La FAQ d'InterHop
Bonjour,
C’est pour répondre aux questions que tu te poses sur le RGPD que nous avons voulu créer cette FAQ.
Nous avons d’ailleurs beaucoup appris en la construisant.
Tu as accès à notre FAQ 24h/24 et 7j/7. Elle est libre.
La FAQ, l'équipe d'InterHop l'a voulue dynamique, c'est-à-dire que tu entreras ta question, tes mots clés, pour arriver sur la page sur laquelle tu trouveras la réponse.
N’hésite pas à nous poser, par mail (dpd@interhop.org), les questions auxquelles tu n’auras pas trouver de réponse dans la FAQ. Tu nous aideras à l'enrichir.
Nous voulons faire des réponses simples et concises. Tu peux nous tirer les oreilles si nous sommes trop techniques à ton goût, ça nous permettra de nous réajuster.
En fait, notre but c’est de te rendre autonome dans la mise en œuvre de bonnes pratiques concernant le RGPD.
-
Notre FAQ est libre, ça veut dire tu peux y avoir accès sans don. Cependant, je dois t'avouer que tu nous aides en participant par le biais d'un don (même petit). Le don nous aide à continuer à développer des outils sécurisés.
-
Tu peux aussi vouloir faire une veille, poser une question pour t'aider à comprendre et à appliquer le RGPD dans ta structure, bref ! Allez plus loin. Alors InterHop met à ta disposition les ressources nécessaires (juriste, ingénieurs, informaticiens, DPO…). Si besoin, nous sollicitons l’autorité de contrôle pour t'aider et poser la bonne question. Dans tous les cas, tu obtiens une réponse écrite entre 24 et 72 heures.
Dans ce cas là, on estime notre travail de recherche à 50 euros par question (recherches, échanges en équipe, lien avec toi, suivi...).
- Si tu veux qu'on t'aide à appliquer, on remplira ensemble un cahier des charges pour répondre réellement à ta demande et te satisfaire. On établira un devis en adéquation avec la mission que tu veux nous confier.
Dans tous les cas, j’espère que notre FAQ fera ton bonheur :)
À bientôt,
L'équipe d'InterHop
Pour la sécurité des données,
En tant que professionnel de santé et responsable de traitement vous devez gérer les utilisateurs en sensibilisant, en authentifiant chaque utilisateur, et en limitant les accès :
-
Sensibiliser aux risques en cas de manquement lié aux libertés et à la vie privée en informant, en formant et en rappelant régulièrement les bonnes pratiques,
Élaborer et diffuser des procédures actualisées en les rendant claires et adaptées à chaque utilisateur,
Construire une charte informatique et l’annexer au règlement intérieur ou au contrat de travail ; -
Authentifier l’utilisateur pour qu’il accède uniquement aux données dont il a besoin en lui attribuant un identifiant qui lui est propre, unique, et qu’il ne partagera pas ;
-
Limiter les accès aux données dont l’utilisateur a besoin pour réaliser ses missions, et évaluer les habilitations annuellement pour réajuster les droits.
Sources :
ici
Avis du DPO/DPD
- Ne pas hésiter à ''faire des piqûres de rappel'' en matière de sécurité, pour former ;
- Faciliter l'accès à la documentation ;
- Accompagner l'engagement de chacun par la signature de la charte informatique par exemple ;
- Protéger les mots de passe (éviter de les afficher sur l'écran de votre ordinateur :)
- Motiver et rendre la thématique abordable, voire ludique ;)
Pour la sécurité des données,
À ce stade les pratiques sont très techniques. Cela dit, pour assurer l’intégrité, la confidentialité et l’authenticité d’une information, sachez que vous devez (ou que votre prestataire doit) utiliser les fonctions de hachage, les signatures numériques et le chiffrement.
Il vous faut donc
• avoir recours aux fonctions de hachage, aux signatures numériques, au chiffrement ;
• avoir recours à des algorithmes, des logiciels et des bibliothèques reconnus ;
• conserver les secrets et les clés cryptographiques de manière sécurisée ;
• prévoir une messagerie électronique sécurisée de santé pour les échanges entre professionnels de santé ;
• prévoir du chiffrement des données avant l’envoi sur une messagerie électronique standard et la transmission du code secret par un envoi distinct et via un canal différent ;
• utiliser un protocole de transfert garantissant la confidentialité des messages et l’authentification du serveur de messagerie ;
• choisir une messagerie hébergeant les données dans un pays ou auprès d’un prestataire garantissant la protection des données conformément aux règles européennes ;
• chiffrer les données stockées ;
Pour vous aider...
