La FAQ d'InterHop
Bonjour,
C’est pour répondre aux questions que tu te poses sur le RGPD que nous avons voulu créer cette FAQ.
Nous avons d’ailleurs beaucoup appris en la construisant.
Tu as accès à notre FAQ 24h/24 et 7j/7. Elle est libre.
La FAQ, l'équipe d'InterHop l'a voulue dynamique, c'est-à-dire que tu entreras ta question, tes mots clés, pour arriver sur la page sur laquelle tu trouveras la réponse.
N’hésite pas à nous poser, par mail (dpd@interhop.org), les questions auxquelles tu n’auras pas trouver de réponse dans la FAQ. Tu nous aideras à l'enrichir.
Nous voulons faire des réponses simples et concises. Tu peux nous tirer les oreilles si nous sommes trop techniques à ton goût, ça nous permettra de nous réajuster.
En fait, notre but c’est de te rendre autonome dans la mise en œuvre de bonnes pratiques concernant le RGPD.
-
Notre FAQ est libre, ça veut dire tu peux y avoir accès sans don. Cependant, je dois t'avouer que tu nous aides en participant par le biais d'un don (même petit). Le don nous aide à continuer à développer des outils sécurisés.
-
Tu peux aussi vouloir faire une veille, poser une question pour t'aider à comprendre et à appliquer le RGPD dans ta structure, bref ! Allez plus loin. Alors InterHop met à ta disposition les ressources nécessaires (juriste, ingénieurs, informaticiens, DPO…). Si besoin, nous sollicitons l’autorité de contrôle pour t'aider et poser la bonne question. Dans tous les cas, tu obtiens une réponse écrite entre 24 et 72 heures.
Dans ce cas là, on estime notre travail de recherche à 50 euros par question (recherches, échanges en équipe, lien avec toi, suivi...).
- Si tu veux qu'on t'aide à appliquer, on remplira ensemble un cahier des charges pour répondre réellement à ta demande et te satisfaire. On établira un devis en adéquation avec la mission que tu veux nous confier.
Dans tous les cas, j’espère que notre FAQ fera ton bonheur :)
À bientôt,
L'équipe d'InterHop
Pour la sécurité des données,
Dans un premier temps, vous allez définir les bonnes pratiques à mettre en œuvre pour protéger les données que vous collectez. Les questions à vous poser sont les suivantes :
• Quelle est la nature des données que je vais traiter ?
• Quels traitements vais-je réaliser ?
• Sur quels supports les données que je traite reposent-elles : matériels, logiciels, canaux de communication, supports papier ?
• Quels risques présente chaque traitement : impacts potentiels sur les droits et libertés des personnes concernées (accès illégitime, modification non désirée, disparition…) ?
• Quelles sont les sources de risques : sources humaines internes et externes, source non humaines internes et externes ?
• À quelles menaces pourrais-je être réellement confronté ?
• Et quelles pourraient en être les causes : évènements et/ou supports mis en cause ?
• Ai-je déjà pris des mesures de prévention et de gestion des risques ? Quelles sont-elles?
• Quelle serait la gravité si le risque se produisait ?
• Quelle est la vraisemblance des risques évalués ?
• Les mesures techniques et organisationnelles mises en oeuvre sont-elles adaptées, doivent-elles être réajustées ?
Sources et ressources :
Article 34 de la loi du 6 janvier 1978 modifiée, dite loi Informatique et Libertés ;
Article 32 du RGPD
Et ici
Mon avis de DPD/DPO
C’est en forgeant qu’on devient forgeron ! Alors entraînez-vous :)
- Réfléchissez à la protection de la vie privée dès la naissance de vos projets ;
- Testez les pratiques que vous allez mettre en oeuvre ;
- Respectez les principes relatifs au traitement des données à caractère personnel ;
- Établissez un plan d’actions pour vous aider à améliorer vos pratiques !
- Réévaluez régulièrement vos pratiques en les questionnant !
Pour la sécurité des données,
Sécuriser les données que vous collectez exige de la rigueur. Vous n’êtes pas à l’abri d’actes malveillants, et puis prendre soin de vos patients fait partie de vos missions.
