RGPD : des indications de la CNIL sur l’importance des violations de données dans le secteur de la santé et de l’action sociale

Mai 31, 2021Droit des associations et des ESMS, RGPD

}

Temps de lecture : <1 minutes

La Commission nationale de l’informatique et des libertés (CNIL) publie son rapport annuel d’activité 2020. Ce document, très dense, permet notamment d’acquérir des repères sur l’ampleur des violations de données subies par le secteur de la santé et de l’action sociale.

.

Sur le sujet des violations de données – comme sur d’autres d’ailleurs – le rapport d’activité annuel 2020 de la CNIL est riche d’enseignements mais aussi de découvertes intéressantes.

En effet, au regard des déclarations de violations de données reçues par la CNIL 2020, le secteur de la santé et de l’action sociale est classé au quatrième rang des secteurs d’activité les plus concernés, après ceux de l’administration publique, de la recherche scientifique et du commerce et devant les secteurs tels que l’industrie, les finances et la banque.

Autre enseignement intéressant, qui alimentera les réflexions et initiatives des acteurs du secteur en matière de gestion des risques (GDR), les trois catégories d’atteintes les plus constatées sont, dans l’ordre décroissant de leur nombre :

1°) les pertes de confidentialité (données accessibles à une personne non autorisée) ;

2°) les pertes de la disponibilité (données inaccessibles) ;

2°) la conjugaison de pertes de la confidentialité, de la disponibilité et de l’intégrité des données.

Quels enseignements tirer de ces constats de la CNIL ?

D’abord, que les mesures de protection physique et logicielle des traitements doivent constituer la première priorité des délégués à la protection des données (DPO). Sont en jeu la conception de la sécurité des réseaux et serveurs ainsi que la fiabilité de l’administration des droits d’accès.

Ensuite, que la préoccupation de la sauvegarde et de la restauration des données en cas d’atteinte doit présider à la conception et la mise en oeuvre des plans de secours.

Enfin, qu’une vigilance permanente doit s’exercer sur l’ensemble du système d’information et de ses composantes, afin d’être en mesure de détecter au plus les atteintes et d’en limiter les conséquences.

Il faut enfin saluer la responsabilité des DPO qui semblent procéder de plus en plus systématiquement à la déclaration des violations des données : en effet, dans le secteur de la santé et de l’action sociale, la progression du nombre de ces déclarations est de 83 % par rapport à 2019.

Il paraît donc très utile – pour des raisons de conformité bien sûr mais d’abord et surtout d’efficacité et de protection effective des personnes accueillies ou accompagnées – d’engager les établissements et services sociaux et médico-sociaux (ESSMS) et leurs organismes gestionnaires dans une démarche rationnelle et cohérente d’audit juridique et technique de leurs systèmes d’information (SI), cet audit constituant le préalable indispensable à la définition d’une stratégie forte de protection des données à caractère personnel.

Comprenant des informaticiens et des juristes spécialisés, le cabinet ACCENS AVOCATS CONSEILS, fin connaisseur des métiers du secteur social et médico-social, se propose d’accompagner les professionnels de façon très pragmatique dans ce travail, assurant par ailleurs la formation initiale et continue des DPO – notamment grâce à des webinaires spécifiques et son “Club DPO”. Il peut également exercer une fonction DPO externalisée, pour permettre aux directions et aux équipes de se consacrer prioritairement à leurs interventions au profit des personnes vulnérables.

Ces articles pourraient vous intéresser