait auparavant à une analyse documentaire du dossier de demande d’agrément.

Toutes les données de santé à caractère personnel ne sont pas concernées par ce dispositif de certification. Seules celles hébergées par un tiers sur un support numérique et recueillies à l’occasion d’une prise en charge sanitaire ou médico-sociale, à l’occasion de consultations médicales par exemple, sont couvertes par cette obligation. Les autres données de santé relèvent quant à elles de la surveillance de la Cnil ou d’un agrément ministériel.

Ce dispositif s’applique à tout hébergeur de données de santé qui propose des services à des responsables de traitements localisés en France ou à des patients pris en charge en France. Néanmoins, il peut arriver que les données de santé soient stockées sur des serveurs localisés à l’étranger. Pour dépasser les frontières et s’aligner sur des standards partagés dans le monde entier, le référentiel de certification HDS s’appuie sur des normes internationales :

  • La norme ISO 27001 complète pour le « système de gestion de la sécurité des systèmes d’information – SMSI» ;
  • Des exigences de la norme ISO 20000-1 pour le « système de gestion de la qualité des services informatiques » ;
  • Des exigences de la norme ISO 27018 portant sur la « protection des données à caractère personnel ;
  • Et des exigences spécifiques à l’hébergement de données de santé.

Un processus de certification peut conduire à deux types de certificats proposés aux hébergeurs en fonction de leur activité :

  • Un certificat « hébergeur d’infrastructure physique », pour la mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle, habituellement nommé salle blanche ou hébergement sec ;
  • Un certificat « hébergeur infogéreur », pour la mise à disposition d’infrastructure virtuelle, de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

L’hébergeur peut demander une certification sur un seul ou les deux périmètres de certification. Le certificat est valable trois ans, il est délivré par un organisme certificateur accrédité qui certifie le système de management de la sécurité des systèmes d’information de l’hébergeur de données de santé.

L’ASIP Santé a publié un article sur les nouveaux horizons pour les hébergeurs de données de santé qui permet de mieux comprendre ce changement en 2018.

Services de consulting

  • Assistance à la conception d’une organisation visant la certification HDS,
  • Assistance à maîtrise d’ouvrage pour le choix d’un hébergement agréé ou certifié,
  • Conseil pour l’analyse de risque avant la définition d’une Politique de Sécurité (PSSI),
  • Conseil sur a mise en oeuvre du système de management de la sécurité (SMSI),
  • Formation à la réalisation des audits d’auto-évaluation HDS,
  • Réalisation d’audit tierce partie de renouvellement HDS,
  • Audit blanc de conformité aux exigences du référentiel de certification ou de la PGSSI-S,
  • Audit d’amélioration des processus opérationnels, support de l’hébergement.

Exemple de prestation d’évaluation d’un référentiel HADS.

L’hébergement agréé de données de santé

sante-data-healthLe métier d’hébergeur de données de santé est de construire, en tant que responsable de traitement ou en support essentiel de celui-ci, les conditions de la sécurité et de la licéité des traitements de données de santé à caractère personnel.

Il faut pour cela appréhender l’application de gestion des données de santé, les conditions d’usage, les types d’utilisateurs, imaginer des solutions techniques, organisationnelles, contractuelles permettant de faciliter le travail coopératif des professionnels de santé au bénéfice du patient, sans jamais transiger sur les droits et la protection de ce dernier. La matérialisation par des ressources n’est que le fruit de ce processus dans lequel réside la véritable valeur ajoutée de l’hébergeur agréé.

La régulation est en ce domaine essentielle, car la protection des données personnelles de santé est un impératif et on ne peut admettre que l’essor des nouveaux services et usages du numérique, en particulier du Cloud ou du Quantified-Self, se fasse au détriment du respect de l’intimité de la vie privée de chacun.

Les Hébergeurs Agréés de Données de Santé (HADS) sont des industriels des TIC acceptant des ambitions de sécurité et de confidentialité spécifiques aux données de santé et s’inscrivant dans une démarche structurante d’agrément par le ministère de la Santé.

L’hébergement de données de santé à caractère personnel relève d’un régime spécifique exigeant, précisé par un décret du 4 janvier 2006. Ce décret s’impose à toute personne physique ou morale souhaitant assurer l’hébergement de données de santé à caractère personnel mentionné à l’article L. 1111-8 du Code de la Santé. Le décret précise les conditions à remplir pour obtenir cet agrément.

La politique de confidentialité et de sécurité (PSSI) de l’hébergeur sera particulièrement rigoureuse sur les sujets suivants : le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations, la pérennité des données hébergées, l’organisation et les procédures de contrôle interne. L’hébergeur de données de santé relève d’un agrément du ministre de la Santé.