Ensemble, nous allons ordonner les pratiques techniques et organisationnelles à mettre en œuvre et nous détaillerons chaque pratique au fil des semaines à venir.
Vous aurez à réaliser ces pratiques ou à vérifier qu’elles sont correctement réalisées :
- Réfléchir aux mesures de sécurité à mettre en œuvre dès la naissance des projets ;
- Évaluer le niveau de sécurité des données traitées ;
- Utiliser les techniques qui permettent de garantir l’intégrité, l’authenticité et la confidentialité de l’information ;
- Identifier, donner les accès nécessaires pour répondre aux besoins et accompagner les utilisateurs, notamment en les aidant à comprendre les enjeux ;
- Tracer les accès, prévenir et gérer les incidents ;
- Protéger les postes de travail fixe et mobile, ainsi que le réseau informatique interne en limitant les fonctions réseau aux besoins ;
- S’assurer que les serveurs, les matériels réseaux et les locaux les hébergeant font l’objet de mesures de sécurité renforcées ;
- Vérifier que le site web, quel qu’il soit, garantisse son identité et la confidentialité des informations transmises ;
- Effectuer régulièrement des sauvegardes et organiser la continuité du service ;
- Organiser un archivage sécurisée des données ;
- Organiser la maintenance et la destruction des données ;
- Encadrer en contractualisant la sous-traitance ;
- Protéger les données transmises à d’autres structures ;
Sources : ici
Mon avis de DPD/DPO
Vous allez me dire que vous n’êtes pas ingénieur informaticien. Je suis d’accord ! Mais vous en savez beaucoup plus que vous ne l'imaginez, ensuite rien ne vous empêche de vous informer, de questionner et d'écouter les experts (aidez-les à se mettre à votre portée !).
Les connaissances en matière d’informatique sont vastes et complexes alors cette semaine j’ai envie de vous dire de vous y mettre tranquillement mais sûrement. Vous verrez, même si le sujet n’est pas à ''se tordre de rire'' au départ, petit à petit il va vous intéresser et vous aurez envie d’avancer dans votre apprentissage.
Pour commencer, ne laissez pas, par exemple, traîner vos mots de passe sur le post-it que vous affichez sur l'écran de votre ordinateur:)
Tout d’abord, votre client est le responsable de traitement. C’est donc lui qui va réaliser l’AIPD comme prévu à l’article 35 du RGPD.
Par contre, vous, en tant que sous-traitant devez aider à la réalisation de la démarche AIPD en donnant toutes les informations que vous détenez, dont le responsable de traitement a besoin. Pour respecter le cadre réglementaire, il vous faut préciser la bonne pratique dans le contrat que vous, sous-traitant, signez avec votre client, le responsable de traitement.
Sources :
- Articles 35 et 28.3.f du RGPD
- Lignes directrices du G29 relatives à l'analyse d'impact
Mon avis de DPD/DPO
Préparer une procédure d'assistance à l'AIPD du sous-traitant. Cette procédure permet de mener à bien la démarche dans de bonnes conditions.
Le prestataire qui va prendre en charge votre prise de rendez-vous, quel qu'il soit, va récupérer des données concernant les patients :
- Identité,
- Coordonnées personnelles,
- Motif et durée de la consultation,
- Renseignements sur la préparation à la consultation,
- ...
Ces informations renseignent sur la santé des personnes des patient.e.s.
Par exemple, une personne qui consulte régulièrement un oncologue à
Bien que la prise de rendez-vous soit confiée à un prestataire, vous êtes, en tant que professionnel.le de santé, le.la responsable de traitement. Vous devez donc respecter les principes du RGPD et les droits des personnes concernées. Pour être en conformité, vous devez aussi penser à compléter le registre des activités de traitement.
Le prestataire que vous aurez choisi sera responsable de traitement des données relatives aux comptes créés par les patient.e.s et des données relatives au compte créé par le.la professionnel.le de santé.