Un algorithme, c'est une suite d'instructions détaillées qui, si elle est correctement exécutée, conduit à un résultat donné. C'est un peu comme une recette de cuisine ;
Une fonction de hachage, de l'anglais hash function (hash : pagaille, désordre, recouper et mélanger) par analogie avec la cuisine. C'est une fonction particulière qui, à partir d'une donnée fournie en entrée, calcule une empreinte numérique servant à identifier rapidement la donnée initiale, au même titre qu'une signature pour identifier une personne. Les fonctions de hachage sont utilisées en informatique et en cryptographie notamment pour reconnaître rapidement des fichiers ou des mots de passe.
Le chiffrement, c'est la transformation cryptographique de données produisant un cryptogramme.
La cryptographie est une discipline incluant les principes, moyens et méthodes de transformation des données, dans le but de cacher leur contenu, d’empêcher que leur modification ne passe inaperçue et/ou d’empêcher leur utilisation non autorisée (ISO 7498-2).
La signature numérique (dite aussi électronique) est un mécanisme permettant de garantir l'intégrité d'un document électronique une fois signé et d'en authentifier le signataire, par analogie avec la signature manuscrite d'un document papier. C'est une procédé d'identification du signataire d'un document électronique, basé sur l'utilisation d'un algorithme de chiffrement, qui permet de vérifier l'intégrité du document et d'en assurer la non-répudiation.
Sources :
Wikipédia
ANSSI,
GDT,
Et ici
Mon avis de DPD/DPO
- Restez attentifs aux outils que vous utilisez (messageries, logiciels…) ;
- Informez-vous sur les modes de fonctionnement des outils que vous utilisez auprès de personnes de confiance ou de sites reconnus ;
- Assurez-vous que le pays dans lequel les données que vous traitées et sont hébergées garantit la protection des données conformément aux règles européennes…
Pour la sécurité des données,
Nous avons défini toutes les actions à mener pour assurer la sécurité des données que vous traitez dans une précédente question.
Vous vous êtes posé les premières questions pour sécuriser au mieux les données que vous traitez. Dans un deuxième temps vous allez évaluer le niveau de sécurité des données traitées. Pour cela, vous allez construire une liste d’actions à réaliser. La liste vous permettra d'aller plus loin dans votre démarche. Vous pouvez organiser votre check-list comme suit :
- Acteurs concernés et Instances Représentatives du Personnel informés des pratiques mises en œuvre et consignes comprises,
fait à faire - Acteurs concernés engagés (choisir les modalités d’engagement),
fait à faire - Chaque utilisateur authentifié avec un identifiant unique et un mot de passe robuste,
fait à faire - Habilitations actualisées à chaque changement et au minimum annuellement,
fait à faire - Accès tracés : journalisation,
- Incidents gérés : équipements protégés, procédures de notifications de violation de données à caractère personnel élaborées,
fait à faire - Postes de travail sécurisés : verrouillage automatique, antivirus mis à jour, pare-feu, accord de l’utilisateur avant intervention sur son poste,
fait à faire - Outils informatiques mobiles sécurisés : moyens de chiffrement, sauvegardes ou synchronisations régulières, déverrouillage des smartphones secret,
fait à faire - Réseau informatique interne protégé : flux réseau limités, VPN (qui est un réseau privé virtuel ou Virtual Private Network destiné à sécuriser les échanges entre des machines connectées à distance à un réseau d’entreprise), protocole WPA2 ou WPA2-PSK (chiffrement à l’état de l’art) pour la Wi-Fi,
fait à faire - Serveurs sécurisés : accès limités aux personnes habilitées, mises à jour effectuées, disponibilité des données,
fait à faire - Sites web sécurisés : protocoles TLS (protocole de cryptage des données circulant sur le web. Il s'agit d'un système de sécurisation qui agit entre les serveurs et le réseau) mis en œuvre, absence de mot de passe et identifiant dans les url, contrôle des entrées, bandeau de consentement des coockies intégré,