Cette présentation est extraite du livre blanc de l’AFHADS auquel j’ai contribué et qui est publié sur le site de la revue DSIH.

Si vous souhaitez consulter un exemple de PSSI à mettre en oeuvre pour ce type d’hébergement, voici un document que j’ai publié avec l’AFCDP pour montrer le périmètre d’une politique de sécurité opérationnelle dans ce cadre.

Si vous souhaitez avoir une présentation plus détaillée sur le référentiel d’agrément et les contraintes réglementaires, ou sur la structure de gouvernance et de processus à mettre en place, n’hésitez pas à me contacter via le formulaire de contact.

Les récentes évolutions légales de l’hébergement agréé des données de santé ont étendu les domaines de santé couverts et le champs d'application de cet agrément. L'association des hébergeurs agréés (AFHADS) a d'ailleurs affiché une position "critique" sur l'évolution du cadre légal de l'HADS.

AFHADS – Hébergement de données de santé

afhads-logoL’Association Française des Hébergeurs Agréés de Données de Santé AFHADS veille aux garanties professionnelles et à l’amélioration de la sécurité des données personnelles de santé. Elle assure la promotion de l’agrément, établit une doctrine commune entre tous les hébergeurs agréés et représente ses membres auprès des agences nationales comme l’ASIP au sein du Ministère de la Santé ou la CNIL.

J’ai pris le rôle de Trésorier fondateur de l’association à sa création en 2010 et j’ai été membre actif des groupes de réflexion, en particulier sur la standardisation de la sécurité et de la protection des données de santé au sein des groupes de travail de l’ASIP, plus particulièrement sur la Politique Générale de Sécurité des Systèmes d’Information de Santé PGSSI-S.

Dans le cadre de mes missions professionnelles, j’ai coordonné plusieurs projets d’agrément d’hébergement de données de santé (HDS) au sein du groupe Cegedim qui ont abouti à l’un des premiers agréments hébergeurs en France en février 2010. Cette coordination portait sur l’ensemble du périmètre opérationnel d’hébergement, que ce soit au niveau des rôles et responsabilités, des processus IT et du management de la sécurité du SI.

Protéger les données de santé

Le Quantified-Self

qs-numerique

Pour présenter simplement cette discipline, le Quantified-Self est la pratique qui consiste à se mesurer soi-même et à partager ses données en utilisant la technologie.

Cette « mesure de soi », qui consiste à quantifier son propre quotidien en mesurant toute sorte de paramètres personnels afin d’en suivre l’évolution dans le temps, s’applique à tous les domaines de la vie quotidienne et personnelle, les deux principaux sont : la santé et la performance physique.

Pour la santé, il s’agit par exemple de mieux vivre avec une maladie chronique grâce à une auto-surveillance de son état de santé, une amélioration de sa nutrition, de son sommeil et une surveillance accrue de ses données vitales, à commencer par son poids. Tandis que, pour la performance physique, il s’agit de se comparer à d’autres et de s’améliorer en se fixant des objectifs et en s’imposant des programmes pour les atteindre.

Le groupe de travail

Le groupe « Quantified-Self » de L’Association Française des Correspondants à la protection des Données à caractère Personnel AFCDP, actif depuis septembre 2012, a produit un rapport intitulé « Quantified Self et Informatique et libertés » auquel j’ai contribué activement.

L’AFCDP est l’association représentative des Correspondants Informatique et Libertés (CIL), elle regroupe plus largement toutes les personnes intéressées par la protection des données de santé à caractère personnel, aux profils divers : avocats, spécialistes RH, informaticiens, responsables de la sécurité des systèmes d’information (RSSI), professionnels du marketing… l’AFCDP encourage la discussion et les échanges en matière de protection des données personnelles en vue notamment de promouvoir de meilleures pratiques.

Ce rapport présente la synthèse des travaux accomplis depuis un an par les onze experts en protection des données de santé dont je faisais partie dans le domaine des nouvelles technologies et des systèmes de santé connectés.

Quantified Self connecté et Informatique & Libertés

Après avoir présenté le contexte « technique » du Quantified Self connecté, avec son dispositif type, ses acteurs, les flux de données, les services associés, ce rapport aborde la question du traitement des données à caractère personnel et des réglementations applicables y compris dans le domaine de la santé.

Il propose notamment un arbre de décision qui vise à aider les personnes en charge de la conformité Informatique et Libertés dans leurs réflexions. Le sujet de l’hébergement agréé des données de santé à caractère personnel y est aussi abordé.

Enfin, une bibliographie succincte est jointe en annexe.

Téléchargement

Le rapport est disponible en téléchargement gratuit sur le site de l’ASIP (Agence des Systèmes d’Information Partagés de santé)