Sources : https://www.cnil.fr/sites/default/files/atoms/files/guide-cnom-cnil.pdf
Mon avis de DPD/DPO
Contractualisez et cadrez toujours le service comme par exemple :
- inscrire dans le contrat la suppression, dès le rendez-vous passé, des données relatives à une consultation (données nécessaires à la préparation d'un examen...),
- respecter le principe de minimisation,
- informez-vous sur le lieu d'hébergement des données relatives à la consultation (est-ce en Europe ou dans un pays qui n'est pas tenu de répondre au RGPD ?).
Poussez le prestataire à améliorer ses outils pour que vous puissiez répondre au mieux à la sécurité des patient.e.s et au RGPD.
Par ailleurs, construisez une procédure concernant la violation des données pour protéger les patient.e.s.
Avant de répondre à la question, faisons un petit rappel sur le consentement.
Le consentement déjà inscrit dans la loi informatique et libertés est défini par le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Le consentement est généralement obligatoire. Il doit être demandé pour respecter le principe de licéité. Il est libre, éclairé, spécifique (il correspond à un seul traitement dont la finalité est déterminée). Il est aussi univoque (pas de cases pré-cochées, pas de consentement pour plusieurs traitements, pas d’inaction pour consentir).
Par ailleurs, le consentement est associé à certains droits et garanties :
- Droit de retrait de manière simple, facile ;
- Preuve du consentement apporté par le responsable de traitement ;
- Âge de la personne concernée : enfants de plus de 15 ans en France ;
- Consentement explicite : le responsable de traitement, pour les données sensibles par exemple, prévoit une case spéciale, ou demande une déclaration écrite et signée, ou envoie un courriel ou encore recueille le consentement suite à l’envoi d’un courriel à la personne concernée qui confirme ensuite son consentement.
Cependant, pour confirmer la règle, il existe quelques exceptions. Notre réponse est donc la suivante : Non, le consentement n’est pas toujours obligatoire !.
Pour aller plus loin, vous trouverez ci-dessous les cas dans lesquels le consentement n'est pas nécessaire :
- Exécution d'un contrat de vente, de location, de travail, etc. ou de mesures précontractuelles comme un devis, des pourparlers, etc.
- Cadre légal rendant obligatoire certains fichiers comme le recensement de la population par l'INSEE ou encore le registre unique du personnel, etc.
- Exécution d'une mission d'intérêt public ou relevant de l'autorité publique comme la constitution de fichiers de police, d’administration fiscale, etc.
- Sauvegarde des intérêts vitaux d'une personne (épidémie, situations de catastrophe naturelle ou d'origine humaine, etc.).
- Intérêt légitime (prévention de la fraude, transferts au sein d'un groupe, sécurité des réseaux, etc.) sauf si les intérêts ou les libertés fondamentales de la personne concernée prévalent.
Sources : Lignes directrices sur le consentement
Mon avis de DPD/DPO
Suite à cette question, il me semble important d’indiquer qu’il est nécessaire de rappeler aux personnes concernées leurs droits. Pour cela, je vous convie à vous approprier, si besoin, les articles 13 et 14 du RGPD.
Vous pouvez prévenir, voire gérer une violation de données en procédant comme suit :
- Identifier et analyser les risques ;
- Établir la procédure de gestion de violation des données à caractère personnel en posant les questions suivantes : Quelles sont les données collectées ? Pour quoi est-ce qu’on collecte les données ? Quels sont les acteurs concernés ? Respecte-t-on les principes des règles de protection des données à caractère personnel ? Quels sont les risques ? Y a-t-il un moment où le risque est plus important ?
- Définir le rôle des collaborateurs ;
- Tester la procédure en mettant en place une alerte ;
- Former régulièrement les collaborateurs à la prévention et à la gestion des risques de violation des données;
- Développer une culture de la prévention.
Mon avis de DPD/DPO
L’Analyse d’Impact relative à la Protection des Données (AIPD) n’est pas toujours requise, cependant à mon sens, il est utile de s’appuyer sur la démarche afin de s’assurer de la bonne mise en œuvre des pratiques au sein d'une structure, quel que soit son statut.
Que les données à caractère personnel aient été accidentellement ou de manière illégale détruites, perdues, altérées, divulguées, ou encore que vous ayez constaté un accès non autorisé, vous devez, sous 72 heures, le signaler à la CNIL si la violation représente un risque pour les droits et libertés des personnes. Vous devez aussi dans ce cas informer les personnes concernées.