fait à faire - Sauvegardes régulières stockées et protégées,
fait à faire - PRA élaboré et testé régulièrement,
fait à faire - Archivage sécurisé : modalités d’accès, destruction sécurisée,
fait à faire - Maintenance et destruction des données encadrées : interventions de maintenance tracées et encadrées par un responsable nommé, effacement des données avant la mise au rebut de matériel,
fait à faire - Sous-traitance gérées : clauses de sous-traitance intégrées aux contrats, conditions de restitution et de destruction prévues, vérification de l’effectivité des garanties avancées (audits de sécurité, visites…),
fait à faire - Échanges avec d’autres organisations sécurisés : envoi chiffré des données, destinataire vérifié, envoi du secret distinct, via un canal distinct,
fait à faire - Locaux protégés : portes verrouillées, alarmes anti-intrusion, vérification régulière des dispositifs mis en place,
fait à faire - Développements informatiques encadrés : vie privée respectée, zone de commentaires strictement encadrées, tests réalisés sur des données fictives ou anonymisées,
fait à faire - Utilisation de fonctions cryptographiques : algorithmes, logiciels et bibliothèques reconnues, secrets et clés cryptographiques conservées de manière sécurisée,
fait à faire
Sources :
Recommandations de sécurité relatives au site web
Recommandations de sécurité relatives à TLS
Recommandations de sécurité relatives aux réseaux Wi-Fi
Et ici
Mon avis de DPD/DPO
Évidemment, la liste est longue et souvent technique. Mais là encore, cette liste vous aidera :
• à faire le point sur vos connaissances,
• à développer vos connaissances en posant les bonnes questions,
• à réaliser une évaluation efficace de la sécurité des données que vous traitez,
• à construire une charte de bonnes pratiques pour faciliter l'engagement des acteurs concernés,
• à partir de ce qui est "à faire" établir votre plan d’actions d’amélioration,
• à partir de ce qui est "à faire" établir votre plan d’actions d’amélioration,
Pour la sécurité des données,
Dans un premier temps, vous allez définir les bonnes pratiques à mettre en œuvre pour protéger les données que vous collectez. Les questions à vous poser sont les suivantes :
• Quelle est la nature des données que je vais traiter ?
• Quels traitements vais-je réaliser ?
• Sur quels supports les données que je traite reposent-elles : matériels, logiciels, canaux de communication, supports papier ?
• Quels risques présente chaque traitement : impacts potentiels sur les droits et libertés des personnes concernées (accès illégitime, modification non désirée, disparition…) ?
• Quelles sont les sources de risques : sources humaines internes et externes, source non humaines internes et externes ?
• À quelles menaces pourrais-je être réellement confronté ?
• Et quelles pourraient en être les causes : évènements et/ou supports mis en cause ?
• Ai-je déjà pris des mesures de prévention et de gestion des risques ? Quelles sont-elles?
• Quelle serait la gravité si le risque se produisait ?
• Quelle est la vraisemblance des risques évalués ?
• Les mesures techniques et organisationnelles mises en oeuvre sont-elles adaptées, doivent-elles être réajustées ?
Sources et ressources :
Article 34 de la loi du 6 janvier 1978 modifiée, dite loi Informatique et Libertés ;
Article 32 du RGPD
Et ici
Mon avis de DPD/DPO
C’est en forgeant qu’on devient forgeron ! Alors entraînez-vous :)
- Réfléchissez à la protection de la vie privée dès la naissance de vos projets ;
- Testez les pratiques que vous allez mettre en oeuvre ;
- Respectez les principes relatifs au traitement des données à caractère personnel ;
- Établissez un plan d’actions pour vous aider à améliorer vos pratiques !
- Réévaluez régulièrement vos pratiques en les questionnant !
Pour la sécurité des données,
Sécuriser les données que vous collectez exige de la rigueur. Vous n’êtes pas à l’abri d’actes malveillants, et puis prendre soin de vos patients fait partie de vos missions.
Ensemble, nous allons ordonner les pratiques techniques et organisationnelles à mettre en œuvre et nous détaillerons chaque pratique au fil des semaines à venir.
