Après avoir essuyé de nombreuses critiques, le RGPD est installé dans toutes les entreprises et administrations. Désormais, le traitement des données (personnelles ou sensibles) est régi par de nouvelles règles. Cependant, le succès du RGPD ne repose pas juste sur le consentement libre ou des cookies maîtrisés, mais sur lensemble du système dhébergement et de traitement des données. Qu’en est-il de la sécurité de nos données ? Les données de santé ont-elles connu un risque plus accru avec la COVID-19? 2 ans après, c’est l’heure du bilan.

RGPD et gouvernance des données

Selon le récent Rapport de la Commission Européenne, les entreprises « développent une culture du respect de la réglementation et font de plus en plus valoir comme un avantage concurrentiel le niveau élevé de protection des données quelles assurent ». Aussi bien la Commission Européenne que la CNIL se félicitent du succès du RGPD. Avec une hausse de 79 % de plaintes en 5 ans, le moins que l’on puisse dire, c’est que les citoyens sont informés.

La CNIL sest donné plusieurs missions pour 2020. En premier, renforcer son accompagnement des entreprises pour déployer la mise en conformité de leurs pratiques avec, par exemple, un guide pour les développeurs. Cette année, laccompagnement qui ressort concerne le marketing digital avec lutilisation des cookies et la collecte des données à des fins de ciblage.

De son côté, le volet « contrôle » de la CNIL portait sur 3 axes:

  • La sécurité des données de santé afin de vérifier les mesures de sécurité déployées par les professionnels de santé;
  • Les données de géolocalisation issues des services de mobilité (optimisation du parcours, choix des transports…): proportion des données collectées, durée de conservation, information délivrée et mesures de sécurité;
  • Les dispositions liées aux cookies et autres traceurs dans le profilage des utilisateurs. La principale question concerne la façon dont les sites recueillent un consentement libre, explicite, éclairé et univoque.

Avec la COVID-19, la CNIL sest concentrée sur la collecte et lutilisation des données en santé. À ce jour cependant, aucun des enjeux de 2020 ne semble être mis de côté, ou même, prendre du retard.

Identifiez les 3 types d’attaques auxquelles votre entreprise est exposée et les avantages à opter pour un DSSI pour une cybersécurité efficace.

Le Cloud Act, ou le RGPD américain

Bien que le RGPD améliore la sécurité des données, il ne résiste pas à tout, notamment au Cloud Act américain. LAct permet aux autorités de saisir les données des utilisateurs de tous les opérateurs numériques et prestataires de service étatsuniens.

Justement parce quil est américain, le Cloud Act va impacter le monde entier, Europe comprise. Si les données sont hébergées dans des services Cloud américains (via les GAFA par exemple), les données ne sont plus sécurisées en Europe. Même dans le cas où elles respectent le RGPD.

Le risque est dautant plus présent avec la nouvelle plateforme de données en santé, le Health Data Hub. Ce service rassemble nombre de données via le Système National des Données de Santé. Le HBH sera hébergé sur le Cloud de Microsoft, donnant lieu à des conflits entre les lois. En attendant la mise en ligne du HBH, la CNIL a communiqué ses recommandations en termes de confidentialité et de respect des libertés.

Découvrez également le Cyber Resilience Act, la cybersécurité dans l’IoT et l’Edge Computing.

Données sensibles à l’épreuve de la COVID-19

La propagation du Coronavirus a provoqué un séisme concernant l’hébergement et le traitement des données à caractère sensible.

Pour rappel, une donnée sensible est une donnée qui révèle lorigine raciale ou ethnique, les convictions religieuses ou philosophiques, lappartenance syndicale ou les opinions politiques. Dans les données sensibles, on retrouve également les données à caractère personnel: données de santé, orientation sexuelle ou données génétiques. À ce jour, il est illégal de recueillir ces données, à lexception de 4 cas bien spécifiques.

Depuis la COVID-19, assiste-t-on à des changements? Pas au niveau de la collecte ou du traitement des données de santé. Si les entreprises souhaitent connaître létat de santé de leurs collaborateurs sur site, elles doivent se tourner vers la médecine du travail ou autre autorité compétente. Elles ne peuvent réaliser que la prise de température et uniquement si les résultats ne sont pas conservés.

Le gros changement concerne lapplication StopCovid. Cette application alerte les utilisateurs dun risque de contamination lorsquils ont été en contact avec dautres utilisateurs diagnostiqués positifs à la COVID-19. Le seul pouvoir de la CNIL repose sur des recommandations. Ce quelle fait en soulignant limportance dune bonne information, dune durée de collecte limitée et du respect de la libre participation.

Le RGPD a secoué bon nombre de structures, mais son application sélargit grâce, entre autres, au travail pédagogique mené par la CNIL. Le Coronavirus a bouleversé lagenda des entreprises et de la CNIL, sans créer de déstabilisation profonde. Cependant, lapplication StopCovid pose question sur une nouvelle ère de surveillance. Jusqu’où ira la collecte pour l’État ?

Vous souhaitez en savoir plus sur l’hôpital de demain ? Parcourez notre article Innover et construire l’hôpital de demain : infrastructure, collaboration, cybersécurité, applications métier, IA  et téléchargez notre livre blanc Construire l’hôpital de demain avec les solutions Microsoft.

Partagez cet article !