Vous pouvez effectuer la démarche auprès de la CNIL en ligne ici.
En interne, vous documentez dans le « registre des violations ».
Mon avis de DPD/DPO
La violation de données est un fait grave, pour que les acteurs responsables au sein de votre structure puissent agir vite et bien, je vous recommande d’élaborer une procédure qui vous aidera à garder la confiance des personnes concernées.
Toute personne concernée par la collecte de ses données a droit à l’information. Le support est choisi par la structure par contre, certaines mentions doivent y être intégrées : les finalités, le consentement de la personne concernée, ce qui autorise le traitement des données en jeu, les personnes ayant accès aux données, la durée de conservation, le cadre des transferts de données hors de l’UE., les modalités pour la personne concernée d’exercice de ses droits :
• pour le droit d’accès,
• pour le droit de rectification,
• pour le droit d’opposition,
• pour le droit d’effacement,
• pour le droit à la portabilité et à la limitation du traitement,
• pour la décision individuelle automatisée, y compris le profilage.
Sources : [article 12 à 23] (https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article12) du RGPD
Mon avis de DPD/DPO
Il est important d'élaborer des procédures qui permettent de garder le lien avec les personnes dont les données à caractère personnel sont collectées et de traiter dès que possible les demandes, même si l'on dispose d’un mois pour le faire.
Les données de santé, données à caractère personnel sensibles, doivent être traitées en toute transparence vis-à-vis des personnes concernées, ici les patients.es.
Dès que le.la professionnel.le de santé collecte des données de santé, les patients.es doivent être informés.es des modalités de traitement de leurs données dans les conditions prévues par les articles 12, 13 et 14 du RGPD.
Les patients.es doivent par ailleurs être informés.es de la manière dont ils.elles peuvent exercer leurs droits.
Le professionnel.le de santé peut informer par voie d'affichage, par le biais d'un dépliant au sein du cabinet ou à domicile, ou encore via un courriel.
Mon avis de DPD/DPO
Il est nécessaire d'expliquer simplement. Un petit dessin, une petite vidéo valent souvent mieux qu'un long discours !
Nous avons défini, dans une question précédente, ce qu’est le registre des activités de traitement au sens du RGPD.
Le format du registre est libre. Il peut être constitué au format papier ou électronique. Le RGPD impose seulement qu’il se présente sous forme écrite.
Ce registre doit contenir au moins les informations suivantes :
- le nom et les coordonnées du responsable du traitement ;
- les finalités du traitement ;
- la description des catégories de personnes concernées et des catégories de données à caractère personnel. Le mot ‘’personne’’ décrit un acteur du système (patient, professionnels de santé, partenaire). Ce peut être une personne physique ou morale ;
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
- les délais prévus pour l’effacement des différentes catégories de données ;
- une description générale des mesures de sécurité techniques et organisationnelles.
Pour vous aider, la CNIL propose un modèle de registre open source que vous pouvez enrichir.
Tags : registre contenu
Mon avis de DPD/DPO
Le registre des activités de traitement au sens du RGPD, en dehors du fait qu’il réponde à une obligation légale, c’est un outil qui vous permettra d’avoir une vue d’ensemble sur le traitement des données confiées. Par ailleurs, la démarche de co-construction vous permettant de le compléter, de l’enrichir vous amène facilement au plan d’actions de mise en conformité au RGPD.
N'oubliez pas que le registre documente la mise en conformité au RGPD. Il donne une preuve de pratiques responsables.
Il est nécessaire de vous en emparer pour toujours mieux sécuriser les données à caractère personnel que l’on vous confie.
Le RGPD, c’est le Règlement Général sur la Protection des Données. En fait c'est une loi européenne appliquée depuis le 25 mai 2018. Le RGPD change les règles pour les entreprises et les administrations qui gèrent des données personnelles. Il sert à encadrer la manière dont ces entreprises et ces administrations vont utiliser les données personnelles qu'elles collectent.
Le RGPD, c’est aussi la réglementation qui redonne, aux résidents européens, le contrôle de leurs données personnelles quant à leur traitement et à leur circulation.