Vous aurez à réaliser ces pratiques ou à vérifier qu’elles sont correctement réalisées :
- Réfléchir aux mesures de sécurité à mettre en œuvre dès la naissance des projets ;
- Évaluer le niveau de sécurité des données traitées ;
- Utiliser les techniques qui permettent de garantir l’intégrité, l’authenticité et la confidentialité de l’information ;
- Identifier, donner les accès nécessaires pour répondre aux besoins et accompagner les utilisateurs, notamment en les aidant à comprendre les enjeux ;
- Tracer les accès, prévenir et gérer les incidents ;
- Protéger les postes de travail fixe et mobile, ainsi que le réseau informatique interne en limitant les fonctions réseau aux besoins ;
- S’assurer que les serveurs, les matériels réseaux et les locaux les hébergeant font l’objet de mesures de sécurité renforcées ;
- Vérifier que le site web, quel qu’il soit, garantisse son identité et la confidentialité des informations transmises ;
- Effectuer régulièrement des sauvegardes et organiser la continuité du service ;
- Organiser un archivage sécurisée des données ;
- Organiser la maintenance et la destruction des données ;
- Encadrer en contractualisant la sous-traitance ;
- Protéger les données transmises à d’autres structures ;
Sources : ici
Mon avis de DPD/DPO
Vous allez me dire que vous n’êtes pas ingénieur informaticien. Je suis d’accord ! Mais vous en savez beaucoup plus que vous ne l'imaginez, ensuite rien ne vous empêche de vous informer, de questionner et d'écouter les experts (aidez-les à se mettre à votre portée !).
Les connaissances en matière d’informatique sont vastes et complexes alors cette semaine j’ai envie de vous dire de vous y mettre tranquillement mais sûrement. Vous verrez, même si le sujet n’est pas à ''se tordre de rire'' au départ, petit à petit il va vous intéresser et vous aurez envie d’avancer dans votre apprentissage.
Pour commencer, ne laissez pas, par exemple, traîner vos mots de passe sur le post-it que vous affichez sur l'écran de votre ordinateur:)
Tout d’abord, votre client est le responsable de traitement. C’est donc lui qui va réaliser l’AIPD comme prévu à l’article 35 du RGPD.
Par contre, vous, en tant que sous-traitant devez aider à la réalisation de la démarche AIPD en donnant toutes les informations que vous détenez, dont le responsable de traitement a besoin. Pour respecter le cadre réglementaire, il vous faut préciser la bonne pratique dans le contrat que vous, sous-traitant, signez avec votre client, le responsable de traitement.
Sources :
- Articles 35 et 28.3.f du RGPD
- Lignes directrices du G29 relatives à l'analyse d'impact
Mon avis de DPD/DPO
Préparer une procédure d'assistance à l'AIPD du sous-traitant. Cette procédure permet de mener à bien la démarche dans de bonnes conditions.
Le prestataire qui va prendre en charge votre prise de rendez-vous, quel qu'il soit, va récupérer des données concernant les patients :
- Identité,
- Coordonnées personnelles,
- Motif et durée de la consultation,
- Renseignements sur la préparation à la consultation,
- ...
Ces informations renseignent sur la santé des personnes des patient.e.s.
Par exemple, une personne qui consulte régulièrement un oncologue à
Bien que la prise de rendez-vous soit confiée à un prestataire, vous êtes, en tant que professionnel.le de santé, le.la responsable de traitement. Vous devez donc respecter les principes du RGPD et les droits des personnes concernées. Pour être en conformité, vous devez aussi penser à compléter le registre des activités de traitement.
Le prestataire que vous aurez choisi sera responsable de traitement des données relatives aux comptes créés par les patient.e.s et des données relatives au compte créé par le.la professionnel.le de santé.
Sources : https://www.cnil.fr/sites/default/files/atoms/files/guide-cnom-cnil.pdf
Mon avis de DPD/DPO
Contractualisez et cadrez toujours le service comme par exemple :
- inscrire dans le contrat la suppression, dès le rendez-vous passé, des données relatives à une consultation (données nécessaires à la préparation d'un examen...),
- respecter le principe de minimisation,
- informez-vous sur le lieu d'hébergement des données relatives à la consultation (est-ce en Europe ou dans un pays qui n'est pas tenu de répondre au RGPD ?).
Poussez le prestataire à améliorer ses outils pour que vous puissiez répondre au mieux à la sécurité des patient.e.s et au RGPD.
