Données de santé et RGPD — où en est-on ?
06/08/2020
5min
Après avoir essuyé de nombreuses critiques, le RGPD est installé dans toutes les entreprises et administrations. Désormais, le traitement des données (personnelles ou sensibles) est régi par de nouvelles règles. Cependant, le succès du RGPD ne repose pas juste sur le consentement libre ou des cookies maîtrisés, mais sur l’ensemble du système d’hébergement et de traitement des données. Qu’en est-il de la sécurité de nos données ? Les données de santé ont-elles connu un risque plus accru avec la COVID-19 ? 2 ans après, c’est l’heure du bilan.
RGPD et gouvernance des données
Selon le récent Rapport de la Commission Européenne, les entreprises « développent une culture du respect de la réglementation et font de plus en plus valoir comme un avantage concurrentiel le niveau élevé de protection des données qu’elles assurent ». Aussi bien la Commission Européenne que la CNIL se félicitent du succès du RGPD. Avec une hausse de 79 % de plaintes en 5 ans, le moins que l’on puisse dire, c’est que les citoyens sont informés.
La CNIL s’est donné plusieurs missions pour 2020. En premier, renforcer son accompagnement des entreprises pour déployer la mise en conformité de leurs pratiques avec, par exemple, un guide pour les développeurs. Cette année, l’accompagnement qui ressort concerne le marketing digital avec l’utilisation des cookies et la collecte des données à des fins de ciblage.
De son côté, le volet « contrôle » de la CNIL portait sur 3 axes :
- La sécurité des données de santé afin de vérifier les mesures de sécurité déployées par les professionnels de santé ;
- Les données de géolocalisation issues des services de mobilité (optimisation du parcours, choix des transports…) : proportion des données collectées, durée de conservation, information délivrée et mesures de sécurité ;
- Les dispositions liées aux cookies et autres traceurs dans le profilage des utilisateurs. La principale question concerne la façon dont les sites recueillent un consentement libre, explicite, éclairé et univoque.
Avec la COVID-19, la CNIL s’est concentrée sur la collecte et l’utilisation des données en santé. À ce jour cependant, aucun des enjeux de 2020 ne semble être mis de côté, ou même, prendre du retard.
Identifiez les 3 types d’attaques auxquelles votre entreprise est exposée et les avantages à opter pour un DSSI pour une cybersécurité efficace.
Le Cloud Act, ou le RGPD américain
Bien que le RGPD améliore la sécurité des données, il ne résiste pas à tout, notamment au Cloud Act américain. L’Act permet aux autorités de saisir les données des utilisateurs de tous les opérateurs numériques et prestataires de service étatsuniens.
Justement parce qu’il est américain, le Cloud Act va impacter le monde entier, Europe comprise. Si les données sont hébergées dans des services Cloud américains (via les GAFA par exemple), les données ne sont plus sécurisées en Europe. Même dans le cas où elles respectent le RGPD.
Le risque est d’autant plus présent avec la nouvelle plateforme de données en santé, le Health Data Hub. Ce service rassemble nombre de données via le Système National des Données de Santé. Le HBH sera hébergé sur le Cloud de Microsoft, donnant lieu à des conflits entre les lois. En attendant la mise en ligne du HBH, la CNIL a communiqué ses recommandations en termes de confidentialité et de respect des libertés.
Découvrez également le Cyber Resilience Act, la cybersécurité dans l’IoT et l’Edge Computing.
Données sensibles à l’épreuve de la COVID-19
La propagation du Coronavirus a provoqué un séisme concernant l’hébergement et le traitement des données à caractère sensible.
Pour rappel, une donnée sensible est une donnée qui révèle l’origine raciale ou ethnique, les convictions religieuses ou philosophiques, l’appartenance syndicale ou les opinions politiques. Dans les données sensibles, on retrouve également les données à caractère personnel : données de santé, orientation sexuelle ou données génétiques. À ce jour, il est illégal de recueillir ces données, à l’exception de 4 cas bien spécifiques.
Depuis la COVID-19, assiste-t-on à des changements ? Pas au niveau de la collecte ou du traitement des données de santé. Si les entreprises souhaitent connaître l’état de santé de leurs collaborateurs sur site, elles doivent se tourner vers la médecine du travail ou autre autorité compétente. Elles ne peuvent réaliser que la prise de température et uniquement si les résultats ne sont pas conservés.
Le gros changement concerne l’application StopCovid. Cette application alerte les utilisateurs d’un risque de contamination lorsqu’ils ont été en contact avec d’autres utilisateurs diagnostiqués positifs à la COVID-19. Le seul pouvoir de la CNIL repose sur des recommandations. Ce qu’elle fait en soulignant l’importance d’une bonne information, d’une durée de collecte limitée et du respect de la libre participation.
Le RGPD a secoué bon nombre de structures, mais son application s’élargit grâce, entre autres, au travail pédagogique mené par la CNIL. Le Coronavirus a bouleversé l’agenda des entreprises et de la CNIL, sans créer de déstabilisation profonde. Cependant, l’application StopCovid pose question sur une nouvelle ère de surveillance. Jusqu’où ira la collecte pour l’État ?
Vous souhaitez en savoir plus sur l’hôpital de demain ? Parcourez notre article Innover et construire l’hôpital de demain : infrastructure, collaboration, cybersécurité, applications métier, IA et téléchargez notre livre blanc Construire l’hôpital de demain avec les solutions Microsoft.