Il reprend des principes déjà existants dans la loi française, loi Informatique et Libertés (LIL).
Les changements pour la personne :
• L'âge du consentement du mineur pour le traitement de ses données personnelles. La France a décidé que ce serait 15 ans (par exemple : avant 15 ans, le mineur doit avoir le consentement de ses parents pour s'inscrire sur un réseau social);
• Le droit à la portabilité des données : si j'utilise un service, je dois pouvoir récupérer toutes mes données collectées par ce service et les transférer à un autre service (par exemple : récupérer mes données d'un service bancaire pour les transférer à un autre service bancaire);
• Les conditions d'utilisation : les structures doivent avoir des conditions d'utilisation, des règles du jeu claires et concises qui encadrent les pratiques de la manière dont elles utilisent les données personnelles qu'elles collectent.
Les changements pour les entreprises et les administrations :
Les entreprises et les administrations doivent être en capacité de prouver que toutes les données personnelles qu'elles collectent sont recueillies légalement, qu'elles ont eu le consentement de l'utilisateur, et qu'elles les conservent bien sécurisées. C'est un tas de précautions et de pratiques qui n'existaient pas avant qu'elles doivent s'approprier et mettre en oeuvre.
Pour conclure, le but du RGPD, c'est d'encadrer la manière dont nos données sont exploitées. C'est un pan majeur de l'économie (numérique) quel que soit le secteur.
Les structures qui ne sont pas conformes au RGPD peuvent être sanctionnées. C'est en grande partie ce qui donne du poids au RGPD.
Tags : rgpd législation
Mon avis de DPD/DPO
À mon sens, le RGPD est une opportunité.
Pourquoi ?
D'abord parce qu'il était grand temps de se protéger, de créer un cadre juridique unifié au sein de l'Europe pour faire face aux enjeux que représentent le traitement des données à caractère personnel. La démarche est, à mon sens, plutôt responsable.
Ensuite, parce que le RGPD est l’occasion de rétablir la confiance en imposant plus de transparence.
Enfin, et pour conclure, parce que l’Europe a su montrer l’exemple, ce qui peut stimuler le reste du monde, voire l'aider à opter pour de nouvelles pratiques plus respectueuses de la personne.
L’Analyse d'Impact relative à la Protection des Données ou AIPD (article 35 et 36 du RGPD) est une démarche de prévention des risques réalisée sur un traitement de données à caractère personnel.
Elle responsabilise les différents acteurs et les amène à construire un traitement des données à caractère personnel conforme au RGPD, donc respectueux de la vie privée de la personne.
L’étude est obligatoire quand le traitement de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées (voir l’article 35 paragraphe 1 du RGPD).
La CNIL a publié une liste de 14 traitements soumis à analyse d’impact,
La liste montre que les traitements de données de santé, de données concernant les ressources humaines, les assurances, les logements sociaux, la géolocalisation à grande échelle sont concernés par l’obligation de réalisation d’analyse d’impact. La liste montre aussi que les établissements médico-sociaux devront systématiquement effectuer une analyse d’impact sur leurs traitements, tout particulièrement quand les personnes concernées sont des personnes dites vulnérables (enfants, personnes âgées, patients par exemple).
Par ailleurs, la CNIL a aussi publié une liste de 12 traitements non soumis à l'analyse d'impact.
Attention !
Une structure est passible d’une sanction pouvant atteindre les 10 millions d’euros ou les 2% du chiffre d’affaires mondial globalisé dans les cas suivants :
- la structure ne réalise pas l'AIPD quand nécessaire,
- l'AIPD n'est pas correctement réalisée,
- la structure ne consulte pas l'autorité de contrôle après une AIPD montrant des risques significatifs.
À noter : analyse d’impact relative à la protection des données, AIPD (Data Protection Impact Assessment, terme retenu dans le RGPD) et PIA (Privacy Impact Assessment, terme plus commun utilisé dans d’autres régions du monde) sont synonymes.