Par ailleurs, construisez une procédure concernant la violation des données pour protéger les patient.e.s.
Avant de répondre à la question, faisons un petit rappel sur le consentement.
Le consentement déjà inscrit dans la loi informatique et libertés est défini par le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Le consentement est généralement obligatoire. Il doit être demandé pour respecter le principe de licéité. Il est libre, éclairé, spécifique (il correspond à un seul traitement dont la finalité est déterminée). Il est aussi univoque (pas de cases pré-cochées, pas de consentement pour plusieurs traitements, pas d’inaction pour consentir).
Par ailleurs, le consentement est associé à certains droits et garanties :
- Droit de retrait de manière simple, facile ;
- Preuve du consentement apporté par le responsable de traitement ;
- Âge de la personne concernée : enfants de plus de 15 ans en France ;
- Consentement explicite : le responsable de traitement, pour les données sensibles par exemple, prévoit une case spéciale, ou demande une déclaration écrite et signée, ou envoie un courriel ou encore recueille le consentement suite à l’envoi d’un courriel à la personne concernée qui confirme ensuite son consentement.
Cependant, pour confirmer la règle, il existe quelques exceptions. Notre réponse est donc la suivante : Non, le consentement n’est pas toujours obligatoire !.
Pour aller plus loin, vous trouverez ci-dessous les cas dans lesquels le consentement n'est pas nécessaire :
- Exécution d'un contrat de vente, de location, de travail, etc. ou de mesures précontractuelles comme un devis, des pourparlers, etc.
- Cadre légal rendant obligatoire certains fichiers comme le recensement de la population par l'INSEE ou encore le registre unique du personnel, etc.
- Exécution d'une mission d'intérêt public ou relevant de l'autorité publique comme la constitution de fichiers de police, d’administration fiscale, etc.
- Sauvegarde des intérêts vitaux d'une personne (épidémie, situations de catastrophe naturelle ou d'origine humaine, etc.).
- Intérêt légitime (prévention de la fraude, transferts au sein d'un groupe, sécurité des réseaux, etc.) sauf si les intérêts ou les libertés fondamentales de la personne concernée prévalent.
Sources : Lignes directrices sur le consentement
Mon avis de DPD/DPO
Suite à cette question, il me semble important d’indiquer qu’il est nécessaire de rappeler aux personnes concernées leurs droits. Pour cela, je vous convie à vous approprier, si besoin, les articles 13 et 14 du RGPD.
Vous pouvez prévenir, voire gérer une violation de données en procédant comme suit :
- Identifier et analyser les risques ;
- Établir la procédure de gestion de violation des données à caractère personnel en posant les questions suivantes : Quelles sont les données collectées ? Pour quoi est-ce qu’on collecte les données ? Quels sont les acteurs concernés ? Respecte-t-on les principes des règles de protection des données à caractère personnel ? Quels sont les risques ? Y a-t-il un moment où le risque est plus important ?
- Définir le rôle des collaborateurs ;
- Tester la procédure en mettant en place une alerte ;
- Former régulièrement les collaborateurs à la prévention et à la gestion des risques de violation des données;
- Développer une culture de la prévention.
Mon avis de DPD/DPO
L’Analyse d’Impact relative à la Protection des Données (AIPD) n’est pas toujours requise, cependant à mon sens, il est utile de s’appuyer sur la démarche afin de s’assurer de la bonne mise en œuvre des pratiques au sein d'une structure, quel que soit son statut.
Que les données à caractère personnel aient été accidentellement ou de manière illégale détruites, perdues, altérées, divulguées, ou encore que vous ayez constaté un accès non autorisé, vous devez, sous 72 heures, le signaler à la CNIL si la violation représente un risque pour les droits et libertés des personnes. Vous devez aussi dans ce cas informer les personnes concernées.
Vous pouvez effectuer la démarche auprès de la CNIL en ligne ici.
En interne, vous documentez dans le « registre des violations ».
Mon avis de DPD/DPO
La violation de données est un fait grave, pour que les acteurs responsables au sein de votre structure puissent agir vite et bien, je vous recommande d’élaborer une procédure qui vous aidera à garder la confiance des personnes concernées.