Données de santé et RGPD — où en est-on ?
06/08/2020
5min
Après avoir essuyé de nombreuses critiques, le RGPD est installé dans toutes les entreprises et administrations. Désormais, le traitement des données (personnelles ou sensibles) est régi par de nouvelles règles. Cependant, le succès du RGPD ne repose pas juste sur le consentement libre ou des cookies maîtrisés, mais sur l’ensemble du système d’hébergement et de traitement des données. Qu’en est-il de la sécurité de nos données ? Les données de santé ont-elles connu un risque plus accru avec la COVID-19 ? 2 ans après, c’est l’heure du bilan.
RGPD et gouvernance des données
Selon le récent Rapport de la Commission Européenne, les entreprises « développent une culture du respect de la réglementation et font de plus en plus valoir comme un avantage concurrentiel le niveau élevé de protection des données qu’elles assurent ». Aussi bien la Commission Européenne que la CNIL se félicitent du succès du RGPD. Avec une hausse de 79 % de plaintes en 5 ans, le moins que l’on puisse dire, c’est que les citoyens sont informés.
La CNIL s’est donné plusieurs missions pour 2020. En premier, renforcer son accompagnement des entreprises pour déployer la mise en conformité de leurs pratiques avec, par exemple, un guide pour les développeurs. Cette année, l’accompagnement qui ressort concerne le marketing digital avec l’utilisation des cookies et la collecte des données à des fins de ciblage.
De son côté, le volet « contrôle » de la CNIL portait sur 3 axes :
- La sécurité des données de santé afin de vérifier les mesures de sécurité déployées par les professionnels de santé ;
- Les données de géolocalisation issues des services de mobilité (optimisation du parcours, choix des transports…) : proportion des données collectées, durée de conservation, information délivrée et mesures de sécurité ;
- Les dispositions liées aux cookies et autres traceurs dans le profilage des utilisateurs. La principale question concerne la façon dont les sites recueillent un consentement libre, explicite, éclairé et univoque.
Avec la COVID-19, la CNIL s’est concentrée sur la collecte et l’utilisation des données en santé. À ce jour cependant, aucun des enjeux de 2020 ne semble être mis de côté, ou même, prendre du retard.
Identifiez les 3 types d’attaques auxquelles votre entreprise est exposée et les avantages à opter pour un DSSI pour une cybersécurité efficace.
Le Cloud Act, ou le RGPD américain
Bien que le RGPD améliore la sécurité des données, il ne résiste pas à tout, notamment au Cloud Act américain. L’Act permet aux autorités de saisir les données des utilisateurs de tous les opérateurs numériques et prestataires de service étatsuniens.
Justement parce qu’il est américain, le Cloud Act va impacter le monde entier, Europe comprise. Si les données sont hébergées dans des services Cloud américains (via les GAFA par exemple), les données ne sont plus sécurisées en Europe. Même dans le cas où elles respectent le RGPD.
Le risque est d’autant plus présent avec la nouvelle plateforme de données en santé, le Health Data Hub. Ce service rassemble nombre de données via le Système National des Données de Santé. Le HBH sera hébergé sur le Cloud de Microsoft, donnant lieu à des conflits entre les lois. En attendant la mise en ligne du HBH, la CNIL a communiqué ses recommandations en termes de confidentialité et de respect des libertés.
Découvrez également le Cyber Resilience Act, la cybersécurité dans l’IoT et l’Edge Computing.
Données sensibles à l’épreuve de la COVID-19
La propagation du Coronavirus a provoqué un séisme concernant l’hébergement et le traitement des données à caractère sensible.
Pour rappel, une donnée sensible est une donnée qui révèle l’origine raciale ou ethnique, les convictions religieuses ou philosophiques, l’appartenance syndicale ou les opinions politiques. Dans les données sensibles, on retrouve également les données à caractère personnel : données de santé, orientation sexuelle ou données génétiques. À ce jour, il est illégal de recueillir ces données, à l’exception de 4 cas bien spécifiques.
Depuis la COVID-19, assiste-t-on à des changements ? Pas au niveau de la collecte ou du traitement des données de santé. Si les entreprises souhaitent connaître l’état de santé de leurs collaborateurs sur site, elles doivent se tourner vers la médecine du travail ou autre autorité compétente. Elles ne peuvent réaliser que la prise de température et uniquement si les résultats ne sont pas conservés.
Le gros changement concerne l’application StopCovid. Cette application alerte les utilisateurs d’un risque de contamination lorsqu’ils ont été en contact avec d’autres utilisateurs diagnostiqués positifs à la COVID-19. Le seul pouvoir de la CNIL repose sur des recommandations. Ce qu’elle fait en soulignant l’importance d’une bonne information, d’une durée de collecte limitée et du respect de la libre participation.
Le RGPD a secoué bon nombre de structures, mais son application s’élargit grâce, entre autres, au travail pédagogique mené par la CNIL. Le Coronavirus a bouleversé l’agenda des entreprises et de la CNIL, sans créer de déstabilisation profonde. Cependant, l’application StopCovid pose question sur une nouvelle ère de surveillance. Jusqu’où ira la collecte pour l’État ?
Vous souhaitez en savoir plus sur l’hôpital de demain ? Parcourez notre article Innover et construire l’hôpital de demain : infrastructure, collaboration, cybersécurité, applications métier, IA et téléchargez notre livre blanc Construire l’hôpital de demain avec les solutions Microsoft.