Source :
https://www.cnil.fr
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://afcdp.net/
Mon avis de DPD/DPO
Pour réaliser l'AIPD :
- Appuyez-vous sur la liste de 14 traitements soumis à l'AIPD et sur la liste de 12 traitements non soumis à l'AIPD pour faire le choix de la réaliser ou non,
- Sollicitez l'avis des différents acteurs professionnels. Vous apprendrez plus vite !
- Sollicitez l'avis des personnes concernées,
- Réalisez une AIPD en cas de doute,
- Utilisez l'outil conçu par la CNIL,
- Utilisez l'outil conçu par la CNIL et enrichissez-le de modules ou adaptez-le à votre secteur si besoin, il est open source,
- Apprivoisez la démarche en pratiquant,
- Opérez une veille pour actualiser vos pratiques suite aux décisions et aux positions adoptées par les autorités de protection des données européennes et le Comité européen de la protection des données.
L'AIPD vous aidera à vous poser les bonnes questions. Vous évoluerez en évaluant :-). Elle vous aidera à mettre en oeuvre votre veille. De fait, elle vous motivera et renforcera la responsabilisation des équipes en prenant conscience des risques encourus ainsi que la confiance des personnes concernées.
Globalement l'AIPD vous accompagne dans l'amélioration de la gestion des risques au sein de votre structure. Alors, n'en faites pas l'impasse, de plus au risque d'être sanctionné.
Prévu à l'article 30 du Règlement Général pour la Protection des données ou RGPD, le registre des activités de traitement nourrit la 6ème étape de la mise en conformité au RGPD : il documente la conformité.
Le registre est un outil interne qui recense les traitements des données effectués et qui aide au pilotage de votre structure.
Il se présente sous la forme d’un document dans lequel vous identifiez les intervenants dans le traitement, les catégories de données traitées, les personnes susceptibles d’accéder aux données, les personnes auxquelles elles sont communiquées, la durée de conservation et les modalités de sécurisation des données.
Sources : https://www.cnil.fr
Mon avis de DPD/DPO
La CNIL recommande de tenir 2 registres. Le premier pour les traitements de données personnelles en tant que responsable de traitement et le second en tant que sous-traitants.
Je conseille l'ouverture d'un troisième registre pour les notifications de violations de données à caractère personnel à la CNIL.
À mon sens, le registre n'est pas à négliger, il permet d'améliorer votre gestion des risques et la qualité de vos services.
L'organisme, l'entreprise se met en conformité en 6 étapes
Étape 1. Désigner un pilote
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données ou DPD que l'on nomme aussi Data Protection Officer ou DPO.
Étape 2. Cartographier vos traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles.
L'élaboration du registre des traitements vous permet de faire le point.
Étape 3. Prioriser les actions à mener
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
Étape 4. Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une Analyse d'Impact relative à la Protection des Données (AIPD).
Étape 5. Organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
Étape 6. Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Mon avis de DPD/DPO
De mon point de vue, la constitution d'un comité de pilotage qui se réunit selon un rythme choisi favorise l'engagement des divers acteurs et facilite la démarche (meilleure gestion du temps, efficacité...).
Par ailleurs, pour prioriser les actions à mener, la construction d'un plan d'actions est nécessaire (objectifs, actions, planification, évaluation...), lequel est validé en comité de pilotage quand il existe.
Enfin, demander conseil vous fera gagner du temps et évitera le découragement. InterHop veut conseiller les collectifs, les associations et les petites et moyennes structures à organiser la démarche de mise en conformité avec le RGPD. InterHop s'adresse préférentiellement aux secteurs sanitaire, médicosocial et social.
Source : https://www.cnil.fr
Les données de santé dites sensibles sont des données à caractère personnel relatives à la santé physique ou mentale, passée, présente ou future d’une personne physique qui révèlent des informations sur l’état de santé de cette personne, que ce soit sur le parcours de soins ou en relation avec l’intervention d’autres acteurs comme les plateformes de prises de rendez-vous ou autres logiciels mis à disposition des professionnels de santé.
Mon avis de DPD/DPO
Le chiffrement et la pseudonymisation vous permettront d'améliorer la sécurité les données que vous avez collectées. Grâce au chiffrement, les données seront illisibles par les personnes non habilitées.