Toute personne concernée par la collecte de ses données a droit à l’information. Le support est choisi par la structure par contre, certaines mentions doivent y être intégrées : les finalités, le consentement de la personne concernée, ce qui autorise le traitement des données en jeu, les personnes ayant accès aux données, la durée de conservation, le cadre des transferts de données hors de l’UE., les modalités pour la personne concernée d’exercice de ses droits :
• pour le droit d’accès,
• pour le droit de rectification,
• pour le droit d’opposition,
• pour le droit d’effacement,
• pour le droit à la portabilité et à la limitation du traitement,
• pour la décision individuelle automatisée, y compris le profilage.
Sources : [article 12 à 23] (https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article12) du RGPD
Mon avis de DPD/DPO
Il est important d'élaborer des procédures qui permettent de garder le lien avec les personnes dont les données à caractère personnel sont collectées et de traiter dès que possible les demandes, même si l'on dispose d’un mois pour le faire.
Les données de santé, données à caractère personnel sensibles, doivent être traitées en toute transparence vis-à-vis des personnes concernées, ici les patients.es.
Dès que le.la professionnel.le de santé collecte des données de santé, les patients.es doivent être informés.es des modalités de traitement de leurs données dans les conditions prévues par les articles 12, 13 et 14 du RGPD.
Les patients.es doivent par ailleurs être informés.es de la manière dont ils.elles peuvent exercer leurs droits.
Le professionnel.le de santé peut informer par voie d'affichage, par le biais d'un dépliant au sein du cabinet ou à domicile, ou encore via un courriel.
Mon avis de DPD/DPO
Il est nécessaire d'expliquer simplement. Un petit dessin, une petite vidéo valent souvent mieux qu'un long discours !
Nous avons défini, dans une question précédente, ce qu’est le registre des activités de traitement au sens du RGPD.
Le format du registre est libre. Il peut être constitué au format papier ou électronique. Le RGPD impose seulement qu’il se présente sous forme écrite.
Ce registre doit contenir au moins les informations suivantes :
- le nom et les coordonnées du responsable du traitement ;
- les finalités du traitement ;
- la description des catégories de personnes concernées et des catégories de données à caractère personnel. Le mot ‘’personne’’ décrit un acteur du système (patient, professionnels de santé, partenaire). Ce peut être une personne physique ou morale ;
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
- les délais prévus pour l’effacement des différentes catégories de données ;
- une description générale des mesures de sécurité techniques et organisationnelles.
Pour vous aider, la CNIL propose un modèle de registre open source que vous pouvez enrichir.
Tags : registre contenu
Mon avis de DPD/DPO
Le registre des activités de traitement au sens du RGPD, en dehors du fait qu’il réponde à une obligation légale, c’est un outil qui vous permettra d’avoir une vue d’ensemble sur le traitement des données confiées. Par ailleurs, la démarche de co-construction vous permettant de le compléter, de l’enrichir vous amène facilement au plan d’actions de mise en conformité au RGPD.
N'oubliez pas que le registre documente la mise en conformité au RGPD. Il donne une preuve de pratiques responsables.
Il est nécessaire de vous en emparer pour toujours mieux sécuriser les données à caractère personnel que l’on vous confie.
Le RGPD, c’est le Règlement Général sur la Protection des Données. En fait c'est une loi européenne appliquée depuis le 25 mai 2018. Le RGPD change les règles pour les entreprises et les administrations qui gèrent des données personnelles. Il sert à encadrer la manière dont ces entreprises et ces administrations vont utiliser les données personnelles qu'elles collectent.
Le RGPD, c’est aussi la réglementation qui redonne, aux résidents européens, le contrôle de leurs données personnelles quant à leur traitement et à leur circulation.
Il reprend des principes déjà existants dans la loi française, loi Informatique et Libertés (LIL).
Les changements pour la personne :
• L'âge du consentement du mineur pour le traitement de ses données personnelles. La France a décidé que ce serait 15 ans (par exemple : avant 15 ans, le mineur doit avoir le consentement de ses parents pour s'inscrire sur un réseau social);
• Le droit à la portabilité des données : si j'utilise un service, je dois pouvoir récupérer toutes mes données collectées par ce service et les transférer à un autre service (par exemple : récupérer mes données d'un service bancaire pour les transférer à un autre service bancaire);
• Les conditions d'utilisation : les structures doivent avoir des conditions d'utilisation, des règles du jeu claires et concises qui encadrent les pratiques de la manière dont elles utilisent les données personnelles qu'elles collectent.
Les changements pour les entreprises et les administrations :
Les entreprises et les administrations doivent être en capacité de prouver que toutes les données personnelles qu'elles collectent sont recueillies légalement, qu'elles ont eu le consentement de l'utilisateur, et qu'elles les conservent bien sécurisées. C'est un tas de précautions et de pratiques qui n'existaient pas avant qu'elles doivent s'approprier et mettre en oeuvre.
Pour conclure, le but du RGPD, c'est d'encadrer la manière dont nos données sont exploitées. C'est un pan majeur de l'économie (numérique) quel que soit le secteur.
Les structures qui ne sont pas conformes au RGPD peuvent être sanctionnées. C'est en grande partie ce qui donne du poids au RGPD.
Tags : rgpd législation
Mon avis de DPD/DPO
À mon sens, le RGPD est une opportunité.
Pourquoi ?
D'abord parce qu'il était grand temps de se protéger, de créer un cadre juridique unifié au sein de l'Europe pour faire face aux enjeux que représentent le traitement des données à caractère personnel. La démarche est, à mon sens, plutôt responsable.
Ensuite, parce que le RGPD est l’occasion de rétablir la confiance en imposant plus de transparence.
Enfin, et pour conclure, parce que l’Europe a su montrer l’exemple, ce qui peut stimuler le reste du monde, voire l'aider à opter pour de nouvelles pratiques plus respectueuses de la personne.
L’Analyse d'Impact relative à la Protection des Données ou AIPD (article 35 et 36 du RGPD) est une démarche de prévention des risques réalisée sur un traitement de données à caractère personnel.
Elle responsabilise les différents acteurs et les amène à construire un traitement des données à caractère personnel conforme au RGPD, donc respectueux de la vie privée de la personne.
L’étude est obligatoire quand le traitement de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées (voir l’article 35 paragraphe 1 du RGPD).
La CNIL a publié une liste de 14 traitements soumis à analyse d’impact,
La liste montre que les traitements de données de santé, de données concernant les ressources humaines, les assurances, les logements sociaux, la géolocalisation à grande échelle sont concernés par l’obligation de réalisation d’analyse d’impact. La liste montre aussi que les établissements médico-sociaux devront systématiquement effectuer une analyse d’impact sur leurs traitements, tout particulièrement quand les personnes concernées sont des personnes dites vulnérables (enfants, personnes âgées, patients par exemple).
Par ailleurs, la CNIL a aussi publié une liste de 12 traitements non soumis à l'analyse d'impact.
Attention !
Une structure est passible d’une sanction pouvant atteindre les 10 millions d’euros ou les 2% du chiffre d’affaires mondial globalisé dans les cas suivants :
- la structure ne réalise pas l'AIPD quand nécessaire,
- l'AIPD n'est pas correctement réalisée,
- la structure ne consulte pas l'autorité de contrôle après une AIPD montrant des risques significatifs.
À noter : analyse d’impact relative à la protection des données, AIPD (Data Protection Impact Assessment, terme retenu dans le RGPD) et PIA (Privacy Impact Assessment, terme plus commun utilisé dans d’autres régions du monde) sont synonymes.
Source :
https://www.cnil.fr
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://afcdp.net/
Mon avis de DPD/DPO
Pour réaliser l'AIPD :
- Appuyez-vous sur la liste de 14 traitements soumis à l'AIPD et sur la liste de 12 traitements non soumis à l'AIPD pour faire le choix de la réaliser ou non,
- Sollicitez l'avis des différents acteurs professionnels. Vous apprendrez plus vite !
- Sollicitez l'avis des personnes concernées,
- Réalisez une AIPD en cas de doute,
- Utilisez l'outil conçu par la CNIL,
- Utilisez l'outil conçu par la CNIL et enrichissez-le de modules ou adaptez-le à votre secteur si besoin, il est open source,
- Apprivoisez la démarche en pratiquant,
- Opérez une veille pour actualiser vos pratiques suite aux décisions et aux positions adoptées par les autorités de protection des données européennes et le Comité européen de la protection des données.