Le sous-traitant, c’est la personne physique ou morale de droit public ou de droit privé qui traite des données à caractère personnel pour le compte du responsable du traitement. Le sous-traitant est une personne juridique distincte du responsable de traitement qui est le client. La loi impose un contrôle effectif sur le sous-traitant de la part du responsable de traitement.
Par exemple, GPLExpert, l'hébergeur de données de santé certifié pour le compte d'InterHop, est sous-traitant d'InterHop.
Pour rappel :
- La personne physique c’est « Prénom NOM d’une personne » ;
- La personne de droit privé, c’est une association à but non lucratif ou une entreprise à but lucratif ;
- La personne de droit public, c’est l’État ou les Collectivités territoriales ou encore les établissements publics, les Groupements d’Intérêt Public ;
Mon avis de DPD/DPO
En tant que sous-traitant, il est nécessaire de veiller à vos obligations. La CNIL peut prononcer de lourdes sanctions aux sous-traitants non respectueux de leurs obligations.
Le responsable de traitement, c’est la personne physique ou morale de droit public ou de droit privé qui, seule ou avec un ou plusieurs responsables de traitement, définit les finalités et les moyens d’un traitement (objectif et manière de réaliser le traitement).
La personne morale est en général incarnée par son représentant : gérant d’une SARL, président d’une association, maire pour les CCAS…
Par exemple, InterHop, représenté par son président, est responsable de traitement des données de santé hébergées chez GPLExpert, le sous-traitant et l'hébergeur de données de santé certifié. La personne morale est représentée par le président d'InterHop.
À noter :
- La personne physique c’est « Prénom NOM d’une personne »
- La personne de droit privée, c’est une association à but non lucratif ou une entreprise à but lucratif
- La personne de droit public, c’est l’État ou les Collectivités territoriales ou encore les établissements publics, les Groupements d’Intérêt Public
Mon avis de DPD/DPO
En tant que responsable de traitement, vous devez sécuriser les données que vous collectez :
- En sensibilisant les équipes à la loi informatique, au RGPD, et aux risques informatiques ;
- En établissant une politique de mot de passe ;
- En mettant en oeuvre une procédure de gestion des comptes ;
- En sécurisant les postes de travail ;
- En identifiant les personnes habilitées à accéder aux données ;
- En assurant la confidentialité des données ;
- En sécurisant le réseau local par rapport aux attaques ;
- En sécurisant l'accès aux locaux ;
- En prévenant la perte ou la propagation des données ;
- En construisant la politique de sécurité du système d'information ;
De nombreux professionnels utilisent des outils de discussion et de visioconférence.
Ces logiciels, souvent gratuits, doivent, cependant, toujours offrir des garanties de protection de la vie privée des utilisateurs.
La CNIL rappelle quelques règles de vigilance quant aux applications utilisées :
- Toujours lire les conditions d’utilisation ;
- Ne pas utiliser des applications qui ne garantissent pas la confidentialité des communications ou qui utilisent vos données pour d’autres finalités.
Les outils de visioconférence se basent sur une technologie de VoIP (voix sur IP) qui permet aux utilisateurs de discuter via leur microphone et/ou leur webcam et nécessitent d’être connectés à internet.
La gratuité apparente peut être un modèle économique
Il existe une multitude de modèles économiques pour ces outils, notamment :
- la publicité (qui peut être, sur votre téléphone, in-app ou hors-app) ;
- un abonnement facultatif à un service qui permet d’avoir des fonctionnalités supplémentaires, ou débride certaines fonctionnalités de base (comme le nombre maximum d’utilisateurs simultanés sur un serveur).
La gratuité des applications n’est souvent qu’apparente et elles peuvent rentabiliser leur service en traitant des informations vous concernant, comme vos nom et prénoms, adresse courriel, numéro de téléphone, etc.
Pourquoi faut-il rester vigilant concernant vos données ?
Les applications sont tenues d’informer, de façon complète, les utilisateurs de l’usage fait de leurs données. Il doit notamment être possible de savoir quelles informations sont enregistrées et réutilisées, et dans quel objectif.