L'AIPD vous aidera à vous poser les bonnes questions. Vous évoluerez en évaluant :-). Elle vous aidera à mettre en oeuvre votre veille. De fait, elle vous motivera et renforcera la responsabilisation des équipes en prenant conscience des risques encourus ainsi que la confiance des personnes concernées.
Globalement l'AIPD vous accompagne dans l'amélioration de la gestion des risques au sein de votre structure. Alors, n'en faites pas l'impasse, de plus au risque d'être sanctionné.
Prévu à l'article 30 du Règlement Général pour la Protection des données ou RGPD, le registre des activités de traitement nourrit la 6ème étape de la mise en conformité au RGPD : il documente la conformité.
Le registre est un outil interne qui recense les traitements des données effectués et qui aide au pilotage de votre structure.
Il se présente sous la forme d’un document dans lequel vous identifiez les intervenants dans le traitement, les catégories de données traitées, les personnes susceptibles d’accéder aux données, les personnes auxquelles elles sont communiquées, la durée de conservation et les modalités de sécurisation des données.
Sources : https://www.cnil.fr
Mon avis de DPD/DPO
La CNIL recommande de tenir 2 registres. Le premier pour les traitements de données personnelles en tant que responsable de traitement et le second en tant que sous-traitants.
Je conseille l'ouverture d'un troisième registre pour les notifications de violations de données à caractère personnel à la CNIL.
À mon sens, le registre n'est pas à négliger, il permet d'améliorer votre gestion des risques et la qualité de vos services.
L'organisme, l'entreprise se met en conformité en 6 étapes
Étape 1. Désigner un pilote
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données ou DPD que l'on nomme aussi Data Protection Officer ou DPO.
Étape 2. Cartographier vos traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles.
L'élaboration du registre des traitements vous permet de faire le point.
Étape 3. Prioriser les actions à mener
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
Étape 4. Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une Analyse d'Impact relative à la Protection des Données (AIPD).
Étape 5. Organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
Étape 6. Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Mon avis de DPD/DPO
De mon point de vue, la constitution d'un comité de pilotage qui se réunit selon un rythme choisi favorise l'engagement des divers acteurs et facilite la démarche (meilleure gestion du temps, efficacité...).
Par ailleurs, pour prioriser les actions à mener, la construction d'un plan d'actions est nécessaire (objectifs, actions, planification, évaluation...), lequel est validé en comité de pilotage quand il existe.
Enfin, demander conseil vous fera gagner du temps et évitera le découragement. InterHop veut conseiller les collectifs, les associations et les petites et moyennes structures à organiser la démarche de mise en conformité avec le RGPD. InterHop s'adresse préférentiellement aux secteurs sanitaire, médicosocial et social.
Source : https://www.cnil.fr
Les données de santé dites sensibles sont des données à caractère personnel relatives à la santé physique ou mentale, passée, présente ou future d’une personne physique qui révèlent des informations sur l’état de santé de cette personne, que ce soit sur le parcours de soins ou en relation avec l’intervention d’autres acteurs comme les plateformes de prises de rendez-vous ou autres logiciels mis à disposition des professionnels de santé.
Mon avis de DPD/DPO
Le chiffrement et la pseudonymisation vous permettront d'améliorer la sécurité les données que vous avez collectées. Grâce au chiffrement, les données seront illisibles par les personnes non habilitées.
Le sous-traitant, c’est la personne physique ou morale de droit public ou de droit privé qui traite des données à caractère personnel pour le compte du responsable du traitement. Le sous-traitant est une personne juridique distincte du responsable de traitement qui est le client. La loi impose un contrôle effectif sur le sous-traitant de la part du responsable de traitement.
Par exemple, GPLExpert, l'hébergeur de données de santé certifié pour le compte d'InterHop, est sous-traitant d'InterHop.
Pour rappel :
- La personne physique c’est « Prénom NOM d’une personne » ;
- La personne de droit privé, c’est une association à but non lucratif ou une entreprise à but lucratif ;
- La personne de droit public, c’est l’État ou les Collectivités territoriales ou encore les établissements publics, les Groupements d’Intérêt Public ;
Mon avis de DPD/DPO
En tant que sous-traitant, il est nécessaire de veiller à vos obligations. La CNIL peut prononcer de lourdes sanctions aux sous-traitants non respectueux de leurs obligations.