Les informations collectées sur vous ne se limitent pas nécessairement à ce que vous avez directement fourni et peuvent s’étendre à d’autres types de données techniques permettant de vous ré-identifier (adresse IP, identifiant de l’appareil, cookies ou technologies analogues).
Dans tous les cas, ces informations ne doivent pas être collectées à votre insu.
Vos conversations, dans un contexte privé ou professionnel, peuvent révéler beaucoup d’informations, soit intimes, soit protégées par une obligation de confidentialité par rapport à vos activités professionnelles.
Quels conseils pour les utilisateurs ?
Avant de télécharger une application
- privilégier les solutions qui protègent la vie privée, certaines peuvent être certifiée par l'ANSSI ;
- éviter de télécharger l’application depuis un site web ou une source inconnus ;
- utiliser seulement les applications pour lesquelles l’éditeur indique clairement comment vos données sont réutilisées (dans l’application elle-même ou sur son site web, par exemple) ;
- lire les commentaires des utilisateurs sur des forums de discussion ou, depuis votre téléphone, dans les magasins d’applications ;
- vérifier que l’éditeur a mis en place des mesures de sécurité essentielles, comme le chiffrement des communications de bout en bout ;
- sécuriser votre réseau Wi-Fi avec un mot de passe robuste, en activant le chiffrement WPA2 ou WPA3 ;
- s’assurer que l’antivirus et le pare-feu sont à jour.
Lors de l’inscription au service
Lorsque c’est possible, limiter le nombre d’informations fournies lors de l’inscription : utiliser un pseudonyme et une adresse mail dédiée, vérifier les options de confidentialité proposées lors de la création du compte, etc. ;
Utiliser un mot de passe différent de ceux utilisés sur les autres services en ligne ;
lire les conditions générales d’utilisation (CGU), notamment ce qui est indiqué en matière de protection des données personnelles, toutes les entreprises fournissant un service à des utilisateurs européens étant tenues d’appliquer le règlement général sur la protection des données (RGPD).
Lors de l’utilisation
- prendre le temps de regarder les paramètres de l’application, notamment en ce qui concerne la protection de votre vie privée (vérifier, par exemple, s’il existe des options permettant de télécharger vos données ou de limiter l’utilisation de certaines informations) ;
- sur votre ordinateur ou votre téléphone, fermer l’application hors utilisation, notamment si le microphone ou la webcam sont activés ;
- désactiver votre microphone et votre webcam hors utilisation. Masquer physiquement la webcam, par exemple avec un bout de ruban adhésif ou un cache est aussi possible ;
- rester particulièrement vigilant(e) en tant que professionnel lorsque des personnes mineures utilisent ces services, notamment s’il s’agit de d’élèves.
Sources :
https://www.cnil.fr/fr/covid-19-les-conseils-de-la-cnil-pour-utiliser-les-outils-de-visioconference
https://www.01net.com/actualites/la-plupart-des-services-de-visioconference-ne-sont-pas-conformes-au-rgpd-1943911.html#comments
https://www.datenschutz-berlin.de/infothek-und-service/pressemitteilungen/
https://interhop.org/projets/esante
Mon avis de DPD/DPO
La plupart des services de visioconférence laissent à désirer, ils ne sont pas conformes au RGPD et ils ont été pointés dans la presse pour leur non-conformité avec le RGPD. Depuis l'annulation du Privacy shield (bouclier de protection des données), je n’utilise plus les services soumis au droit étatsunien comme Microsoft Teams, Zoom, Google Meet, Skype…
Je passe par le Collectif des Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires CHATONS.org qui propose des services en ligne libres, éthiques et décentralisés. Voici un lien que j'aime beaucoup : https://entraide.chatons.org
J’utilise Jitsi (ou Big Blue Button pour des webinars) qui me permet de faire des visioconférences 100 % open source et sécurisées. Le service bénéficie d’une haute qualité audio et vidéo qui permet de faciliter vos échanges à distance entre professionnels de santé ou entre soignants et soignés.
Cette solution ne nécessite pas de création de compte. L’outil est accessible sur PC et Mac mais également sur mobile et tablette.
Lorsque je crée un salon de discussion sur Jitsi, un lien est généré. Ce lien est une clé unique et il me suffit de le copier à mes participants.